Kimlik Avı Koruması, DMARC, Dolandırıcılık Yönetimi ve Siber Suçlar, Sosyal Mühendislik
HHS, Denenmiş ve Doğru Hacker Yöntemlerinin Hasta Verilerini ve Güvenliği Riske Atabileceğini Söyledi
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
29 Mart 2024
Federal düzenleyiciler, hasta verilerini tehlikeye atmak, sağlık hizmetleri operasyonlarını aksatmak ve diğer suçları mümkün kılmak için kullanılabilecek, denenmiş ve onaylanmış bir hackleme yöntemi olan kimlik bilgileri toplama yöntemini içeren sağlık sektörü kuruluşlarını siber saldırılara karşı uyarmak için alarm veriyor.
Ayrıca bakınız: 2018 1. Çeyrek İtibariyle Kuruluşların Güvenlik Duruşu
ABD Sağlık ve İnsan Hizmetleri Bakanlığı'nın Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi, kimlik bilgisi toplama saldırılarının sağlık sektörü için çok çeşitli potansiyel veri güvenliği ve hasta bakım güvenliği sorunları oluşturduğu konusunda uyarıyor.
HHS HC3 geçen hafta bir uyarıda, “Kimlik bilgilerinin toplanması, sağlık sistemlerinin güvenliği ve bütünlüğü için önemli bir tehdit oluşturuyor ve potansiyel olarak hasta gizliliğinden ödün veriyor.” dedi. Ajans, “Kimlik bilgilerinin toplanması normal operasyonları aksatabilir, hayati hizmetlerin ve hasta bakımının sağlanmasını engelleyebilir” dedi.
Hastaneler ve diğer sağlık hizmeti sağlayıcıları kesintiler, kritik hasta verilerine erişememe ve iletişimde kesintiler yaşayabilir. Bu eylemler randevularda, prosedürlerde ve idari hizmetlerde gecikmelere yol açabilir. Toplanan kimlik bilgileri, sağlıkla ilgili sistemlerdeki verileri işlemek için de kullanılabilir.
Saldırganlar, kimlik avı, keylogging, kaba kuvvet saldırıları, ortadaki kişi saldırıları ve kimlik bilgileri doldurma gibi birçok yolla kimlik bilgilerini toplayabilir. “Amaç, bir kullanıcıyı oturum açma kimlik bilgilerini kötü amaçlı bir çıkışa girmeye ikna ederek saldırganın kullanıcının hesabına erişmesini sağlamaktır.”
Kimlik bilgisi toplama ve bununla ilgili saldırı yöntemleri yeni değil. Ancak yakın zamanda sağlık verilerini içeren çok sayıda büyük siber olaya karıştılar.
Bunlar arasında geçen yıl genetik test firması 23andMe'ye yapılan ve şirketin yaklaşık 6,9 milyon müşterisini potansiyel olarak etkileyen bir kimlik bilgisi doldurma saldırısı da yer alıyor (bkz: 23andMe, Hackerların 6,9 Milyon Kullanıcının Ata Verilerini Çaldığını Söyledi).
23andMe, saldırganların 23andMe.com'da ve ayrıca daha önce ele geçirilen diğer web sitelerinde kullanılan kullanıcı adlarını ve şifreleri kullanarak “belirli sayıda” 23andMe hesabına eriştiğini söyledi. Şirket ayrıca olayın ardından çok sayıda toplu davayla karşı karşıya bulunuyor.
Elektronik sağlık kayıtları satıcısı NextGen Healthcare, geçen Nisan ayında keşfedilen ve 1 milyon kişiyi etkileyen bir sağlık verisi ihlali nedeniyle önerilen en az bir düzine toplu davayla da karşı karşıya.
Şirket, düzenleyicilere, bilgisayar korsanlarının, diğer kaynaklardan çalınmış gibi görünen müşteri kimlik bilgilerini veya NextGen ile ilgisi olmayan olayları kullanarak bir veritabanına yetkisiz erişim elde ettiğini söyledi (bkz.: NextGen, İhlalin Ardından Şu ana Kadar Bir Düzine Davayla Karşı Karşıya).
Aralık ayında New York Eyaleti düzenleyicileri, eyaletteki en büyük dişhekimliği yöneticilerinden biri olan Healthplex'i, 2021'de kimlik bilgileri toplamayı içeren bir olay nedeniyle 400.000 dolar para cezasına çarptırdı. Saldırgan, çoğu hassas üye bilgileri içeren 12 yıllık mesajların bulunduğu bir çalışanın e-posta hesabına erişim sağladı (bkz.: Dental Plan Yöneticisi, Kimlik Avı İhlalinden Dolayı 400 Bin Dolar Para Cezasına çarptırıldı).
Etkilenen Healthplex çalışanına gönderilen bir kimlik avı e-postası, alıcıyı, kullanıcılara bir PDF dosyasını görüntülemek için bir kullanıcı adı ve şifre girmeleri talimatının verildiği bir kimlik bilgisi toplama web sitesine yönlendiren bir bağlantı içeriyordu. Saldırgan, çalışanın kimlik avı tuzağına düşmesiyle e-posta hesabının oturum açma bilgilerini ele geçirdi.
Geçen Kasım ayında HHS HC3, Kuzey Kore devlet destekli APT43 de dahil olmak üzere bazı tehdit gruplarının ABD sağlık ve kamu sağlığı sektörü için önemli endişeler oluşturduğu ve sosyal mühendislik, hedef odaklı kimlik avı, kimlik bilgisi toplama ve saldırıları gerçekleştirme becerileri açısından orta derecede gelişmiş oldukları düşünüldüğü konusunda uyarmıştı. sahte kişilikler (bkz: Çin ve Kuzey Kore Ulus-Devlet Grupları Sağlık Verilerini Hedefliyor).
HHS HC3, sağlık sektörü kuruluşlarına, kimlik bilgileri toplamayla ilişkili risklerin azaltılmasına yardımcı olmak için teknik kontroller, güvenlik önlemleri ve kullanıcı farkındalığı eğitimlerinin bir kombinasyonunu uygulamasını tavsiye eder.
Buna çok faktörlü kimlik doğrulama, e-posta filtreleme ve spam algılama izleme araçları ve uç nokta güvenlik çözümlerinin kullanılması dahildir; yazılım ve sistem yamalarını güncel tutmak; ve saldırıların sağlık hizmetleri operasyonları ve hastalar üzerindeki etkisini en aza indirmeye yardımcı olacak kapsamlı olay müdahale planlarına sahip olmak.