Sağlık Hizmetleri, HIPAA/HITECH, Sektöre Özel
NY AG Eylemi ve 1 Milyon Dolarlık Ceza, 2023’te 224.500 Kişiyi Etkileyen Arka arkaya Hack’leri Takip Ediyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
30 Ekim 2024
New York’un taşrasında bulunan bir tıbbi uzmanlık muayenehanesi, önümüzdeki beş yıl içinde veri güvenliği uygulamalarını iyileştirmek ve sürdürmek için 2,25 milyon dolar harcamalı, ayrıca 2023’te sadece birkaç gün arayla yapılan iki fidye yazılımı saldırısına ilişkin soruşturmanın ardından eyalet düzenleyicilerine 1 milyon dolara kadar ceza ödemek zorunda kalacak. yaklaşık 224.500 hasta ve çalışanı etkiledi.
Ayrıca bakınız: İşletmenizin Başarısını Artırmaya Yönelik Varsayılan Olarak Güvenli Strateji
New York Eyaleti Başsavcılığı ile yapılan anlaşma uyarınca, Albany KBB ve Allerji Hizmetleri PC’sinin önümüzdeki beş mali yıl boyunca yıllık en az 450.000 dolar harcayarak veri güvenliği uygulamaları ve iyileştirmelerinden oluşan uzun bir listeyi uygulaması ve sürdürmesi gerekiyor.
Buna ek olarak, AENT ayrıca, uygulamanın veri güvenliği için yılda en az 450.000 ABD Doları harcama şartını karşılaması durumunda, 250.000 ABD Doları tutarındaki iki taksitte 1 milyon ABD Doları tutarında bir ceza ödemeli; son 500.000 ABD Doları tutarındaki ödeme ise askıya alınmalıdır.
New York Eyaleti Başsavcısı Letitia James Salı günü yaptığı açıklamada, “Sağlık tesislerinin hastaların özel bilgilerini korumayı ciddiye alması gerekiyor ve bu, verileri korumaya yatırım yapmak ve ihlaller meydana gelirse hızlı bir şekilde yanıt vermek anlamına geliyor” dedi.
Davaya ilişkin devlet belgelerine göre, Albany, New York çevresinde çok sayıda tesisi bulunan bir kulak, burun, boğaz ve alerji muayenehanesi olan AENT’nin kendi şirket içi BT veya güvenlik ekipleri bulunmuyor ve bu işlevleri üçüncü taraf tedarikçilere yaptırıyor.
2023 fidye yazılımı olayları sırasındaki uygulamada, bu üçüncü taraf satıcılarla “veri kalitesini, optimize edilmiş sistem performansını ve güvenlik protokollerinin bakımını sağlamak için önerilen politikaları, prosedürleri uygulamak” için “irtibat” görevi gören bir çalışan vardı. Başsavcılık, “bu işçinin BT veya güvenlik deneyimi veya eğitimi olmadığını söyledi.
İhlal Ayrıntıları
Anlaşma belgelerine göre, 2023 yılında AENT’ye yönelik saldırıları iki farklı fidye yazılımı tehdit aktörü başlattı ve her ikisinin de uygulamadan çalınan verileri karanlık ağda sızdırdığı belirtildi.
Devlet belgede iki tehdit aktörünü tanımlamasa da siber suç gruplarından en az biri – RansomHouse – karanlık web sitesinde hâlâ 2 terabaytlık sızdırılmış AENT verisi yayınladığını iddia ediyor (bkz: Tıbbi Uzmanlık Uygulaması Son Hack’lerin 224.500’ü Etkilediğini Söyledi).
Devlet, olayla ilgili soruşturmada 23 Mart 2023 ile 4 Nisan 2023 tarihleri arasında AENT’nin bilgi sistemlerine iki farklı tehdit aktörünün sızdığının tespit edildiğini söyledi.
Eyalet AG, “İlk sızıntı, katılımcının sistemlerinin bir fidye yazılımı saldırısıyla ilişkili mesajları ilk kez görüntülediği 27 Mart 2023’te keşfedildi. Davalının BT sağlayıcısı, bazı ek güvenlik önlemlerini uyguladıktan sonra AENT’nin sistemlerini derhal geri yükledi” dedi.
Ancak belgede, BT tedarikçisinin AENT sistemlerine harici ağ erişimini geri yüklemeden önce ihlalin kaynağını tespit edemediği belirtiliyor. İkinci sızıntı, yalnızca birkaç gün sonra, 2 Nisan 2023’te, AENT’nin sistemlerinin bu kez farklı bir fidye yazılımı saldırganından gelen mesajları yeniden görüntülemesiyle keşfedildi. Devlet, “İkinci olaydan sonra AENT, herhangi bir güvenlik açığını geri yüklemeden önce düzelten bir adli siber güvenlik firmasını işe aldı” dedi.
Adli tıp soruşturması, iki tehdit aktörünün, New York hastalarının 213.935 kaydı da dahil olmak üzere çeşitli bilgiler içeren AENT sunucularına erişebildiğini ortaya çıkardı.
