İhlal Bildirimi , HIPAA/HITECH , Güvenlik İşlemleri
Fidye Yazılımının Vurduğu Bağımlılık Tedavi Merkezleri, Tıbbi Ofisler ve Otellerin Sahibi
Marianne Kolbasuk McGee (SağlıkBilgisi) •
15 Haziran 2023
Çeşitli eyaletlerde bir düzineden fazla bağımlılık kurtarma merkezi ve diğer tıbbi tesisleri işleten ticari bir emlak şirketi, 319.500 hasta ve çalışanına kişisel ve sağlık bilgilerini tehlikeye atan yakın tarihli bir fidye yazılımı olayını bildiriyor.
Ayrıca bakınız: Bağlama Duyarlı Değişiklik Yönetimi Sayesinde Daha Güçlü Güvenlik: Bir Örnek Olay İncelemesi
Olayı 26 Mayıs’ta Sağlık ve İnsan Hizmetleri Departmanına bildiren Pensilvanya, Kennett Square merkezli Onix Group, web sitesinde yayınlanan bir ihlal bildiriminde 27 Mart’ta keşfedilen fidye yazılımı saldırısının “belirli sistemleri bozduğunu” ve bir “dosya alt kümesinin” dışarı sızmasını içeriyordu.
Şirket, fidye yazılımı olayıyla ilgili soruşturmanın yetkisiz bir aktörün 20 Mart ile 27 Mart arasında Onix’in ağına eriştiğini belirlediğini söyledi.
ONIX Group’un sağlık bölümü, tıbbi tesisleri işletme konusunda 30 yılı aşkın deneyime sahiptir. Oteller de işleten şirket, etkilenen dosyalarda yer alan bilgilerin kişiden kişiye değiştiğini söylüyor. Ele geçirilen bilgiler arasında hastaların adları, Sosyal Güvenlik numaraları, doğum tarihleri ve zamanlama, faturalandırma ve Onix tesislerinde hastaların tıbbi bakımına ilişkin klinik bilgiler yer alıyordu.
İhlal bildiriminde, etkilenen dosyaların ayrıca isimler, Sosyal Güvenlik numaraları, doğrudan ödeme bilgileri ve sağlık planı kayıt bilgileri dahil olmak üzere insan kaynakları amacıyla tutulan çalışan bilgilerini de içerdiği belirtiliyor.
Onix uyum görevlisi Will Jervis, olaydan etkilenen Onix sağlık hizmetleriyle ilgili kuruluşların arasında 10 Bağımlılıktan Kurtulma Sistemleri merkezi, beş Cadia Sağlık Merkezi ve farklı konumlara seyahat eden bir dizi Doktor Mobil X-Ray ünitesi olduğunu söyledi.
Jervis, Information Security Media Group’un, olaydan sorumlu olduğuna inanılan kötü amaçlı yazılım varyantı ve hacker grubu da dahil olmak üzere fidye yazılımı saldırısı hakkında ek ayrıntılar talebini reddetti.
Gizlilik ve güvenlik danışmanlığı Clearwater’ın başkan yardımcısı Dave Bailey, “Gayrimenkul şirketleri genellikle sağlık şirketleriyle eşanlamlı değildir” dedi. “Ancak HIPAA kapsamında iş ortağı olarak nitelendirilen herhangi bir şirket, kuralın hükümlerine uymalı ve hasta bilgilerini korumak için makul ve uygun önlemlere sahip olduğunu göstermelidir.”
Onix, sistemlerinin güvenliğini artırmak için önlemler aldığını ve gözetimindeki bilgileri korumak için protokollerini geliştirmeye devam edeceğini söyledi. Jervis bu planları detaylandırmayı reddetti.
Satıcı Riski
Perşembe günü, Sağlık ve İnsan Hizmetleri Bakanlığı’nın HIPAA İhlal Raporlama Aracı web sitesi, Onix’in bilgisayar korsanlığı olayının, 2023’te şimdiye kadar federal düzenleyicilere bildirilen 37 milyondan fazla kişiyi etkileyen 295 büyük sağlık verisi ihlali arasında olduğunu gösteriyor.
Bunlardan 113’ü – veya %40’ı – Onix gibi iş ortakları tarafından sağlık verisi ihlali bildirildi. İş ortağı ihlalleri, yaklaşık 19,9 milyon kişiyi veya bu yıl şimdiye kadar bildirilen büyük sağlık verileri ihlallerinden etkilenen tüm insanların yaklaşık yarısını etkiledi.
Bailey, “Sağlık sektörü, kesintiye, veri hırsızlığına ve gaspına neden olan son derece yetenekli düşmanların hedefinde ve saldırısı altında” dedi. “Ekosistem içinde yer alan herkes duyarlıdır.”