İhlal Bildirimi, Sağlık Hizmeti, HIPAA/HITECH
HHS OCR, Şirketin Henüz HIPAA İhlal Raporlarını Ajansa Sunmadığını Söyledi
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
22 Nisan 2024
Sağlık ve İnsani Hizmetler Bakanlığı, Change Healthcare’den veya ana şirket UnitedHealth Group’tan büyük siber saldırılarına ilişkin HIPAA ihlal raporlarını henüz almadı. HHS, HIPAA kapsamındaki firmalara ve satıcılarına, bir ihlalin korunan sağlık bilgilerini etkilemesi durumunda görevlerini yerine getirmelerini söylüyor.
Ayrıca bakınız: Dijital Risk Korumasını Benimsetmek: Tehdit İstihbaratınızı Bir Sonraki Seviyeye Taşıyın
HHS Sivil Haklar Ofisi, Cuma gecesi yayınlanan yeni “sık sorulan sorular” kılavuzunda, Change Healthcare, UHG veya olayla ilgili etkilenen diğer kuruluşlardan henüz ihlal raporu almadığını söyledi.
HHS OCR, “Kapsanan kuruluşların, güvenli olmayan korunan sağlık bilgilerinin ihlalinin keşfedildiği tarihten itibaren 500 veya daha fazla kişiyi etkileyen ihlaller için OCR’nin ihlal portalına ihlal raporları sunmaları için 60 takvim gününe kadar süreleri var” dedi.
Genel olarak, HHS OCR böyle bir olay için bir HIPAA ihlal raporu aldığında kurum, raporu kapsam dahilindeki kuruluşla doğrular. HHS OCR, raporun halka açık HIPAA İhlal Raporlama Aracı web sitesinde yayınlanmasının 14 gün kadar sürebileceğini söyledi.
HHS, Change Healthcare saldırısından etkilenen kapsam dahilindeki kuruluşların aynı zamanda ihlal raporlarını HHS’ye ve etkilenen bireylere “makul olmayan bir gecikme olmaksızın” bildirimde bulunmaları gerektiğini söyledi. Olaydan etkilenen iş ortakları da ihlalin tespit edilmesinin ardından etkilenen kuruluşlara bildirimde bulunmalıdır.
Ancak bu bildirim olayının ayrıntıları, Change Healthcare’in etkilenen kuruluşlara kendi PHI ihlallerini ne zaman bildirdiği ve Change Healthcare ve UHG’nin etkilenen kuruluşlar adına üstlenmeye hazır olduğu bildirim görevlerinin kapsamı gibi çeşitli faktörlere bağlıdır.
HHS OCR, kılavuzda “Bu olaydan etkilenen HIPAA tarafından düzenlenen kuruluşlar, HIPAA ihlal bildiriminin nasıl gerçekleşeceğine ilişkin soruları için Change Healthcare ve UHG ile iletişime geçmelidir” dedi.
Geçtiğimiz hafta UHG, veri ihlaline ilişkin açıklamasında “izin verildiği takdirde müşterilere bildirim çalışması yapmayı teklif edeceğini” belirtmişti.
Ancak BakerHostetler hukuk firmasından düzenleme avukatı Sara Goldstein, UHG’nin bildirim açısından ne ölçüde ele alacağının henüz netleşmediğini söyledi.
“Bu pek çok farklı anlama gelebilir. Bu, size sadece bir şablon bildirim mektubu verecekleri ve bunu bu olaydan haberdar edilmesi gerektiğini düşündüğünüz kişiye gönderebileceğiniz veya daha sağlam olabileceği anlamına gelebilir” dedi. .
“Veya bu, bir satıcıda bir ihlal meydana geldiğinde, satıcının posta yoluyla bireylere, düzenleyicilere, web sitelerine bildirimler yayınlayarak vb. bildirimde bulunabileceği tipik olarak olanlarla aynı doğrultuda olabilir. Dolayısıyla bunun belirlenmesi gerekiyor”.
Goldstein, Change Healthcare ve UHG’nin bir PHI ihlalini HHS OCR’ye bildirmesi ve etkilenen kurum ve kişileri bilgilendirmesi gerektiğine ilişkin 60 günlük düzenleyici geri sayımın belirsiz olduğunu söyledi.
UHG, şirketin 21 Şubat’ta bir tehdit aktörünün Change Healthcare ortamlarından birine erişim elde ettiğini keşfettiğini söyledi.
