Federal Nitelikli Sağlık Merkezi Fidye Yazılımı İhlalini Bildirdi

Diğer sağlık hizmetlerinin yanı sıra, 2001 yılından bu yana bölgeye hizmet veren Perth Amboy, New Jersey merkezli tıp merkezi, Newark’ta hem öğrencilere hem de toplumdaki yetişkinlere diş, tıp ve ruh sağlığı hizmetleri sunan okul merkezli sağlık merkezleri işletmektedir.

Central Jersey Tıp Merkezi’nin yakın zamanda web sitesinde yayınlanan bir ihlal bildiriminde, bir tehdit aktörünün 25 Ağustos’ta dental sunuculara erişim sağladığı ve BT ağındaki dosyaları şifrelemek için kullanılan fidye yazılımını başlattığı belirtildi.

Bildirimde, “Saldırının öğrenilmesi üzerine CJMC, ağımızın güvenliğini sağlamak ve faaliyetin niteliğini ve kapsamını belirlemek için bir soruşturma başlattı” deniyor.

Potansiyel olarak ele geçirilen bilgiler arasında isim, doğum tarihi, adres, telefon numarası, e-posta adresi, ırk veya etnik köken, Sosyal Güvenlik numarası, diş kayıt numarası, sağlık sigortası bilgileri, diş teşhisleri, tedavi geçmişi ve fatura bilgileri yer alır.

Central Jersey Tıp Merkezi, olayda herhangi bir verinin çalınıp çalınmadığını söylemedi.

Central Jersey Tıp Merkezi, olaydan elektronik tıbbi kayıt sisteminin, mali hesaplarının veya ödeme bilgilerinin etkilenmediğini söyledi.

Tıp merkezi, Bilgi Güvenliği Medya Grubu’nun, etkilenen kişi sayısı, sorumluluğu üstlenen siber suç çetesinin kimliği, fidye ödeyip ödemediği ve fidye yazılımı şifrelemesinden kurtarılma durumu da dahil olmak üzere olayla ilgili ek ayrıntılara ilişkin talebine hemen yanıt vermedi.

Perşembe günü Central Jersey Tıp Merkezi olayı, ABD Sağlık ve İnsani Hizmetler Bakanlığı’nın 500 veya daha fazla kişiyi etkileyen büyük sağlık veri ihlallerini listeleyen HIPAA İhlali Raporlama Aracı web sitesinde yayınlanmadı. Federal web sitesi, federal hükümetin kapatılması nedeniyle bir aydan fazla bir süredir güncellenmedi.

Central Jersey Tıp Merkezi, olaya müdahale ve soruşturmaya yardımcı olmak ve ileriye dönük güvenlik önlemlerini geliştirmek için dışarıdan siber güvenlik uzmanlarıyla iletişime geçtiğini söyledi. Buna CJMC’nin iç prosedürlerinin gözden geçirilmesi ve gelecekte benzer olayların önlenmesi için teknik önlemlerin güçlendirilmesi de dahildir.

Savunmasız Hedefler

Central Jersey Tıp Merkezi gibi federal düzeyde nitelikli sağlık merkezleri, hastanın sigorta durumu veya ödeme gücü ne olursa olsun, genellikle tıbbi açıdan yetersiz hizmet alan nüfusa hizmet veren, kar amacı gütmeyen veya kamu toplum sağlığı merkezleridir. FQHC’ler Medicaid ve Medicare gibi devlet geri ödemeleri ve finansmanı alır.

Bu tür sağlık kuruluşları genellikle siber güvenlik açısından yetersiz kaynaklara sahiptir.

Son yıllarda diğer FQHC’ler de benzer siber saldırılara maruz kaldı. Buna, evsizleri ve yeterli hizmet alamayan hastaları tedavi eden Michigan’ın en büyük FQHC’si olan Cherry Street Services’e Aralık 2023’te yapılan fidye yazılımı saldırısı da dahildir. Bu saldırı, Cherry Street Services’in Şubat 2024’te HHS Sivil Haklar Dairesi’ne yaklaşık 182.000 kişiyi etkileyen bir sağlık verisi ihlalini bildirmesiyle sonuçlandı (bkz.: Evsizlere Hizmet Veren Kliniği Hacklemek Yetersiz Hizmet Alanlardan Son Gelenler).

Benzer bir olayda, Petaluma, Kaliforniya’da bir FQHC olan Petaluma Sağlık Merkezi, Mayıs 2023’te eyalet ve federal düzenleyicilere, yaklaşık 125.000 kişinin kişisel ve sağlık bilgilerini tehlikeye atan bir veri hırsızlığı saldırısı bildirdi.

Yine 2023’te eyalet düzenleyicileri, Spring Valley, New York’taki Refuah Sağlık Merkezi’ndeki bir FQHC’ye, 2021 fidye yazılımı saldırısının ardından minimum 350.000 dolarlık bir ceza verdi. New York başsavcılığıyla yapılan anlaşmanın bir parçası olarak sağlık merkezi, iyileştirilmiş bir bilgi güvenliği programı geliştirmek ve sürdürmek için 2024 ile 2028 mali yılları arasında 1,2 milyon dolar harcamayı da kabul etti (bkz: NYS Kliniği 450 Bin Dolar Ceza Ödemeli, Güvenliğe 1,2 Milyon Dolara Kadar Harcamalı).