İhlal Bildirimi, Dolandırıcılık Yönetimi ve Siber Suç, Sağlık
Düzenleyiciler, Bildirimlerin Beklentisinin Devam Etmesiyle Dolandırıcılığa Karşı Dikkatli Olunması Gerektiğini Söyledi
Marianne Sosis McGee (SağlıkBilgiGüvenliği) •
10 Temmuz 2024
Amerika genelinde milyonlarca hastanın, Şubat ayında gerçekleşen büyük fidye yazılımı saldırısı ve veri ihlalinden etkilenip etkilenmediklerini öğrenmek için Change Healthcare’den bildirim beklediği bir dönemde, birçok eyaletteki düzenleyiciler tüketicileri kimlik hırsızlığı ve dolandırıcılık suçlarına karşı dikkatli olmaları konusunda uyarıyor.
Ayrıca bakınız: Küçük İşletme Güvenlik Duvarı Kılavuzu
Salı günü, Kaliforniya, Massachusetts ve New Hampshire da dahil olmak üzere birçok eyaletin başsavcıları, tüketicilere, şirketin potansiyel bireysel ihlal bildirimlerini beklerken, Change Healthcare’in iki yıl boyunca ücretsiz kimlik ve kredi izleme teklifi de dahil olmak üzere mevcut kaynaklardan yararlanmaları çağrısında bulunan uyarılar yayınladı.
Uyarılar, Change Healthcare ve ana şirketi UnitedHealth Group’un bireylere verilerinin ihlal edildiğine dair bilgi vermede yavaş davranması nedeniyle eyaletlerin duyduğu hayal kırıklığını yansıtıyor.
“Genellikle, Massachusetts sakinlerini etkileyen bir veri ihlali olduğunda, tüketiciler verileri etkilenmişse kişiselleştirilmiş bir mektup veya e-posta alırlar. Ancak, Change Healthcare henüz tüketicilere bireysel bildirimde bulunmadı,” dedi Massachusetts Başsavcısı Andrea Campbell uyarıda.
“Change Healthcare, binlerce doktor muayenehanesi, hastane ve eczanenin operasyonlarını kesintiye uğratan veri ihlalinin tüm Amerikalıların üçte birini etkileyebileceğini kamuoyuna açıkladı. Ayrıca, Amerikalıların hassas sağlık ve kişisel verilerinin karanlık web’e sızdırılmasına neden oldu – siber suçluların kişisel bilgileri satın aldığı, sattığı ve izlediği gizli bir İnternet bölümü,” uyarıda belirtiliyor.
Uyarıda, “Veri ihlali ile etkilenenlere bildirim arasındaki gecikme göz önüne alındığında, Massachusetts Başsavcılık Ofisi yalnızca ihlali değil, Change Healthcare’in kamuoyuna sunduğu teklif de dahil olmak üzere kaynakları da kamuoyuyla paylaşıyor” denildi.
Massachusetts, California, New Hampshire ve uyarı yayınlayan diğer eyaletler de Haziran ayında 22 eyalet başsavcısıyla birlikte UHG CEO’su Andrew Witty’ye bir mektup göndererek şirketin daha fazla şeffaflık sağlaması ve olaydan etkilenen sağlık kuruluşlarını, eczaneleri ve hastaları korumak için “anlamlı adımlar” atması çağrısında bulundu (bkz: Eyalet Başsavcıları ve Endüstri Grupları Sağlık Destanı Değişiminde Harekete Geçilmesini İstiyor).
HIPAA ihlal bildirimi kuralı uyarınca, kapsam dahilindeki kuruluşların, 500 veya daha fazla kişinin korunan sağlık bilgilerini tehlikeye atan bir ihlali keşfettikten sonraki 60 gün içinde etkilenen bireyleri ve ABD Sağlık ve İnsan Hizmetleri Bakanlığı Sivil Haklar Ofisi’ni bilgilendirmeleri gerekir. Birçok eyaletin ayrıca kendi ihlal bildirimi gereklilikleri ve son tarihleri vardır.
UnitedHealth Group, bu hizmeti talep eden etkilenen kuruluşlara bireysel ihlal bildirimi ve düzenleyici raporlama hizmeti sunmayı teklif etti.
Haziran ayı sonlarında Change Healthcare, olaydan etkilenen müşterilerini bilgilendirmeye başladı ve etkilenen kişilere ihlal bildirimlerinin Temmuz ayı sonuna kadar başlamasının muhtemel olmadığını söyledi (bkz: Change Healthcare, Saldırıdan Etkilenen Müşterileri Bilgilendirmeye Başlıyor).
