Siber Suç, Dolandırıcılık Yönetimi ve Siber Suç, Hükümet
Siber Suç Grubu, Kurumun Çalınan 100 Gigabaytlık Verisini Yayınladığını İddia Ediyor
Marianne Kolbass McGee (SağlıkBilgiGüvenliği) •
29 Ağustos 2024
RansomHub’ın çalınan 100 gigabayt verisini karanlık web’de yayınladığını iddia etmesinden yaklaşık iki ay sonra, Florida Sağlık Bakanlığı vatandaşlara hassas bilgilerinin tehlikeye atıldığını bildiriyor. Saldırı, doğum ve ölüm belgelerini düzenlemek için kullanılan bakanlığın hayati istatistik sistemini etkiledi.
Ayrıca bakınız: 2024 Dolandırıcılık İçgörüleri Raporu
Sağlık Bakanlığı, internet sitesinde yayımlanan duyuruda, olayla ilgili kolluk kuvvetlerine bilgi verildiğini ve ihlalin ABD Sağlık ve İnsan Hizmetleri Bakanlığı’na bildirildiğini bildirdi. Ancak Perşembe günü HHS Sivil Haklar Ofisi’nin HIPAA İhlal Bildirim Aracı internet sitesinde 500 veya daha fazla kişiyi etkileyen büyük ihlallerin listelendiği rapor henüz yayımlanmadı.
Florida Sağlık Bakanlığı, Information Security Media Group’un ihlal hakkında etkilenen kişi sayısı ve RansomHub’ın iddiaları hakkında yorum gibi ek ayrıntılara yönelik talebine hemen yanıt vermedi.
Temmuz ayının başlarında RansomHub, sağlık bakanlığını hackledikten sonra karanlık web sitesinde 40.000 dosyada bulunan 100 GB veriyi yayınladığını iddia etti.
Eyalet daha sonra yerel medyada çıkan, olayın doğum ve ölüm belgelerini düzenlemek için kullanılan bakanlığın hayati istatistik sistemini etkilediği yönündeki haberleri doğruladı ancak daha fazla ayrıntı vermeyi reddetti (bkz: Raporlar: Florida Sağlık Bakanlığı Veri Hırsızlığıyla Başa Çıkıyor).
Kamu ihlali bildiriminde, departman 26 Haziran’da ağında “bir güvenlik ihlali” keşfettiğini ve bunun da verilerinin bir kısmına yetkisiz erişime yol açtığını söyledi. Sağlık departmanı, “Bu yetkisiz erişim, sınırlı sayıda sistemimizi etkiledi ve ağımızdaki belirli bir konumdan veri aktarımıyla sonuçlandı,” dedi.
Kurum, derhal bir soruşturma başlattığını ve ihlalin niteliğini ve kapsamını belirlemek için siber güvenlik uzmanlarıyla iş birliği yaptığını söyledi. Açıklamada, “Bakanlık ayrıca derhal kolluk kuvvetlerini bilgilendirdi ve konuyu soruşturma için Florida Kolluk Kuvvetleri Departmanına iletti” denildi.
Florida Sağlık Bakanlığı’nın ihlalinden potansiyel olarak etkilenen kişilere ilişkin bilgiler oldukça kapsamlı.
Tehlikeye atılan veriler arasında ad, doğum tarihi, adres, Sosyal Güvenlik numarası, banka bilgileri, kredi kartı bilgileri, ehliyet numarası, pasaport numarası, askeri kimlik numarası, Nexus numarası, tıbbi ve diş geçmişi, ilaç/reçete bilgileri, sağlayıcı/doktor/bakım koordinatörü adı, sigorta talebi bilgileri, sigorta kapsamı bilgileri ve parolalar yer alıyor.
Sağlık Bakanlığı’nın her bir bireye gönderdiği mektupta, bu durumun kişisel verilerinin nasıl etkileneceğine ilişkin ayrıntılı bilgiler yer alıyor.
