Sağlık, HIPAA/HITECH, Olay ve İhlal Müdahalesi
Siber Suç Çetesi RansomHub, Laboratuvarın Çalınan Verilerinden 700 Gigabayt Sızdırdığını İddia Ediyor
Marianne Sosis McGee (SağlıkBilgiGüvenliği) •
19 Ağustos 2024
Florida uyuşturucu testi yapan tıbbi laboratuvar American Clinical Solutions, federal düzenleyicilere, suç örgütü RansomHub’ın laboratuvarın ağından çaldığı 700 gigabayt değerindeki veriyi yayınlamasının ardından 300.000 kişinin bir bilgisayar korsanlığı olayına karıştığını bildirdi.
Ayrıca bakınız: Panel Tartışması | Daha hızlı pazara sunma süresi ve iyileştirilmiş yatırım getirisi için HITRUST sertifikasyonunu hızlandırın
Sağlık hizmeti sağlayıcılarına reçeteli ve yasadışı uyuşturucular için hasta testi sağlayan ACS, 24 Temmuz’da yaşanan bilgisayar korsanlığı olayını ABD Sağlık ve İnsan Hizmetleri Bakanlığı’nın Sivil Haklar Ofisi’ne bildirdi.
RansomHub, karanlık web sızıntı sitesinde ACS’den çalınan 700 gigabayt verinin Sosyal Güvenlik numaraları, adresler, uyuşturucu testi sonuçları, tıbbi kayıtlar, sigorta bilgileri ve diğer hassas ayrıntıları içerdiğini iddia ediyor. Site, iddia edilen bilgisayar korsanlığı olayının gerçekleştiği tarih olan Ocak 2016’dan Mayıs 2024’e kadar olan laboratuvar test sonuçlarını içeriyor.
Danışmanlık firması HITprivacy LLC’den gizlilik avukatı David Holtzman, “Bir bireyin opioid ve tıbbi esrar kullanımına ilişkin bilgiler son derece hassastır” dedi.
Holtzman, “Bu tür korunmasız hasta bilgileri itibar açısından önemli zararlara yol açabilir veya kişilerin mali zarar, gasp veya mesleki statülerine yönelik tehditler yoluyla tehlikeye atılmasına neden olabilir” dedi.
Console & Associates PC ve Chimicles Schwartz Kriner & Donaldson-Smith gibi birçok hukuk firması, potansiyel toplu davalar için olayı araştırdıklarını belirten açıklamalarını internet sitelerinde yayınladı.
Pazartesi itibarıyla ACS’nin web sitesinde olayla ilgili bir ihlal bildirimi yayınlamadığı görülüyor. ACS ayrıca Information Security Media Group’un veri ihlaliyle ilgili ayrıntılara yönelik talebine de hemen yanıt vermedi.
Holtzman, “ACS, hastaları ihlal olayının türü veya kapsamı konusunda uyarmayarak tehdidi daha da kötüleştiriyor olabilir” dedi. “Umarım bu gerçekler HHS’yi veya eyalet başsavcılarını, ACS’nin ihlal bildirimi bildirimlerine ilişkin HIPAA standartlarına ve çeşitli eyalet yasalarına uyup uymadığını araştırmaya yönlendirir.”
HIPAA tarafından düzenlenen tıbbi kuruluşlar, korunan sağlık bilgisi ihlalinin keşfedilmesinden itibaren genellikle 60 gün içinde etkilenen bireylere bildirimde bulunmalıdır.
Bu ihlal bildirim zaman çizelgesi için birkaç sınırlı istisna vardır. “Bir kolluk kuvvetinin beklemeleri gerektiğini bildirmiş olması veya etkilenen kişilerin toplam sayısını belirleyememiş olmaları mümkün olabilir,” dedi düzenleyici avukat Rachel Rose.
“Muhtemelen perde arkasında bir tartışma yaşanıyor,” dedi ve ACS’nin ihlal hakkında henüz bir kamu açıklaması yayınlamamasının nedenini belirtti. “Benim için ayrıca dikkat çeken şey, bunun daha yüksek bir hassasiyet taşıyan uyuşturucu testini içermesi,” dedi.
ASC bir madde bağımlılığı tedavi tesisi olmasa da -bu tür tesisler daha katı federal 42 CFR Bölüm 2 gizlilik düzenlemeleri kapsamına girmektedir- yine de tehlikeye atılan uyuşturucu test bilgilerinin hassas doğası endişe vericidir, dedi.
“Bu tür PHI’ler, doğası gereği daha hassas kabul edilir – üreme sağlığı, AIDS gibi bazı hastalıklar veya ruh sağlığı kayıtları gibi,” dedi.
RansomHub Kimdir?
RansomHub ilk olarak Şubat ayında ortaya çıktı ve kısa sürede sağlık ve diğer sektörlerdeki büyük saldırıların sorumluluğunu üstlendi.
Şubat ayında Alphv/BlackCat tarafından Change Healthcare’e düzenlenen fidye yazılımı saldırısının ardından şirketten fidye talep eden ikinci çete oldu.
Change Healthcare’in ana şirketi saldırıda 22 milyon dolar fidye ödediğini kabul ederken, 21 Şubat olayının arkasındaki BlackCat iştiraklerinden biri, BlackCat yöneticilerinin iştirak payını paylaşmak yerine fidye ödemesinin tamamını kendilerinde tuttuğunu iddia etti.
Bu, RansomHub’ın çalınan Change Healthcare verilerinin kendisinde olduğunu iddia etmesine ve ikinci bir fidye talep etmesine yol açtı. UnitedHealth Group, olayda yalnızca bir fidye ödediğini kamuoyuna açıkladı (bkz: BlackCat Fidye Yazılım Grubunun Ele Geçirilmesinin Bir Çıkış Dolandırıcılığı Olduğu Görünüyor).
RansomHub ayrıca Haziran ayında Rite Aid eczane zincirine düzenlenen ve 2,2 milyon kişinin bilgilerinin etkilendiği saldırının da arkasında olduğunu iddia etti (bkz: Rite Aid, Fidye Yazılımı Grubunun 2,2 Milyon Müşterinin Verilerini Çaldığını Söyledi).
Güvenlik firması Rapid7, yakın zamanda yayınladığı bir raporda RansomHub’ı en dikkat çekici yeni fidye yazılımı gruplarından biri olarak adlandırdı.