Federal Cerrahi Uygulaması Fidye Yazılımı İhlali 250 bin dolar

ABD Sağlık ve İnsan Hizmetleri Bakanlığı Çarşamba günü, New York’un özel ameliyat merkezi olarak iş yapan Syracuse ASC LLC ile anlaşmanın, HIPAA’nın göz, kulak, burun ve boğaz cerrahisi uygulamasının yaklaşık 25.000 kişiyi etkilediği bildirildiğini araştırırken bulduğu potansiyel HIPAA ihlallerini çözdüğünü söyledi.

Ağrı yönetimi bakımı sağlayan New York merkezli Liverpool, web sitesinde kendisini 15 doktordan oluşan bir grubun sahibi olduğu ve yaklaşık 50 işçi istihdam ettiği olarak tanımlıyor.

HHS’nin Sivil Haklar Ofisi, Syracuse ASC’nin 14 Ekim 2021’de hack olayını bildirdiğini söyledi.

İhlal ile ilgili daha fazla araştırma, Syracuse ASC’nin Pysa fidye yazılımı varyantını içeren bir fidye yazılımı saldırısı yaşadığını belirledi, “sağlık sektörünü hedeflediği bilinen platformlar arası bir siber silah” dedi.

Aslında, Mespinoza olarak da bilinen Pysa, Ocak 2022’de bir HHS siber uyarısının konusu idi (bakınız: HHS, Pysa Fidye Yazılımı Tehditleri Sağlık Sektörünü uyarıyor).

O zaman, güvenlik araştırmacıları dünya çapında en az 190 Pysa kurbanı saymıştı. Sağlık ve halk sağlığı kuruluşları favori bir hedef iken Pysa, eğitim, kamu hizmetleri, ulaşım, inşaat ve iş hizmetleri de dahil olmak üzere diğer sektörlere saldırılar başlattı.

Pysa’nın Temmuz 2020’de ilk kez ortaya çıktığı zamandan itibaren son saldırısı Eylül 2022’de keşfedilene kadar, Fidyeware izleme web sitesi Ransomware.Live’a göre çete 311 kurbanı tebeşirledi.

Syracuse ACS hackinde tehlikeye atılan elektronik korumalı sağlık bilgileri, mevcut ve eski hastaların isimlerini, doğum tarihlerini, sosyal güvenlik numaralarını, finansal bilgileri ve klinik tedavi bilgilerini içermektedir.

HHS OCR’nin olayla ilgili soruşturması, Syracuse ACS’nin doğru ve kapsamlı bir HIPAA güvenlik riski analizi yapamadığını buldu.

Ajans ayrıca Syracuse ACS’nin etkilenen bireyleri ve federal düzenleyicileri zamanında bilgilendiremediğini buldu.

HIPAA ihlali bildirim kuralı uyarınca, kapsanan varlıklar, bir ihlal keşfettikten sonraki 60 gün içinde etkilenen bireyleri bilgilendirmelidir. Kapsanan varlıklar ayrıca, keşiften sonraki 60 gün içinde 500 veya daha fazla kişiyi etkileyen HHS OCR HIPAA ihlallerine rapor vermelidir.

HHS OCR’nin iki yıl boyunca izleyeceği Syracuse ACS’nin düzeltici eylem planı uyarınca, uygulama HIPAA kurallarına uymasını sağlamak için birkaç önlem almayı kabul etti.

Bu eylemler arasında doğru ve kapsamlı bir HIPAA güvenlik riski analizi yapılması; risk analizinde belirlenen güvenlik risklerini ve güvenlik açıklarını ele almak için bir risk yönetimi planının geliştirilmesi ve uygulanması; HIPAA kurallarına uymak için gerektiğinde yazılı politikaların ve prosedürlerin gözden geçirilmesi; ve işgücü üyeleri için yıllık HIPAA eğitimi sağlamak.

Syracuse ACS, bilgi güvenliği medya grubunun HHS OCR ile anlaşma hakkında yorum talebine ve fidye yazılımı olayı hakkında ek ayrıntılara hemen yanıt vermedi.

Spot ışığının altında

Syracuse ACS ile yerleşim, HHS OCR’nin bir fidye yazılımı olayı ve Ajansın 11’inci Ekim 2023’te fidye yazılımı adlandırılmasından bu yana risk analizine odaklanan ve Ekim 2024’te en iyi HIPAA uygulama öncelikleri olarak risk analizine odaklanmıştır.

HHS OCR direktörü Syracuse ACS yerleşimi hakkında yaptığı açıklamada, “Kapsamlı bir HIPAA uyumlu risk analizi yapmak – ve tanımlanmış risk ve güvenlik açıklarını ele almak için risk yönetimi önlemlerinin geliştirilmesi ve uygulanması – sofistike siber saldırılar arttıkça daha da gereklidir.” Dedi.

“HIPAA kaplı kuruluşlar ve iş ortakları, HIPAA güvenlik kuralı gereksinimlerini uygulayamazlarsa kendilerini siber saldırılar için yumuşak hedefler haline getiriyor” dedi.

Genel olarak, Syracuse ACS yerleşimi HHS OCR’nin 2025 yılında 18. HIPAA icra eylemi, Biden yönetiminde görevden ayrılmadan önce ve Trump yönetimi altında altı yerleşim ilan edildi.