Change Healthcare olayından etkilenen bazı kuruluşlarla çalışan BakerHostetler hukuk firmasından düzenleyici avukat Sara Goldstein, “Bazı müşterilere PHI’lerinin olaya karıştığı söylendi, diğerlerine ise CHC’nin devam eden veri incelemesine dayanarak bugüne kadar hiçbir PHI’lerine ulaşamadığı söylendi” dedi.
“Ancak, birçok CHC müşterisi CHC’den herhangi bir güncelleme almadı. CHC’ye göre, veri incelemesi, bu olaydan etkilenen belirli kapsam altındaki varlıkları ve belirli bireylerini belirleme konusunda son aşamalarda,” dedi Information Security Media Group’a.
Goldstein, veri analizi sırasında kapsam dahilindeki ek kuruluşlara ait PHI’nin tespit edilmesi halinde CHC’nin onlara bulgularıyla ilgili bir güncelleme göndereceğini söyledi.
“Şu ana kadar PHI’lerinin olayda tespit edilmediği söylenen veya henüz CHC’den bir güncelleme almayan CHC müşterilerinin, veri analizi devam ederken PHI’lerinin olaya dahil olduğuna dair CHC’den bir bildirim alması mümkün.”
Goldstein, Change Healthcare’in ihlalden etkilendiğini tespit ettiği müşteriler için, CHC müşterisi 8 Temmuz’a kadar CHC’nin kendi adına bildirimleri ele almasını istemediği takdirde, şirketin tüm bildirimleri onlar adına bireylere ve düzenleyicilere, ayrıca HIPAA yerine geçen ve düzenleyici bildirimleri ele alacağını söyledi.
“CHC’den ayrılmayı tercih etmeyen müşteriler için CHC, üyelerine ve hastalarına Temmuz ayı sonundan itibaren bildirimlerin gönderileceğini bildirdi.”
Bu arada, bazı Change Healthcare müşterileri, Change Healthcare’in 20 Haziran’da yayınladığı HIPAA ihlal bildiriminin yerine geçen bağlantılara kendi web sitelerinde yer verdiler.
HHS OCR, Mart ayında Change Healthcare siber saldırısıyla ilgili bir soruşturma başlattığını ve şirketin veya ana şirketi UHG’nin HIPAA kurallarını ihlal edip etmediğini inceleyeceğini duyururken, bazı uzmanlar eyaletlerin kendi soruşturmalarını yürütme ihtimalinin de yüksek olduğunu söyledi.
Goldstein, “HITECH Yasası, eyalet başsavcılarına, eyalet sakinleri adına HIPAA gizlilik ve güvenlik kurallarının ihlali nedeniyle hukuki dava açma yetkisi veriyor” dedi.
Saldırı Detayları
Fidye yazılımı grubu BlackCat, ABD genelinde binlerce sağlık sektörü kuruluşunun kullandığı 100’den fazla BT hizmeti ve ürününü haftalarca ciddi şekilde sekteye uğratan ve ön onaydan talep işleme ve reçete doldurmaya kadar her şeyi içeren Change Healthcare’e düzenlenen büyük saldırının sorumluluğunu üstlendi.
UnitedHealth Group CEO’su Witty, Nisan ayında iki kongre komitesi önünde şirketin olayda saldırganlara 22 milyon dolar fidye ödediğini ifade etti (bkz: UnitedHealth CEO’su: Fidye Ödemek Hayatımın ‘En Zor Kararıydı’).
Ancak RansomHub adlı bir başka grup, çalınan 4 terabaytlık Change Healthcare verisinin kendisinde olduğunu iddia etti.
RansomHub, BlackCat iştiraki, UHG’nin başlangıçta ödediği 22 milyon dolarlık saldırı ödülünden kendilerine düşen payı dolandırdıklarını iddia ettikten sonra, Nisan ayında UHG’nin çalınan verilerinin yaklaşık 22 dosyasını sızdırmaya başladı. Ancak RansomHub, sızdırılan verileri birkaç gün sonra karanlık web sitesinden kaldırdı ve UHG’nin çalınan verilerin yayınlanmasını engellemek için ikinci bir fidye ödediği yönündeki spekülasyonları körükledi.
UnitedHealth Group, ISMG’nin olayla ilgili soruşturma hakkında güncelleme talebini ve şirketin bireysel bildirim planları ve zaman çizelgesi hakkında yorum talebini reddetti. HHS OCR, ISMG’nin yorum talebine derhal yanıt vermedi.