Dolandırıcılık Yönetimi ve Siber Suç, Sağlık, Sektöre Özel
RansomHub Grubu 100 Gigabayt Çalınan Bilgiyi Sızdırmaya Başladığını İddia Ediyor
Marianne Sosis McGee (SağlıkBilgiGüvenliği) •
8 Temmuz 2024
Florida Sağlık Bakanlığı, hassas sağlık ve kişisel bilgilerin çalınmasını içeren bir siber saldırıyla uğraşıyor. Siber suç çetesi RansomHub’ın, bu yıl kamu sağlık departmanlarını ilgilendiren en az bir düzine büyük sağlık verisi ihlali serisinin sonuncusu olan saldırıda çalınan 100 gigabayt veriyi yayınlamaya başladığını iddia ettiği bildiriliyor.
Ayrıca bakınız: Web Semineri | Sosyal Mühendislik ve Kimlik Avıyla Mücadele İçin Yapabileceğiniz Her Şey
Yerel medya sitesi 4NewsJax’ın haberine göre RansomHub, eyaletin geçen cuma gününe kadar fidye ödememesi halinde çalınan Florida Sağlık Bakanlığı verilerini yayınlamaya başlayacağı tehdidinde bulundu ancak Florida hükümetinin herhangi bir eyalet kurumunun haraççılara ödeme yapması yasadışı.
Eyalet, olayın Sağlık Bakanlığı’nın doğum ve ölüm belgelerini düzenlemek için kullanılan hayati istatistik sistemini etkilediğini doğruladı ancak daha fazla ayrıntı vermeyi reddetti, dedi 4NewsJax. Miami Herald, olayın eyaletteki vergi tahsildarı ofislerini ve cenaze evlerini aksattığını ve bunların rutin olarak bu sisteme erişmek zorunda olduğunu bildirdi.
Florida Sağlık Bakanlığı, Information Security Media Group’un yorum talebine hemen yanıt vermedi.
StateScoop’un haberine göre, Christie’s ve Change Healthcare’e yönelik saldırılar da dahil olmak üzere son dönemdeki diğer veri gasp planlarının sorumluluğunu üstlenen RansomHub, eyaletin çeteye ödeme yapmayı reddetmesinin ardından 5 Temmuz’da çalınan Florida Sağlık Bakanlığı verilerini yayınlamaya başladı.
Diğer Olaylar
Florida Sağlık Bakanlığı’ndaki saldırı olayı, kamu sağlığı departmanlarını ilgilendiren son dönemdeki birçok saldırı ve diğer büyük sağlık verisi ihlallerinin sonuncusu.
Gizlilik ve güvenlik firması Clearwater’ın risk yönetimi sorumlusu Jon Moore, “Eyalet ve yerel sağlık departmanları büyük miktarda hassas kişisel ve tıbbi bilgiyi elinde tutuyor ve bu da onları paraya çevirebilecekleri veriler arayan bilgisayar korsanları için kazançlı hedefler haline getiriyor” dedi.
“Ayrıca, bu departmanlar genellikle sınırlı siber güvenlik kaynaklarıyla faaliyet gösteriyor ve bu da onları saldırılara karşı daha savunmasız hale getirebiliyor.”
Gizlilik ve danışmanlık firması tw-Security’nin Başkanı Tom Walsh, kamu sağlığı birimlerinin siber suçlular için çekici bir hedef haline gelmelerini sağlayan çok sayıda iç ve dış zorlukla karşı karşıya olduğunu söyledi.
“Eyalet, ilçe veya şehir hükümetlerinin liderleri seçilmiş yetkililerdir. Sınırlı bütçelerle, liderlik – seçilmiş yetkililer – seçmenlerine en somut faydayı sağlayan projeleri finanse etmek isteyecektir,” dedi Walsh.
“Halk sağlığı gerekli bir hizmettir, ancak halk için yeni bir park inşa etmek kadar çekici değildir. Seçilen yetkilinin ihtiyaçları daha iyi siber güvenliğe duyulan ihtiyaçtan daha ağır basabilir. Fon, güvenlikten uzaklaştırılarak birinin yeniden seçilme şansını artırabilecek bir projeye yönlendirilebilir.”
