3. taraf risk yönetimi, veri ihlali bildirimi, veri güvenliği
ALN Medical Management, 2024 Hacking Olayında 1.82 milyon etkilendiğini söylüyor
Marianne Kolbasuk McGee (Healthinfosec) •
28 Mayıs 2025
Şirket, eyalet ve federal düzenleyicilere güncellenmiş ihlal raporları sunmaya devam ettiği için, Mart 2024’ten bir sağlık gelir döngüsü yönetimi ve faturalandırma hizmetleri sağlayıcısından etkilenen kişi sayısı son haftalarda 1.82 milyondan fazla yükseldi.
Ayrıca bakınız: Netskope Hipaa Haritalama Kılavuzunu Kullanma
Mahkeme belgelerinin Nebraska’da bulunduğunu ve 2023 yılında Maryland merkezli Health Prime International tarafından satın alındığını gösteren ALN Medical Management, son günlerde Teksas ve Kaliforniya Genel Avukatları ve ABD Sağlık ve İnsan Hizmetleri Dairesi’nin sivil haklar ofisi de dahil olmak üzere eyalet düzenleyicilerine birkaç güncellenmiş ihlal raporu sundu.
28 Mart itibariyle, Mayıs 2024’te HHS OCR’ye açılan bir ihlal raporu, 501 kişinin – bir yer tutucu tahmini – bir ağ sunucusunu içeren hack/BT olayından etkilendiğini söyledi (bakınız: Gelir döngüsü yönetimi firması hack hastaları, müşterileri etkiler).
Ancak Çarşamba sabahı erken saatlerde, HHS OCR’ye yapılan ALN ihlal raporu son haftalarda güncellendi ve 1.32 milyondan fazla insanın etkilendiğini belirtti.
Ancak sadece birkaç saat sonra, Çarşamba günü sabahın ortalarında, HHS OCR’nin bir kez daha ALN Breach raporunu güncellediği görüldü, bu kez ihlalin 1.82 milyondan fazla kişiyi etkilediğini belirtti.
ALN’nin federal düzenleyicilere en son güncellenmiş raporu ile şirketin hackleme olayı, ajansın HIPAA ihlali raporlama aracı web sitesi listeleyen HIPAA ihlallerini 500 veya daha fazla kişiyi etkileyen HIPAA ihlallerini listeleyen 734 sağlık veri ihlalinin 12. en büyüğü olarak indi.
Çarşamba günü, ALN olayı, 2024 yılında HIPAA Business Associates’i içeren HHS OCR’ye bildirilen 222 sağlık veri ihlalinin sekizinci en büyüğü olarak da yer aldı.
Aln, ihlal raporlarını devlet düzenleyicilerine de güncelliyor. 27 Mayıs’ta Aln, Teksas Başsavcısı’na 135.268 Teksaslının etkilenenler arasında olduğunu belirten güncellenmiş bir rapor sundu. Bu, 24 Mart raporundan eyalet başsavcılığına, şirketin hackinin 127.113 Teksaslıyı etkilediğini söyleyerek.
Breach Detayları
Aln, ihlal bildiriminde, Mart 2024’te şirketin, üçüncü taraf bir hizmet sağlayıcı tarafından barındırılan sistemlerle ilgili şüpheli faaliyetleri belirlediğini söyledi.
Aln, üçüncü taraf servis sağlayıcısını tanımlamadı, ancak şirket ALN’nin iç BT sistemlerinin olaydan etkilenmediğini söyledi.
Aln, “Soruşturma, üçüncü taraf barındırılan ortamımızdaki belirli dosyalara ve klasörlere 18 Mart ve 24 Mart 2024 arasında yetkisiz bir aktör tarafından erişildiğini veya alındığını belirledi.” Dedi.
Etkilenen bilgiler, bireylerin sosyal güvenlik numarası, sürücü belgesi numarası, pasaport ve eyalet kimlik kartları, finansal bilgiler – hesap numarası, kredi veya banka kartı numarası, tıbbi bilgiler ve sağlık sigortası bilgileri dahil olmak üzere devlet tarafından verilen kimlik numarası içerir.
Çarşamba günü, Aln, firmanın hassas bilgilerini siber suçluların uzlaşmalarından korumaması da dahil olmak üzere, şirkete karşı çeşitli iddialar iddia ederek, ihlalle ilgili en az 16 federal sınıf eylem davasıyla karşılaştı.
Ne Aln ne de firmanın ana şirketi Health Prime International, bilgi güvenliği medya grubunun olay hakkında ek ayrıntılar ve yorum taleplerine hemen yanıt vermedi.
