3. Taraf Risk Yönetimi, İhlal Bildirimi, Yönetişim ve Risk Yönetimi
Teksas Merkezli Gryphon Healthcare, İhlalin Merkezinde İsimsiz Bir Üçüncü Tarafın Bulunduğunu Söyledi
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
14 Ekim 2024
Teksas merkezli bir sağlık gelir döngüsü yönetimi firması, yaklaşık 400.000 kişiye, başka bir üçüncü taraftan kaynaklandığını söylediği bir bilgisayar korsanlığı olayını bildiriyor. Olay, satıcıları ilgilendiren ve bu yıl şu ana kadar on milyonlarca hastayı etkileyen, giderek büyüyen büyük sağlık veri ihlalleri listesinde yer alıyor.
Ayrıca bakınız: Üçüncü Taraf Ayrıcalıklı Erişimi: Sorunsuz. Verimli. Güvenli.
Gryphon Healthcare Perşembe günü Maine başsavcısına “harici sistem” hackleme ihlalinin 393.358 kişiyi etkilediğini söyledi.
Gryphon Healthcare web sitesinde hastanelere, acil servislere, doktor gruplarına, ayaktan cerrahi merkezlerine, görüntüleme merkezlerine, bağımsız laboratuvarlara, sağlık tesislerine ve acil tıbbi hizmet sağlayıcılara gelir döngüsü yönetimi, kodlama ve uyumluluk ve danışmanlık hizmetleri sağladığını belirtiyor.
13 Ağustos’ta Gryphon Healthcare, “Gryphon’un tıbbi faturalandırma hizmetleri sağladığı bir ortağın dahil olduğu ve Gryphon tarafından tutulan belirli kişisel ve/veya korunan sağlık bilgilerine yetkisiz erişimle sonuçlanan” bir veri güvenliği olayının farkına vardığını belirtti. ihlal bildirimi.
“Bu üçüncü taraf güvenlik olayının bir sonucu olarak, yetkisiz bir kişi, Gryphon’un tıbbi faturalandırma hizmetleri sağladığı hastalara ilişkin bilgileri içeren belirli dosyalara ve verilere erişmiş olabilir.”
Gryphon, potansiyel olarak etkilenen tüm dosya ve verilerin “kapsamlı bir incelemesini” 3 Eylül’de tamamladığını ve ardından ihlal bildirim mektupları için iletişim bilgilerini toplamaya çalıştığını söyledi.
Olayda potansiyel olarak tehlikeye atılan mevcut ve eski hastaların bilgileri arasında isimler, doğum tarihleri, adresler, Sosyal Güvenlik numaraları, hizmet tarihleri, teşhis, sağlık sigortası bilgileri, tıbbi tedavi, reçeteler, sağlayıcı bilgileri ve tıbbi kayıt numarası yer alıyor.
Şirket, “Gryphon’un bu olay nedeniyle potansiyel olarak etkilenmiş herhangi bir bilginin kötüye kullanıldığına dair hiçbir kanıtı yok” dedi.
Gryphon’un bildirimi, olaya karışan üçüncü tarafın türünü tanımlamamakta veya açıklamamaktadır ve şirketi temsil eden bir avukat, Bilgi Güvenliği Medya Grubu’nun ihlalle ilgili açıklama ve ek ayrıntılar talebine hemen yanıt vermedi.
Bazı uzmanlar, Gryphon’un ihlalinin merkezinde yer alan isimsiz üçüncü tarafın potansiyel olarak birkaç farklı türde varlık olabileceğini söyledi.
Gryphon olayına karışmayan düzenleme avukatı Rachel Rose, “Gryphon’un işinin doğası göz önüne alındığında, ‘ortak’ terimi muhtemelen HIPAA kapsamındaki kuruluş kategorisine girecek olan müşterilerinden birini ifade ediyor” dedi.
“Alternatif olarak, ‘ortak’ olduğu bir iş ortağı da olabilir, ancak bunu tahmin etmek spekülatif olacaktır. Açıklama yapan çoğu kişi ya kapsam dahilindeki bir kuruluştan ya da bir iş ortağından söz ettiğinden, bu alışılmadık bir kelime seçimidir.”