Walsh, eyalet, ilçe ve şehir yönetimlerinin genellikle büyük şirketlerden daha az maaş ödedikleri için, siber güvenlik uzmanlığı bir yana, yetenekli BT personeli için rekabette bile zorlandıklarını söyledi.
“Kırsal alanlarda ve daha küçük belediyelerde, seçilmiş yetkililerin sağlık departmanında çalışan bir kariyer bürokratının sahip olacağı bilgi derinliğine sahip olma olasılığı düşüktür. Bu nedenle, BT, siber güvenlik veya sağlık departmanının yetersiz finanse edilmesinin yol açabileceği sonuçları tam olarak anlamayabilirler.”
Walsh, kamu sağlığı birimlerinin hastaneler, klinikler ve laboratuvarlar gibi diğer güvenilir ortaklarla önemli verileri paylaştığını söyledi.
“Bir saldırgan bir sağlık departmanını başarılı bir şekilde ele geçirebilirse, bu, sağlık departmanından gelen herhangi bir alışverişten diğer kuruluşların belirli bir düzeyde güven duyacağını bilerek saldırı tabanını genişletmek için yeni fırsatlar yaratabilir.”
Moore, eyalet veya yerel yönetimlerin fidye ödemeye karşı katı politikaları olsa bile, bilgisayar korsanlarının bu politikalardan veya hükümetin bunlara uyma kararlılığından haberdar olmayabileceğini söyledi.
Moore, “Bilgisayar korsanları, fidye talep etmeme politikalarına rağmen sıklıkla bu kuruluşları hedef alıyorlar. Zira başarısız fidye talepleri bile operasyonları aksatabilir, önemli hasarlara yol açabilir ve çalınan verileri karanlık ağda satmak veya bilgileri çalınan kişilerden kişisel olarak gasp etmek gibi ikincil yollarla maddi kazanç elde etme potansiyeline sahip” dedi.
ABD Sağlık ve Sosyal Hizmetler Bakanlığı’nın HIPAA İhlal Bildirim Aracı web sitesi, pazartesi itibarıyla 2024 yılında eyalet ve yerel halk sağlığı departmanları tarafından bildirilen, yaklaşık 444.000 kişiyi etkileyen en az bir düzine başka büyük sağlık verisi ihlalini gösteriyor.
En büyük ihlal – yaklaşık 253.000 kişiyi etkileyen bir bilgisayar korsanlığı olayı – Nisan ayında Los Angeles İlçe Sağlık Hizmetleri ve Halk Sağlığı Daireleri tarafından bildirildi.
HHS OCR web sitesinde, Eylül 2009’dan bu yana kamu sağlığı departmanları tarafından bildirilen toplam 190 büyük ihlal (64’ü bilgisayar korsanlığı olayı) yer alıyor.
Bugüne kadar, Colorado Sağlık Politikası ve Finansmanı Departmanı 2023’teki en büyük ihlali bildirdi – yaklaşık 4,1 milyon kişiyi etkileyen bir bilgisayar korsanlığı olayı. Bu ihlal, Clop siber suç grubunun MOVEit hack’ini içeriyordu (bkz: MOVEit Aracılığıyla Veri Hırsızlığı: 45 Milyon Daha Fazla Kişi Etkilendi).
Moore, “Yerel ve kamu sağlığı departmanları, personel için kapsamlı güvenlik eğitimi, sistemlerin düzenli olarak güncellenmesi ve yamalanması, çok faktörlü kimlik doğrulamanın uygulanması, uç nokta tespiti ve yanıt verilmesi, güvenlik açıklarını proaktif bir şekilde belirlemek ve gidermek için sık sık güvenlik değerlendirmeleri yapılması ve potansiyel tehditleri etkili bir şekilde anlamak ve azaltmak için düzenli risk analizleri yapılması gibi güçlü temel kontrollerin uygulanmasına öncelik vermelidir” dedi.
“Bu kontroller, NIST Siber Güvenlik Çerçevesi veya Sağlık Endüstrisi Siber Güvenlik Uygulamaları gibi tanınmış güvenlik uygulamalarıyla uyumlu olmalı ve bunlar üzerine inşa edilmelidir.”