Dolandırıcılık Yönetimi ve Siber Suçlar , Sağlık Hizmetleri , Sektöre Özel
Yetersiz Hizmet Alabilen Hasta Merkezleri ve Kaynak Açısından Yoksul Topluluklar Siber Fonlar İçin Mücadele Ediyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
17 Nisan 2024
Evsiz ve yetersiz hizmet alan hastaları tedavi eden Michigan’ın federal nitelikli en büyük sağlık merkezi, 184.000’den fazla kişiye Aralık ayında verilerini tehlikeye atan bir fidye yazılımı saldırısı hakkında bilgi veriyor. Bu olay, yeterli kaynağa sahip olmayan sağlık hizmeti gruplarının karşılaştığı birçok zorluğu yansıtıyor.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditlerle Mücadelenin Sınırlamalarını Aşmak: Gerçek Güvenlik Sorunlarına Gerçek Çözümler
Cherry Health Services olarak faaliyet gösteren Grand Rapids, Michigan merkezli Cherry Street Services, altı ilçede 20 lokasyonda yetersiz hizmet alan hastalara temel ve davranışsal bakım sağlıyor. 21 Aralık’ta meydana gelen ağ kesintisi, merkezin belirli sistemlere erişim yeteneğini etkiledi ve Salı günü Maine başsavcılığına sunulan bir ihlal raporuna göre, yapılan soruşturmada saldırganların hasta verilerine eriştiği ortaya çıktı.
Risk altındaki bilgiler arasında hastanın adı, adresleri, telefon numaraları, doğum tarihleri, sağlık sigortası bilgileri, sağlık sigortası kimlik numarası, hasta kimlik numarası, sağlayıcı adı, hizmet tarihi, teşhis/tedavi bilgileri, reçete bilgileri, mali hesap bilgileri ve Sosyal Güvenlik numaraları yer alır.
Cherry Health, etkilenen kişilere 12 ay boyunca ücretsiz kimlik ve kredi izleme olanağı sağlıyor. Olayın ardından “sakladığımız verilerin güvenliğini daha da artırmak ve gelecekte benzer bir şeyin yaşanmasını önlemek için ek teknik önlemler” uygulamaya koyduğu belirtildi.
Cherry Health, Bilgi Güvenliği Medya Grubu’na yaptığı açıklamada, kuruluşun olay sonucunda herhangi bir bilginin kötüye kullanıldığına dair herhangi bir kanıtın bulunmadığını söyledi. Cherry Health, ISMG’nin siber güvenlik çabalarını finanse etmede zorluklarla karşılaşıp karşılaşmadığı da dahil olmak üzere diğer sorularına hemen yanıt vermedi.
Toplum Sağlığı Finansmanı Zorlukları
Bazı uzmanlar, Cherry Health ihlalinin, birçok benzer olay gibi, küçük klinikler, özel tıbbi muayenehaneler, kırsal hastaneler ve yetersiz hizmet alan topluluklara yardım eden sağlayıcılar da dahil olmak üzere diğer birçok sağlık kuruluşunun sıklıkla karşılaştığı güvenlik sorunlarının altını çizdiğini söylüyor.
HITprivacy danışmanlık firmasından avukat David Holtzman, “Toplum sağlık merkezleri fonlarının çoğunu federal destek yoluyla alıyor. Bu ön saf sağlık klinikleri genellikle orantılı olarak düşük gelirli nüfus da dahil olmak üzere tıbbi açıdan yetersiz hizmet alan topluluklara hizmet ediyor” dedi. “Toplum sağlığı merkezleri çoğu zaman karmaşık siber tehditlere karşı koruma ve savunma sağlayacak teknoloji veya hizmetlere önemli yatırımlar yapamaz” dedi.
“Bütçeleri doğrudan tedavi hizmetleri ve koruyucu sağlık hizmetleri sağlamak için yetersiz kalıyor.”
Yeterli kaynağa sahip olmayan diğer sağlık kuruluşlarındaki güvenlik ve teknoloji programlarının liderleri de aynı fikirde.
CIO’dan sorumlu kıdemli başkan yardımcısı ve şef Mike Ward, “Uç nokta tespiti, izleme, yedekleme ve güvenlik personeli gibi güvenlik teknolojisi için para gerekiyor. Tehditler gelmeye devam ediyor, ancak ödeme süreci ve sağlık hizmetlerine yönelik geri ödemeler bunu hesaba katmıyor” dedi. Tennessee’deki kırsal topluluklara hizmet veren çeşitli hastaneleri, klinikleri ve doktor muayenehanelerini işleten Covenant Health’te sağlık bilgi memuru.
Ayrıca Ward, kırsal topluluklardaki pek çok sağlık kuruluşunun, federal kurumlar tarafından “kırsal” tanımının yapılma şekli nedeniyle teknoloji ve ilgili çabalara yardımcı olmak için devlet hibeleri almaya uygun olmadığını söyledi. Örneğin, Sağlık ve İnsani Hizmetler Bakanlığı’nın Sağlık Kaynakları ve Hizmetleri İdaresi’ne göre, Tennessee’nin Knoxville İlçesi’nde Covenant’ın hizmet verdiği hiçbir kuruluş kırsal sağlık hibeleri almaya uygun değildir.
