Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar , Sağlık Hizmetleri
İşletmenin Satışından 2 Ay Sonra Çalınan Arşivlenmiş Veriler Hastaları ve Çalışanları Etkiliyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
3 Ocak 2024
Feshedilmiş bir ambulans şirketi, yaklaşık 912.000 hasta ve çalışana, arşivlenmiş kayıtlarının 2023 başlarında gerçekleşen bir veri hırsızlığı saldırısı nedeniyle ele geçirildiğini bildiriyor. Firma daha önce Boston bölgesinde acil bakım ve bağlı ulaşım şirketlerine idari hizmetler sağlıyordu.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditlerle Mücadelenin Sınırlamalarını Aşmak: Gerçek Güvenlik Sorunlarına Gerçek Çözümler
Transformative Healthcare, 29 Aralık’ta Maine başsavcısına sunduğu bir raporda, Aralık 2022’de faaliyetlerini durduran Fallon Ambulans Hizmetleri yan kuruluşunun, 21 Nisan 2023’te keşfedilen ancak aylar önce başlamış gibi görünen bir bilgisayar korsanlığı olayı yaşadığını söyledi. 17 Şubat’tan 22 Nisan’a kadar uzanıyor.
Transformative, etkilenen dosyaların isim, adres, Sosyal Güvenlik numarası, tıbbi bilgiler (COVID-19 testi veya aşı bilgileri dahil) ve Fallon’a istihdam veya iş başvurusuyla bağlantılı olarak sağlanan bilgileri içerdiğini söyledi.
Transformative ihlal bildiriminde, Fallon’un artık faaliyet göstermediği dönemde ambulans firmasının “yasal yükümlülüklere uymak için” daha önce bilgisayar sistemlerinde depolanan verilerin arşivlenmiş bir kopyasını sakladığını söyledi.
Dönüştürücü ihlal bildiriminde, “Fallon’da şu anda bu konunun bir sonucu olarak tüketici bilgileriyle ilgili kimlik hırsızlığı veya sahtekarlığa ilişkin bir kanıt bulunmamakla birlikte, şirket ayrıca etkilenen bireylere ücretsiz olarak iki yıllık kimlik koruma hizmetleri sunuyor.” ifadesine yer verildi.
Transformative, Aralık 2022’de Hyannis, Massachusetts merkezli özel sektöre ait, acil olmayan bir nakliye şirketi olan Coastal Medical Transport Systems tarafından satın alındı.
Ne Maine düzenleyicilerine yönelik ihlal raporunda Transformative Healthcare’i temsil eden bir avukat ne de Kıyı Tıbbi Taşıma Sistemi, Bilgi Güvenliği Medya Grubu’nun Fallon Ambulans hackleme olayıyla ilgili ek ayrıntı taleplerine hemen yanıt vermedi.
Arşivlenen Verilerin Riskleri
Transformative, 31 Aralık’ta ABD Sağlık ve İnsani Hizmetler Bakanlığı’na bilgisayar korsanlığı olayının 911.757 kişiyi etkilediğini ve elektronik tıbbi kayıtlar ile bir ağ sunucusunu içerdiğini bildirdi. Transformative, Maine başsavcılığına sunduğu raporda, olayın yaklaşık 20.486 Maine sakinini etkilediğini söyledi.
“Bu olay, aynı soruna sahip olabilecek diğer kuruluşlara da bildirimde bulunmalıdır – mutlaka işlerinin kapanması gerekmeyebilir, ancak artık kullanılmayan ancak düzenlemeye tabi unsurlar içeren verileri tutabilecek konumdadırlar: kişisel olarak tanımlanabilir sağlık veya mali bilgiler, ” dedi güvenlik firması Critical Insight’ın kurucu ortağı ve CISO’su Mike Hamilton.
Hamilton, “Kayıtların operasyonel amaçlar için artık gerekli olmadığı ancak izinsiz ifşa edilmeleri durumunda iş için risk oluşturduğu durumlarda, tesis dışı depolama veya şifrelemenin kullanılması iyi bir uygulama olabilir” dedi. Başka bir tekniğin, kayıtların öğelerini ayırmak olacağını, böylece bunların doğru bir şekilde yeniden birleştirilmesinin zor olacağını ve toplamın değerinin düşeceğini ekledi.
