HIPAA/HITECH, Standartlar, Düzenlemeler ve Uyumluluk
NY State AG, Ele Geçirilen Hesapta 12 Yıllık E-posta Bulunduğunu Açıkladı
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
14 Aralık 2023
New York Eyaleti düzenleyicileri, 2021’de bir saldırganın, birçoğunun hassas üye bilgileri içeren 12 yıllık mesajları içeren bir çalışan e-posta hesabına erişim sağladığı bir olay nedeniyle eyaletteki en büyük dişhekimliği yöneticilerinden birine 400.000 dolar para cezası verdi.
Ayrıca bakınız: İşletmenizin Güvenliğini Sağlama Parola Güvenliğiyle Başlar
Yaklaşık 130.000 e-posta ele geçirildi ve yaklaşık 64.000’i New Yorklu olmak üzere 90.000 kişi olaydan etkilendi. Healthplex, olayı Nisan 2022’de federal düzenleyicilere e-posta içeren bir HIPAA ihlali olarak bildirdi.
New York eyaleti başsavcılığının 7 Aralık’ta Healthplex ile imzaladığı anlaşma, Long Island şirketinin bir dizi düzeltici önlem almasını da gerektiriyor.
Bunlar, artık iş amaçları için ihtiyaç duyulmayan bilgilerin imha edilmesi için bir veri saklama politikasının uygulanmasını, çok faktörlü kimlik doğrulamanın kullanılmasını, üyelerin özel bilgilerinin şifrelenmesini ve şirketin CEO’suna ve yıllık olarak yönetim kuruluna düzenli olarak rapor veren bir CISO’ya sahip olmayı içerir.
New York eyaleti başsavcısı, HIPAA ihlallerini uygulama konusunda 50 Amerikan eyaletinin tamamında en agresif düzenleyiciler arasında yer alıyor. Hales Hukuk Grubu’ndan düzenleme avukatı Paul Hales, “İhlallerin ve etkilenen kişi sayısının artması nedeniyle sağlık bilgilerinin gizliliği yasalarının federal ve eyalet düzeyinde uygulanması katlanarak artıyor” dedi.
“2024’ün yalnızca devlet kurumları tarafından değil, aynı zamanda özel davacılar tarafından da önemli ölçüde daha yüksek düzeyde yaptırım getirmesini bekliyorum” dedi.
Davadaki uzlaşma belgesinde, Kasım 2021’in sonlarında bilinmeyen bir saldırganın, şirkette 20 yıldan fazla süredir çalışan bir Healthplex çalışanının e-posta hesabına kimlik avı e-postası gönderdiği belirtiliyor.
Araştırma Bulguları
Kimlik avı e-postası, alıcıyı, kullanıcılara bir PDF dosyasını görüntülemek için bir kullanıcı adı ve şifre girmeleri talimatının verildiği bir kimlik bilgisi toplama web sitesine yönlendiren bir bağlantı içeriyordu. Saldırgan, çalışanın kimlik avı tuzağına düşmesiyle e-posta hesabının oturum açma bilgilerini ele geçirdi.
Saldırganın e-postayı göndermesinden iki gün sonra, bilgisayar korsanı, Healthplex çalışanının, bazıları plan üyelerinin kayıt bilgilerini de içeren 12 yılı aşkın e-postaları içeren hesabına erişti.
Adli tıp kanıtları, saldırganın hesaba yetkisiz erişiminin 24 Kasım 2021’de başladığını ve Healthplex’in olağandışı bir aktivitenin farkına varıp hacker’ın erişimini sonlandırana kadar birkaç saat sürdüğünü gösterdi. Healthplex, çalışanlar ele geçirilen çalışan e-posta hesabı tarafından gönderilen kimlik avı e-postalarını bildirdiğinde şüpheli etkinliği fark etti.
Saldırganın ele geçirilen e-posta hesabına bir günden daha kısa bir süre boyunca erişimi olsa da, bu hesabın 7 Mayıs 2009 ile 24 Kasım 2021 tarihleri arasında e-postalar ve ekler içerdiği tespit edildi.
E-postalardan bazıları, ad ve soyadı gibi diş planı üyesi bilgilerinin yanı sıra kredi kartı numaraları, banka bilgileri, Sosyal Güvenlik numarası ve sürücü belgesi numarası gibi diğer veri tanımlayıcıları da içeriyordu.
Düzenleyiciler, olayın ardından Healthplex’in bir dizi iyileştirici önlem aldığını söyledi. Office 365 web arayüzüne erişim için çok faktörlü kimlik doğrulamayı zorunlu kılmaya başladı, 90 günlük bir e-posta saklama politikası uyguladı ve çalışanlara kimlik avı konusunda ek güvenlik eğitimi verilmesini zorunlu kıldı.
Anlaşma belgesi, Healthplex’in olaydan “önce” bir CISO’ya sahip olduğunu söylüyor ancak kimlik avı saldırısı sırasında bir CISO’nun olup olmadığını belirtmiyor.
Healthplex, Bilgi Güvenliği Medya Grubu’nun olay ve çözüme ilişkin yorum talebine hemen yanıt vermedi.
NY eyaletinin Healthplex davasında kimlik avı ihlaliyle ilgili anlaşması, federal düzenleyicilerin kimlik avını da içeren ayrı bir ihlal vakasında ilk HIPAA uygulama eylemini gerçekleştirmelerinin hemen ardından geldi (bkz.: Federaller Kimlik Avı İhlali Nedeniyle İlk HIPAA Cezasını Aldı).
Geçen hafta, ABD Sağlık ve İnsani Hizmetler Bakanlığı Sivil Haklar Dairesi, acil bakım kliniği olan Louisiana merkezli Lafourche Medical Group ile 480.000 dolarlık mali anlaşma ve düzeltici eylem yapılacağını duyurdu. Bu yaptırım eylemi, ajansın 2021’de bildirilen ve yaklaşık 35.000 kişinin elektronik korumalı sağlık bilgilerini tehlikeye atan bir e-posta kimlik avı ihlaline ilişkin soruşturmasını çözüme kavuşturdu.
Uzmanlar, kuruluşların, korunan sağlık bilgileri içeren e-postalar da dahil olmak üzere, iyi planlanmış ve uygulanmış veri saklama politikalarına ve prosedürlerine sahip olması gerektiğini tavsiye ediyor.
Hales, “Tüm kuruluşların, bir keşif talebine yanıt olarak e-posta üretme veya e-postaları aramanın zaman ve masrafından kaçınmak için hukuk müşavirinin tavsiyesi ile oluşturulmuş sağlam bir e-posta imha politikasına sahip olması gerekir” dedi.
“Dava veya idari işlemlerle ilgili e-postaların korunması gerekir” diye ekledi.