Ward, Knoxville’in sağlık hizmetlerine yönelik ulusal geri ödeme endeksinde “en alttaki %2’lik dilimde” yer aldığını söyledi.
“Tüm sağlık kuruluşları siber güvenlik için standart, en iyi uygulamaları uygulamalıdır, ancak maliyet nedeniyle bu bile bazı kuruluşlar için basit değildir” dedi.
Bilgisayar Korsanları İçin Savunmasız Hedefler
Cherry Health, fidye yazılımı veya büyük ihlallere yol açan diğer bilgisayar korsanlığı olaylarıyla karşı karşıya kalan, yetersiz hizmet alan topluluklarda bakım sağlayan tek federal nitelikli sağlık merkezi değil. Geçen bahar, Petaluma, California’da bir FQHC olan Petaluma Sağlık Merkezi, eyalet ve federal düzenleyicilere yaklaşık 125.000 kişinin kişisel ve sağlık bilgilerinin tehlikeye atıldığı bir veri sızıntısı hack’i bildirdi.
Geçtiğimiz yıl, Spring Valley, New York’taki bir FQHC (Refuah Sağlık Merkezi), 2021 fidye yazılımı saldırısının ardından eyalet düzenleyicileri tarafından minimum 350.000 dolar para cezasına çarptırıldı. Sağlık merkezi ayrıca iyileştirilmiş bir bilgi güvenliği programı geliştirmek ve sürdürmek için 2024 ile 2028 mali yılı arasında 1,2 milyon dolar harcamayı kabul etti. 2021 saldırısında siber suç grubu Lorenz, yaklaşık 195.000 ila 234.000 Refuah hastasına ait dosyaları çaldı (bkz.: NYS Kliniği 450 Bin Dolar Ceza Ödemeli, Güvenliğe 1,2 Milyon Dolar Harcamalı).
Düzenleyicilerin Refuah olayıyla ilgili soruşturması, HIPAA gizlilik, güvenlik ve ihlal bildirimi kurallarının birden fazla ihlalini ortaya çıkardı. Bu hatalar arasında etkin olmayan kullanıcı hesaplarının devre dışı bırakılması, çok faktörlü kimlik doğrulama eksikliği ve kullanıcı etkinliğinin incelenmesi için günlük kaydının yapılmaması yer alıyordu. Merkezin en son Mart 2017’de risk değerlendirmesi yaptığı ve o dönemde tespit edilen sorunların birçoğunun, fidye yazılımı saldırısının gerçekleştiği gün hâlâ çözülmemiş olduğu görüldü.
Sınırlı Federal Siber Yardım Teklif Edildi
En temel siber güvenlik programlarına bile yatırım yapmaya ve bu programları sürdürmeye çalışan, yetersiz kaynaklara sahip sağlık kuruluşlarının içinde bulunduğu kötü durum, Salı günü ülke genelinde çok sayıda sağlık hizmeti sağlayıcısını etkileyen Change Healthcare saldırısına ilişkin kongre duruşmasında gündeme geldi.
MedStar Health CIO’su ve College of Healthcare Information Management Executives başkanı Scott MacLean, pek çok sağlık kuruluşunun siber güvenlik programlarını finanse edecek kaynaklara veya bunları uygulayacak personele sahip olmadığını ifade etti (bkz: Kongre, Sağlık Hizmeti Saldırısında Neyin Yanlış Gittiğini Sordu).
MacLean, CHIME ve diğerleri gibi endüstri gruplarının, uygun sağlık hizmetleri sunan kuruluşların tanınmış siber güvenlik uygulamalarını benimsemesine yardımcı olmak için federal fon ve yardım programlarını savunduğunu söyledi.
“Sağlık sektörü yalnızca en zayıf halkası kadar güçlü olduğundan, federal hükümetin, küçük ve yeterli kaynaklara sahip olmayan sağlık hizmetleri sunan kuruluşların kendilerini siber güvenlik tehditlerine karşı korumalarına, tespit etmelerine, yanıt vermelerine veya bu tehditlerden kurtulmalarına yardımcı olmak için tasarlanmış programlara öncelik vermesi zorunludur.” söz konusu.
Biden yönetiminin 2025 için önerdiği bütçe, hastaneleri temel ve gelişmiş siber güvenlik uygulamalarını benimsemeye teşvik etmek için 1,3 milyar dolarlık bir Medicare teşvik programı oluşturuyor. Ancak Holtzman, bu finansmanın en çok ihtiyaç duyan sağlık kuruluşlarının çoğuna muhtemelen yardımcı olmayacağını söyledi.
“Toplum sağlık merkezleri, idarenin 2025 mali yılı federal bütçesinde önerilen temel siber güvenlik uygulamalarına yatırım teşviki almaya uygun olmayacaktır” dedi.
“Teşvikler, Medicare ve Medicaid Hizmetleri Merkezi tarafından hastanelere dağıtılacak. Toplum sağlık merkezlerinin siber güvenlik savunmalarını veya hazırlıklı olma durumlarını artırmaya yönelik yatırımlarını finanse etmeye yönelik özel bir teklif yok.”