Gizlilik ve güvenlik danışmanlığı Clearwater’ın başkan yardımcısı Dave Bailey, artık faaliyet göstermeyen sağlıkla ilgili bir kuruluş için önerilen yaklaşımın arşivlenmiş kayıtlar için kapsamlı bir güvenlik riski analizi yapmak olduğunu söyledi.
Bu analizin, veri depolamadan sorumlu kuruluşun makul ve uygun kontrollere sahip olup olmadığının değerlendirilmesini ve incelenmesini içermesi gerektiğini söyledi.
“Verilerin erişilebilir olması veya çevrimiçi bir kullanıcı tabanına sunulması için temel bir iş gereksinimi yoksa, potansiyel riskleri azaltmak için verilerin maruz kalmasını sınırlamak tavsiye edilir ve iyi bir uygulamadır. Kararları iş durumuyla uyumlu hale getirin ve erişimi yalnızca bu verilerle sınırlandırın. Gerçek bir ihtiyaçla” dedi.
Hamilton, kullanılan sistem ne olursa olsun kayıtları gereksiz risklerden korumanın da iyi bir uygulama olduğunu ekledi.
“Önemli olan, erişimi en aza indirgemek ve iş durumu için gerekli olan kişilerle sınırlandırmanın önemini vurgulamaktır. Sonuç olarak, maruz kalmayı en aza indirmeye, arşivlenen sistemleri güncel ve güncel tutmaya öncelik vermek ve verilere erişebildiğinizden emin olmak için testler yapmaktır. Kapsamlı prensip, makul ve uygun kontrolleri oluşturmak ve uygulamak, verileri güvence altına almak ve yalnızca yetkili personelin erişebileceğini doğrulamaktır.”
Hamilton, faaliyetlerini durduran bir işletmenin kayıtlar için yağmalanmasının nispeten nadir olduğunu, ancak Fallon Ambulans olayının, üretimde olsun ya da olmasın, hasta ve çalışan kayıtlarının değerinin altını çizdiğini söyledi.
“Çalınan kayıt türleri, finansal ve sağlık sahtekarlığının yanı sıra şantaj için de kullanılabilir. Aile içi şiddet gibi bir olay hakkında bilgi sahibi olmak, bireyleri bu bilgiyi işverenlere veya genel olarak topluma ifşa etmekle tehdit etmek için kullanılabilir ve çoğu kişi, bu bilgiyi başkalarına ödeyebilir. Bu bilgiyi gizli tutun.”
Feshedilmiş şirketlere yönelik büyük saldırılar oldukça nadir görünse de, daha önce operasyonel olmayan kuruluşları ilgilendiren başka veri güvenliği olayları da meydana geldi.
2021 yılında, Security Discovery danışmanlık şirketinin kurucu ortağı olan güvenlik araştırmacısı Jeremiah Fowler, yakın zamanda feshedilmiş olduğu anlaşılan GetHealth.io firmasına ait, internetteki giyilebilir sağlık ve fitness cihazı kullanıcılarının 61 milyon kaydını açığa çıkaran güvenli olmayan bir veritabanı bulduğunu bildirdi (bkz.: Araştırmacılar: 61 Milyon Sağlık IoT Cihazının Kullanıcı Kayıtları Ortaya Çıktı).
2018 yılında, HHS Sivil Haklar Ofisi, Illinois merkezli, feshedilmiş bir tıbbi kayıt depolama şirketi olan Filefax ile, yaklaşık 2.000 hastanın tıbbi kayıtlarının parçalanması veya parçalanması gereken tıbbi kayıtlarla dolu olduğu keşfedilen bir Filefax çöplüğü ile ilgili 2015 ihlali nedeniyle 100.000 $’lık bir HIPAA anlaşması imzaladı. imha edilmeden önce imha edilir.
Bailey, “Arşivlenen sistemler zaman zaman üretim sistemlerinden farklı şekilde ele alınmakta ve aynı günlük kontrollerden yoksundur” dedi. “Ancak bu ayrım bunların önemini azaltmamalı çünkü hâlâ potansiyel maruz kalma riski taşıyorlar.”
Kendisi, hem arşivlenmiş sistemlere hem de uzun vadeli veri depolama için tasarlanmış olanlara tutarlı uygulamaların uygulanmasının hayati önem taşıdığını ve günlük benzerleriyle aynı düzeyde izleme ve koruma talep ettiğini söyledi. “Bu sistemlerin aynı korumalara sahip olması gerekiyor.”