Westend Dental LLC olarak bilinen bir ABD dişhekimliği muayenehaneleri zinciri, 2020 fidye yazılımı saldırısını ve bununla bağlantılı veri ihlalini reddetti ve bunun yerine müşterilerine verilerin “yanlışlıkla biçimlendirilmiş bir sabit disk” nedeniyle kaybolduğunu bildirdi.
Ne yazık ki örgüt adına gerçek ortaya çıktı. Westend Dental, Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası’nın (HIPAA) çeşitli ihlallerini 350.000 $’lık bir cezayla çözüme kavuşturmayı kabul etti.
Ekim 2020’de Westend Dental, Medusa Locker fidye yazılımı grubu tarafından saldırıya uğradı. Medusa Locker, Hizmet Olarak Fidye Yazılımı (RaaS) modeli altında çalışan, öncelikle sağlık ve eğitim gibi sektörlerdeki büyük işletmeleri hedef alan bir tür fidye yazılımıdır. Bu fidye yazılımının çifte şantaj taktikleri kullanması biliniyor; bu, kurbanların verilerini şifrelerken aynı zamanda fidye ödenmediği takdirde hassas bilgileri yayınlamakla tehdit ettikleri anlamına geliyor.
Westend Dental, zorunlu bildirimi 60 gün içinde göndermemeye karar verdi ve Indiana Eyaleti’ne bir veri ihlali bildirim formu göndermek için 28 Ekim 2022’ye (iki yıl sonra) kadar bekledi.
Indiana Genel Müfettiş Ofisi (OIG) daha sonra Westend Dental’in 20 Ekim 2020 veya civarında eyalet sakinlerinin korunan sağlık bilgilerini içeren bir fidye yazılımı saldırısına maruz kaldığına dair kanıtları ortaya çıkardı, ancak Westend Dental yine de bir veri ihlali olduğunu reddetti. Soruşturma, bir Westend Dental hastasının, diş kayıtları için yerine getirilmeyen bir taleple ilgili tüketici şikayeti üzerine başlatıldı.
Ocak 2023’te bir tanık, bir veri ihlali olduğunu doğruladı ve bu da Indiana OIG’yi HIPAA kurallarına ve eyalet yasalarına uyumu değerlendirmek için daha geniş bir soruşturma başlatmaya yöneltti. Bu soruşturma kapsamlı HIPAA ihlallerini ortaya çıkardı.
Soruşturma sırasında tespit edilen diğer ihlallerden bazıları şunlardır:
- HIPAA politikaları ve prosedürleri çalışanlara verilmedi veya çalışanların erişimine hazır hale getirilmedi.
- Şirket, Kasım 2023’ten önce çalışanlarına HIPAA eğitimi vermemişti.
- Hiçbir şey HIPAA uyumlu bir risk analizinin yapıldığına dair kanıt göstermedi (güvenliği ihlal edilen sunucudaki kullanıcı adları ve şifrelerin düz metin listeleri).
- En az Ocak 2024’e kadar herhangi bir şifre politikası yoktu (korunan sağlık bilgileri içeren tüm Westend Dental sunucuları için aynı kullanıcı adı ve şifre kullanıldı).
- Hasta verilerini içeren sunuculara erişimi sınırlamak için hiçbir fiziksel koruma uygulanmadı. (Bazı sunucular korumasız olarak çalışanların dinlenme odalarında ve banyolarında bulunuyordu.)
Mahkeme belgeleri ayrıca Westend Dental’in adli soruşturma yürütmemesi nedeniyle ihlalden etkilenen kişilerin tam sayısının bilinmediğini de ortaya koyuyor. Westend Dental’in fidye yazılımı saldırısı sırasında tüm şirket ve muayenehanelerde yaklaşık 17.000 hastaya hizmet verdiğini biliyoruz.
Saldırganlar başlangıçta en az bir sunucuya erişim sağladı ancak herhangi bir izleme yazılımı bulunmadığından saldırganların diğer sistemlere ne kadar sızabildikleri bilinmiyor. Üçüncü bir tarafın yaptığı yedeklemelerin eksik çıkması nedeniyle etkilenen hastaları da bilgilendiremediler.
Yalnızca tehditleri rapor etmiyoruz; dijital kimliğinizin tamamının korunmasına yardımcı oluyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Kimlik korumasını kullanarak sizin ve ailenizin kişisel bilgilerini koruyun.