Gizlilik ve güvenlik danışmanlığı firması The Marblehead Group’un başkanı Kate Borten, Gryphon’un ihlal bildirimini “kafa karıştırıcı” bulduğunu söyledi.
“‘Üçüncü tarafın’ hastane, klinik veya laboratuvar gibi bir sağlık hizmeti sağlayıcısı olduğunu varsayıyorum. Muhtemelen bir iş ortağı olan Gryphon’un, ihlalin meydana geldiği kuruluş yerine bildirimde bulunması ve isminin belirtilmemesi ilginçtir” dedi.
Borten, federal düzenleyicilerin “güvenlik ve gizlilik programları da dahil olmak üzere isimsiz tarafın bu ihlaldeki rolünü muhtemelen araştıracağını” söyledi.
Gryphon, ihlal bildiriminde “güvenliği artırmak ve gelecekte benzer bir olayın meydana gelme riskini en aza indirmek için önlemler uyguladığını” söyledi.
Satıcı Riski
Pazartesi itibarıyla, Gryphon Healthcare olayı henüz ABD Sağlık ve İnsani Hizmetler Bakanlığı’nın 500 veya daha fazla kişiyi etkileyen sağlık verileri ihlallerini listeleyen HIPAA İhlal Raporlama Aracı web sitesinde yayınlanmadı.
Bununla birlikte Pazartesi itibarıyla, 2024 yılında HHS’nin Sivil Haklar Ofisi web sitesinde yayınlanan 534 büyük sağlık verisi ihlalinin yaklaşık üçte birinin (174’ünün) bir iş ortağıyla ilgili olduğu bildirildi.
Bu iş ortakları ihlalleri, bu yıl şu ana kadar web sitesinde yayınlanan büyük sağlık verileri ihlallerinden etkilenen 63,75 milyon kişinin yaklaşık 27,2 milyon kişiyi veya yaklaşık %42’sini etkiledi.
Bu toplamlar, Şubat ayında UnitedHealth Group’un BT hizmetleri birimi Change Healthcare’e yapılan fidye yazılımı saldırısının tam etkisini henüz yansıtmıyor. UHG, olayın muhtemelen Amerikalıların yaklaşık üçte biri için bilgileri tehlikeye attığını söyledi. Ancak Change Healthcare ihlali, şirketin Temmuz ayında bildirdiği gibi, etkilenen 500 kişinin yer tutucu tahminiyle birlikte HHS OCR web sitesinde hâlâ listeleniyor.
Pazartesi itibarıyla Change Healthcare tarafından güncellenmiş bir ihlal raporunun bulunmaması nedeniyle, HHS OCR web sitesinde bu yıl şimdiye kadar görülen en büyük veri ihlali, Utah merkezli bir sağlık yardımları yöneticisi olan HealthEquity tarafından Ağustos ayında bildirilen 4,3 milyon kişiyi etkileyen bir bilgisayar korsanlığı olayıydı (bkz. : Health Benefits Administrator Hack’i 4,3 Milyonu Etkiliyor).
Rose, “Mesaj 2013 HIPAA Çok Amaçlı Kuralından bu yana açık: iş ortakları ve taşeronlar kapsam dahilindeki kuruluşlarla aynı sorumluluğa sahiptir” dedi. Satıcı ihlallerinden elde edilen en önemli sonuç, korunan sağlık bilgilerini işleyen tüm HIPAA düzenlemeli kuruluşların, bu verilerin mahremiyetini ve güvenliğini korumak için önemli adımlar atması gerektiğidir, dedi.
Bunun, personele yeterli eğitim sağlamayı, güçlü politika ve prosedürleri sürdürmeyi, beklemede ve geçişte şifrelemeyi uygulamayı, yazılımları saldırılara karşı izlemeyi, iş ortaklığı anlaşmalarını yürütmeyi ve yıllık HIPAA risk analizini yürütmeyi içerdiğini söyledi.
“Bu tedbirlerin karşılandığından emin olmak kritik önem taşıyor.”