İki olay sırasında ele geçirilen bilgiler arasında isim, doğum tarihi, Sosyal Güvenlik numarası, adres, ehliyet numaraları, teşhis, koşullar, laboratuvar sonuçları, ilaçlar ve diğer tedavi bilgileri yer alıyordu.
Devlet, “Tehdit aktörleri, kişisel bilgileri de içeren verilerin sızdırıldığına dair bazı kanıtlar sunsa da fidyeler ödenmedi” dedi.
Devlet, “AENT, sunucu günlüklerini makul bir süre boyunca saklamadığı ve AENT’in sunucu trafiğini izleyip analiz edecek güvenlik programlarına sahip olmadığı için saldırı vektörünü kısmen doğrulayamadı” dedi. “Ancak adli siber güvenlik danışmanı, tehdit aktörlerinin muhtemelen AENT’in Cisco VPN güvenlik duvarındaki bir güvenlik açığından yararlanarak AENT sistemlerine erişim elde ettiği sonucuna vardı.”
Eyalet başsavcılığının olaylarla ilgili soruşturması, diğer bulguların yanı sıra, AENT’nin siber güvenlik işlevlerinden sorumlu üçüncü taraf sağlayıcıları yeterince izlemediği sonucuna vardı.
Sonuç olarak, “bu satıcılar kritik güvenlik yazılımı güncellemelerini zamanında yüklemedi, ağ etkinliğini yeterince günlüğe kaydetmedi ve izlemedi, saldırılardan önce ve sonra tüketicilerin özel bilgilerini düzgün bir şekilde şifrelemedi, tüm uzaktan erişim için çok faktörlü kimlik doğrulamayı kullanmadı veya makul bir bilgi güvenliğini başka şekilde sağlamadı” program,” dedi başsavcılık.
5 Yıllık Güvenlik Programı Gereksinimleri
Anlaşmaya göre AENT’nin kapsamlı bir bilgi güvenliği programı uygulaması ve sürdürmesi gerekiyor.
Bu, ağlarındaki, sistemlerindeki ve cihazlarındaki tüm özel bilgilerin envanterinin tutulmasını da içerir; saklanan veya iletilen tüm özel bilgilerin şifrelenmesi; kaynaklara ve verilere uzaktan erişen cihazlara çok faktörlü kimlik doğrulamanın uygulanması; tüm güvenlik ve operasyonel faaliyetleri izlemek ve kayıt altına almak için kontrollerin uygulanması; kritik güvenlik güncellemelerinin zamanında yüklendiğinin onaylanması; bir veri güvenliği olayına müdahale planının sürdürülmesi; ve bilgi güvenliği satıcılarının gözetimini sağlamak.
James, uygulamanın siber güvenliğini güçlendirmeye yönelik bu gerekliliklerin, “Capitol Bölgesi tıbbi sağlayıcısına güvenen New Yorkluların özel bilgilerini daha iyi korumayı” amaçladığını söyledi. “Tüm sağlık tesislerini ve genel şirketleri, New Yorkluların verilerini korumak için nasıl daha güvenli sistemlere sahip olunabileceği konusunda ofisimin rehberliğini takip etmeye çağırıyorum.”
AENT, Bilgi Güvenliği Medya Grubu’nun New York Eyaleti anlaşmasına ilişkin yorum talebine hemen yanıt vermedi.
Devlet Eylemi
New York Eyaleti başsavcılığı, veri güvenliği olayları ve ihlallerinin yanı sıra HIPAA ihlallerini içeren davalar nedeniyle kuruluşlara karşı yaptırım tedbirleri alma konusunda en aktif kurumlar arasında yer alıyor.
HITprivacy LLC danışmanlık firmasından avukat David Holtzman, “Başsavcı, HIPAA standartlarına tabi sağlık kuruluşlarının kişisel olarak tanımlanabilir tüm hasta bilgilerini korumasını gerektiren New York Genel Ticaret Hukuku 99-bb bölümünü uygulamayı bir öncelik haline getirdi” dedi.
Eyaletin yasa gereğinin, HIPAA Güvenlik Kuralındaki idari, fiziksel ve teknik güvenlik standartlarına benzer şekilde okunabileceğini söyledi. “Bu durumda Başsavcılık, eyalet soruşturmasının AENT’nin New York yasalarının gerektirdiği standartlara göre kişisel bilgileri korumak için bir bilgi güvenliği programı uygulamadığını ortaya çıkardığını vurguluyor” dedi.
Geçen ay New York Eyaleti, şu anda yalnızca yataklı hastanelerle ilgili olan yeni siber güvenlik gerekliliklerini de yürürlüğe koydu (bkz.: New York Eyaleti Hastaneler için Yeni Siber Gereksinimleri Yasallaştırıyor).
Holtzman, “New York Sağlık Bakanlığı, özellikle hasta güvenliğini etkileyen diğer alanlardaki düzenlemelere uyumu sağlamak için hastane araştırmaları geliştirmede son derece yetkin olduğunu gösterdi” dedi. “NY-DOH’un yeni siber güvenlik önlemleri düzenlemelerini uygulayan uzmanlığını sağlamanın bir yolunu bulacağını kesinlikle umuyorum.”