Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar , Sağlık Hizmetleri
Davranışsal Sağlık Şirketi İhlal Nedeniyle Yaklaşık 3.000 Hastanın Elektronik PHI’sını Kaybetti
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
9 Ocak 2025
Florida merkezli bir davranışsal sağlık holding şirketi, 2018 yılında yaklaşık 3.000 hastaya ait elektronik korumalı sağlık bilgilerinin silinmesini içeren bir olay için federal düzenleyicilere 337.750 $ HIPAA ödemesi yaptı. Diğer kuruluşlar bu veri kaybı durumlarından nasıl kaçınmalıdır?
Ayrıca bakınız: 2024 Dolandırıcılık Analizleri Raporu
Kendi iştirakleri de dahil olmak üzere davranışsal sağlık merkezlerinin iş ortağı olan USR Holdings, mali cezayı ödemenin yanı sıra, ABD Sağlık ve İnsani Hizmetler Bakanlığı ile Çarşamba günü yayınlanan çözüm anlaşmasının bir parçası olarak bir düzeltici eylem planı uygulamayı da kabul etti.
Anlaşma, USR’nin Şubat 2019’da HHS Sivil Haklar Ofisi’ne bildirdiği bilgisayar korsanlığı olayıyla ilgili soruşturmayı çözüme kavuşturdu.
USR, 23 Ağustos 2018’den 8 Aralık 2018’e kadar, 2.903 kişinin ePHI’sını içeren bir veritabanına, veritabanındaki ePHI’yi silebilen yetkisiz bir üçüncü taraf tarafından erişildiğini bildirdi.
USR’nin Şubat 2019’da Massachusetts başsavcılığına sunduğu örnek bir ihlal bildiriminde, USR’nin 8 Aralık 2023’te üç davranışsal sağlık merkezine ilişkin bilgileri depolayan bir sunucuda olağandışı faaliyetten haberdar olduğu belirtildi. Etkilenen tesisler Ametist Kurtarma Merkezi ve USR’ye ait olan Özgürlük Merkezi ve ayrıca USR dışı bir şirkete ait olduğu anlaşılan New England Kurtarma ve Sağlık Merkezi.
İhlal bildiriminde şirket, olayla ilgili olarak dijital bir adli tıp firmasının yardımıyla yürütülen soruşturmanın, 23 Ağustos 2023’te bir USR personelinin güvenlik duvarında bir yapılandırma değişikliği yaptığını ve bunun sonucunda veritabanı sunucusuna şu kişiler tarafından erişildiğini belirlediğini söyledi: bilinmeyen bir üçüncü taraf.
Ajans, HHS OCR’nin USR’nin veri silme olayıyla ilgili soruşturmasında HIPAA güvenlik ve gizlilik kurallarının olası ihlallerini ortaya çıkardığını söyledi. Buna, sistemlerinde ePHI’ye yönelik riskleri ve güvenlik açıklarını belirlemek için doğru ve kapsamlı bir risk analizi yapmadaki başarısızlıklar da dahildir; bilgi sistemi faaliyetini düzenli olarak gözden geçirmek; ve ePHI’nin geri alınabilir tam kopyalarını oluşturmak ve sürdürmek için prosedürler oluşturmak ve uygulamak.
Anlaşmanın düzeltici eylem planı uyarınca, USR’nin doğru ve kapsamlı bir HIPAA güvenlik riski analizi yapması gerekmektedir; risk analizinde belirlenen güvenlik risklerini ve güvenlik açıklarını ele almak ve azaltmak için bir risk yönetimi planı uygulamak; ePHI güvenliğini etkileyen çevresel veya operasyonel değişiklikleri değerlendirmek için bir süreç geliştirmek; HIPAA kurallarına uymak için yazılı politikalarını ve prosedürlerini gerektiği şekilde geliştirecek, sürdürecek ve revize edecek; ve güncellenmiş HIPAA politikalarını ve prosedürlerini iş gücüne dağıtacaktır.
Anlaşma anlaşmasının bir parçası olarak HHS OCR, USR’nin HIPAA uyumluluğunu da iki yıl boyunca izleyecek.
“Sağlık kuruluşlarının, bilgi sistemlerinde kimlerin olduğunu proaktif bir şekilde izlediklerinden ve sağlık bilgilerinin başka amaçla saklanması durumunda, ellerinde bulunan elektronik korumalı sağlık bilgilerinin tam kopyalarını oluşturabilmek için yedekleme prosedürlerinin mevcut olduğundan emin olmaları gerekir. HHS OCR direktörü Melanie Fontes Rainer yaptığı açıklamada, fidye ya da silineceğini söyledi.