Ardından, 15 Nisan’da UHG, halka açık web sitesindeki SSS bölümünde “kişisel sağlık bilgilerinin ve kişisel olarak tanımlanabilir bilgilerin” olaydan etkilendiğini ve şirketin, ihlalin boyutunu belirlemek için adli tıp uzmanlarıyla birlikte çalıştığını doğruladı (bkz. : Şirket, Sağlık Hizmeti Hackerlarının Hassas Verileri Çaldığını Söyledi).
Şirketten gelen sade kabul, siber suç grubu RansomHub’un geçen hafta UnitedHealth Group verilerini karanlık web sitesinde satışa çıkardığı ve başka bir fidye yazılımı grubunun (BlackCat/Alphv) bağlı olduğu sözde 4 terabaytlık veri örneklerini gösteren birkaç ekran görüntüsünü gösterdiği bildirildi. – saldırı sırasında dışarı çıktığı iddia edildi (bkz: İkinci Çete, UnitedHealth Grubunu Fidye İçin Salladı).
Erken Erişim?
The Wall Street Journal’ın Pazartesi günkü haberine göre, bilgisayar korsanları, fidye yazılımı saldırısı başlatmadan yaklaşık dokuz gün önce, 12 Şubat’ta Change Healthcare’in ağına erişim sağladı. Soruşturmaya yakın bir kaynağın Journal’a verdiği bilgiye göre saldırganlar, personelin sistemlere uzaktan erişmesine izin veren bir uygulamadaki ele geçirilmiş kimlik bilgileri aracılığıyla giriş elde etti.
Goldstein, UHG’nin şimdiye kadar kamuya yaptığı açıklamalarda ele geçirilen bilgileri açıkça “korunan sağlık bilgileri” olarak adlandırmadığını ve bunun, Change Healthcare ve UHG için HIPAA ihlali raporlama ve bildirim görevlerinin ne zaman başlayacağını belirsiz hale getirdiğini söyledi.
“Bir ihlalin, kapsam dahilindeki kuruluş tarafından ihlali öğrendiği ilk gün tespit edildiği belirlenir. Yani bu genellikle bir fidye yazılımı saldırısıyla karşılaştığınızda meydana gelir” dedi.
HHS OCR, kılavuzunda, ajansın fidye yazılımı ihlallerine ilişkin 2016 kılavuzunun Change Healthcare saldırısıyla gerçekten alakalı olduğunun altını çizdi.
Kılavuzda “HIPAA Kuralları kapsamında bir ihlal, ‘PHI’nın HIPAA Gizlilik Kuralı kapsamında izin verilmeyen bir şekilde edinilmesi, erişilmesi, kullanılması veya ifşa edilmesi’ olarak tanımlanmaktadır.” ifadesine yer veriliyor. “Fidye yazılımının varlığının HIPAA Kuralları kapsamında bir ihlal olup olmayacağı, gerçeğe özgü bir tespittir.”
HHS OCR, 13 Mart’ta, “siber saldırının benzeri görülmemiş büyüklüğü, ülke çapında hastalar ve sağlık hizmeti sağlayıcıları üzerindeki yaygın etkisi ve hastaların ve sağlık hizmeti sağlayıcılarının çıkarları göz önüne alındığında” Change Healthcare saldırısıyla ilgili bir soruşturma başlattığını kamuoyuna duyurdu.
Ajans, Change Healthcare ve UHG hakkındaki soruşturmasının, bir PHI ihlalinin meydana gelip gelmediğine ve “siber saldırının hasta bakımı ve mahremiyeti üzerindeki benzeri görülmemiş etkisi nedeniyle” kuruluşların HIPAA kurallarına uyumuna odaklandığını söyledi.
OCR, kılavuzunda Change Healthcare ve UHG ile ortaklık yapan diğer kuruluşlara olan ilgisinin ikincil olduğunu yineledi. “Buna, Change Healthcare ve UHG ile iş ilişkisi olan kuruluşlar ve Change Healthcare ve UHG ile iş ortağı olan kuruluşlar da dahildir.
Ajans, “Ancak OCR, tüm bu kuruluşlara, iş ortaklığı anlaşmalarının yürürlükte olması ve HHS’ye ve etkilenen kişilere zamanında ihlal bildiriminin yapılmasını sağlama konusundaki HIPAA yükümlülüklerini hatırlattı.” dedi.