Satıcı Zorlukları
Bazı uzmanlar, Aln Hack’teki artan ihlal kurbanı toplamının şaşırtıcı olmadığını söyledi. Güvenlik firması Lumifi Cyber’ın profesyonel hizmetler başkan yardımcısı Fred Langston, “ABD’deki ilk altı gelir döngüsü yönetimi hizmet sağlayıcısından, son 18 ay içinde üçü siber saldırılar ve son on yılda üç tane daha deneyimledi.” Dedi.
Geçen yılki sağlık sigortası UnitedHealth Group’un Sağlık Hizmetleri BT hizmetleri birimine göre siber saldırıdan son zamanlarda tıbbi borç tahsildarı toplayıcı toplama hizmeti tarafından bildirilen bir hack olaya kadar değişen diğer benzer satıcı ihlalleri, milyonlarca kişiyi etkileyen üçüncü taraf uzlaşmaların diğer birçok örneğidir.
Langston, “Ödeyiciler ve tıbbi toplama ajansları, hackerlar için en iyi hedeftir çünkü milyonlarca insan hakkında değerli verilere sahipler.” Dedi.
Düzenleyici avukat Hales Hukuk Grubu’ndan Paul Hales de benzer bir bakış açısı sundu. “Bu ihlalin büyük ölçeği, birçok kişiye hizmet veren ve ALN gibi gelir döngüsü yönetimi satıcılarına bağlı olan modern sağlık hizmetlerinin bir ürünüdür.” Dedi.
Bu tür satıcılar, dolandırıcıların kullanabileceği hasta bilgilerini tutar ve bilgileri sürekli olarak başkalarına iletir ve kötü amaçlı yazılımlarla enfeksiyona izin veren güvenlik açıklarına maruz kalmayı artırır.
Hales, ALN’deki gibi büyük bir ihlalin de etkilenen bireyleri tanımlamak için uzun bir süreç gerektirdiğini söyledi. “Zamanında, yararlı ihlal bildirimleri sağlamak için sağlam, verimli denetim parkurları oluşturulmalıdır.”
Güvenlik firması Mind’in kurucu ortağı ve CEO’su Eran Barak, HIPAA Business Associates gibi üçüncü tarafların da bir ihlalin kapsamını belirlerken zorluklar eklediklerini söyledi.
“Zorluk, hem teknik hem de prosedürel olan kör noktalarda yatmaktadır. Üçüncü taraf satıcıların çoğu verilerine kapsamlı bir görünürlükten yoksundur.” Dedi.
“Hassas veriler birden fazla ortamda yaşayabilir: bulut sistemleri, yerel depolama, saaS platformları, uç noktalar ve e -posta. Bir ihlal meydana geldiğinde, bu sadece neyin erişildiği değil, ne tür verilere maruz kaldığıyla ilgili ve kimin verileri ile ilgilidir” dedi.
Bazı uzmanlar, genellikle insan sayısını ve büyük ihlallerde ortaya çıkan belirli bilgileri belirleme sürecinin bir bilimden ziyade bir sanat olduğunu söyledi.
Langston, “Çoğu varlık, büyük bir ihlal durumunda, kapsamlı adli soruşturma faaliyetlerinin tamamlanmasından sonra bile kaç kaydın ortaya çıktığını tahmin ediyor.” Dedi.
Buna iki ana faktör oynuyor, dedi. “Kimin kayıtlarını ihlal ettiğini belgelemek için tam adli kayıtlarınız yoksa – ve ne yazık ki birçok kuruluş… sadece bir ihlal gerçekleşene kadar kimin kayıtlarının ihlal edildiğini belirlemek için yeterli günlüğe sahip olmadığını öğrenin – ihlal edilen varlık hakkındaki tüm kayıtların ortaya çıktığını varsaymalısınız ve bildirmelisiniz.” Dedi.
İkincisi, “İhlal edilen bir varlık üzerindeki tüm kayıtların, çalıntı her kaydı tanımlamak için adli soruşturmalar çok pahalı, sıkıcı, hataya yatkın olduğu ve tüm kayıtların açığa çıktığını gösterebileceğinden, yaygın olarak daha ucuz ve daha kolay olduğunu varsayıyor” dedi. “Tüm kayıtların ortaya çıktığını varsaymak daha hızlı, daha ucuz ve daha kolay.”
Hales, bu ve diğer zorluklardan bağımsız olarak, birçok sağlık sektörü kuruluşunun veri güvenliğini ve gizlilik programlarını desteklemesi gerektiğidir.
“Sağlık endüstrisi, hasta bilgi güvenliği için risklerin analiz edilmesi ve yönetilmesi de dahil olmak üzere temel HIPAA uyumluluğunu geliştirmelidir.” Dedi. “Gizlilik, etik sağlık hizmetlerinin temelini ve sınıf eylem davalarının önündeki bir engeldir.”