“Etkili siber güvenlik, bir siber güvenlik saldırısının ardından elektronik sağlık bilgilerine erişimin yeniden sağlanmasını içerir, böylece sağlık hizmeti sunumunda herhangi bir kesinti olmaz.”
USR, Bilgi Güvenliği Medya Grubu’nun anlaşmaya ilişkin yorum yapma ve olayın bilgisayar korsanlarının fidye talebini içerip içermediği de dahil olmak üzere ihlalle ilgili ek ayrıntılara ilişkin talebine hemen yanıt vermedi.
Veri Kaybını Önleme
USR ihlali kesinlikle HHS OCR’ye son yıllarda veri silinmesini içeren bildirilen ilk veya en büyük ihlal değil. Mayıs 2021’de, görme ve işitme avantajları yöneticisi olan 20/20 Göz Bakımı ve İşitme Bakımı Ağı, yaklaşık 3,3 milyon kişiye, Amazon Web Services bulut depolama paketinde bulunan kişisel ve sağlık bilgilerine erişildiğini veya indirildiğini ve ardından silindiğini bildirdi. “bilinmeyen” bir aktör tarafından (bkz: Milyonlarca Kişinin Sağlık Verileri Bulut Paketinden Ertelendi).
Ancak bazen bir bilgisayar korsanlığı olayının ardından hasta kayıtlarının kaybedilmesi çok daha ciddi sonuçlara yol açabilir.
2019 yılında, Michigan’da iki doktorlu bir muayenehane olan Brookside KBB ve İşitme Merkezi, bir fidye yazılımı saldırısının ardından 2019’un sonlarında kalıcı olarak kapatıldı. Uygulama, saldırganların verileri şifrelemesinin ardından hasta tıbbi kayıtlarına, faturalandırmaya, planlamaya ve diğer kritik verilere erişimi kaybettiğini söyledi.
Doktorlar, şifre çözme anahtarı almak için fidye ödemek veya verileri geri yüklemeye çalışmak yerine emekli olmaya karar verdi (bkz: Fidye Yazılımı Saldırısının Ardından Tıbbi Muayenehane Kapatıldı).
Gizlilik ve güvenlik danışmanlığı tw-Security’nin ortağı Keith Fricke, “Felaket kurtarma planları, veri yedekleme planları ve testler, 20 yıldır HIPAA güvenlik kuralının acil durum planı bölümünün bir parçası olmuştur” dedi.
“PHI’nin doğru kopyalarının zamanında kurtarılması, PHI’yi idare eden sistem için kurtarma süresi hedefi ve kurtarma noktası hedefiyle orantılı bir sıklıkta gerçekleştirilen tekrarlayan yedeklemelerin oluşturulmasına dayanır” dedi.
Buna ek olarak, çevrimdışı “boşluklu” yedeklemeler oluşturmanın, verilerin kasıtlı kurcalama veya yok etme endişesi olmadan kurtarılmaya hazır olmasını sağlamak açısından çok önemli olduğunu söyledi. “Fidye yazılımı dağıtan suçlular çoğu zaman bir kuruluşun ağına yetkisiz erişim elde ederek öncelikle yedeklerden geri yükleme olanağını sakatlamaya çalışır.”
Bunun, suçluların mağdurları fidye ödemeye zorlamalarına yardımcı olduğunu söyledi. “Gördüğümüz en büyük ihmal, yedekleme işlerinin tutarlı bir şekilde izlenmemesidir. Yedeklemelerin başarıyla ve hatasız tamamlandığını doğrulamak için yedekleme sistemlerinin etkinlik günlüklerini incelemek önemlidir. Hatalar tespit edilirse sorunu düzeltmek için önlemler alınabilir. Yedeklemelerin beklendiği gibi yürütülmediğini keşfetme zamanı, verileri geri yüklemeniz gerektiği zamandır.”
HHS OCR’nin USR’ye karşı icra eylemi, kurumun 2025’te şu ana kadar duyurduğu üçüncü ve en büyük HIPAA anlaşmasıdır.
Evde sağlık kurumlarına faturalandırma ve diğer hizmetler sağlayan Massachusetts firması Elgon ile Virginia merkezli veri barındırma ve bulut sağlayıcısı Virtual Private Network Solutions, bu hafta başında açıklanan HIPAA anlaşmalarının bir parçası olarak sırasıyla 80.000 dolar ve 90.000 dolar para cezasına çarptırıldı. Her iki anlaşma da HHS OCR’nin Elgon ve VPS Solutions tarafından bildirilen iki ayrı fidye yazılımı ihlaline ilişkin araştırmalarını takip etti (bkz.: 2 HIPAA İş Ortakları Fidye Yazılımı Ödemesi Ödüyor).