Bakanlık, “Bakanlık, ihlalden haberdar olur olmaz, etkilenen ağları derhal kapattık ve yetkisiz erişimi önlemek için gelişmiş güvenlik önlemleri uygulayarak tehlikeye atılan sunucuları izole ettik” dedi.
Kamu Sektöründeki İhlallere Çifte Standart mı Uygulanıyor?
Bazı uzmanlar, devlet kurumlarını ilgilendiren ihlallerde etkilenen bilgi türleri ve kişilerin demografik özellikleri geniş olsa da, bu devlet kurumlarının siber olaylara yanıt verme ve bunları raporlama konusunda hükümet dışı sağlık kuruluşlarına kıyasla genellikle herhangi bir ek düzenleyici engelle karşılaşmadığını söylüyor.
Ancak düzenleyici avukat Rachel Rose, bunun tam tersinin sıklıkla doğru olduğunu söyledi.
“Devlet kurumları zaten ‘içeriden erişime’ sahip ve raporlama amaçları doğrultusunda kolluk kuvvetleri ve diğer devlet kurumlarıyla daha hızlı koordinasyon sağlayabilirler” dedi.
Bu kurumların ayrıca bir ihlal bildirim politikası ve prosedürüne sahip olması gerekir. “Bir eyaletin belirli bir kurum içindeki belirli bir kişiye bildirimde bulunması gerekip gerekmediği vaka bazında ele alınır ve ihlal bildirimi P&P’sinde belirtilmelidir,” dedi.
Rose’a göre HITECH Yasası, eyalet başsavcılarına, eyalet sakinleri adına HIPAA Gizlilik ve Güvenlik kurallarının ihlalleri nedeniyle hukuki dava açma yetkisi veriyor.
“HITECH Yasası, eyalet başsavcılarının eyalet sakinleri adına tazminat almalarına veya HHS web sitesinde belirtildiği gibi HIPAA Gizlilik ve Güvenlik kurallarının daha fazla ihlal edilmesini engellemelerine izin veriyor” dedi.
“Florida Sağlık Bakanlığı’na yönelik siber saldırıyı kimin gerçekleştirdiği göz önüne alındığında, bu ilginç bir gelişme olabilir” dedi.
RansomHub’ın dahil olması, başsavcı için daha yüksek profilli bir dava haline getirebilir. İlk olarak Şubat ayında ortaya çıkan RansomHub, hızla en dikkat çekici fidye yazılımı gruplarından biri haline geldi ve saldırıları ve büyük veri hırsızlıkları sağlık sektörünü de kapsıyor.
RansomHub yakın zamanda karanlık web sitesinde, Florida eyaletinin Sun City Center kentindeki uyuşturucu testi yapan bir tıbbi laboratuvar olan American Clinical Solutions’dan çalınan 700 gigabayt veriyi sızdırdığını iddia etti (bkz: Florida Merkezli Uyuşturucu Test Laboratuvarı Saldırıda 300.000 Kişinin Etkilendiğini Söyledi).
Çete ayrıca, 2,2 milyon kişinin bilgilerinin etkilendiği Haziran ayındaki Rite Aid eczane zinciri saldırısının da arkasında olduğunu iddia etti (bkz: Rite Aid, Fidye Yazılımı Grubunun 2,2 Milyon Müşterinin Verilerini Çaldığını Söyledi).
RansomHub ayrıca Şubat ayında Change Healthcare’e yapılan büyük saldırıya da karışmıştı. Grup, o saldırıda başka bir fidye yazılımı grubunun bir iştiraki olan BlackCat tarafından çalınan 4 terabayt verinin sorumluluğunu üstlendiğini iddia etti (bkz: BlackCat Fidye Yazılım Grubunun ‘El Koyma’ İşlemi Bir Çıkış Dolandırıcılığı Gibi Görünüyor).