İhlal Bildirimi, HIPAA/HITECH, Güvenlik Operasyonları
Endüstri Dernekleri, Federal Hükümetin Sağlık Hizmetlerinde Değişiklik Yapmak İçin Düzenleyici Yükümlülük Yüklemesini İstiyor
Marianne Sosis McGee (SağlıkBilgiGüvenliği) •
1 Temmuz 2024
İki hafta önce, Change Healthcare milyonlarca hastayı etkileyen büyük bir veri ihlali hakkında binlerce tıp kliniğine bildirimde bulunmaya başladı. Sağlık yazılım firması, ihlal bildirimlerini ele alacağını söylüyor ancak sektör grupları hükümetin bu plana uymasını garantilemek istiyor.
Ayrıca bakınız: 2024 Küresel Tehdit Manzarası Genel Bakışı
Aksi takdirde gruplar, küçük sağlık kuruluşlarının, hastanelerin ve diğer hizmet sağlayıcıların büyük maliyetlerle karşı karşıya kalacağından ve kaynak kaybına uğrayacağından endişe ediyor. Zira birçoğu, Şubat ayında gerçekleşen siber saldırı ve sonrasında aylarca hizmetleri ve faturalandırmayı aksatan kesinti nedeniyle mali sıkıntılar yaşadı.
Sağlık Bilgi Yönetimi Yöneticileri Koleji, Amerikan Tabipler Birliği ve üç büyük endüstri grubu, 26 Haziran tarihli bir mektupta, Sağlık ve İnsan Hizmetleri Bakanlığı Sivil Haklar Ofisi’nden, Change Healthcare olayı bağlamında HIPAA tarafından düzenlenen kuruluşların ihlal bildirim sorumluluklarının açıkça belirtilmesi için daha fazla rehberlik talep etti.
“Bu durumun karmaşık yapısı göz önüne alındığında, üyelerimizin birkaç açık sorusu var ve ofisinizden derhal rehberlik ve çözüm talep ediyorlar,” diye yazdı grup HHS OCR Müdürü Melanie Fontes Rainer’a. “OCR’nin bu durumda ‘ne zaman, ne, neden ve nasıl’ sorularını derhal ana hatlarıyla belirtmesi ve iletmesi, sorumlu tarafın gecikmeden harekete geçebilmesini sağlaması önemlidir.”
Binlerce sağlık CIO’su ve CISO’sunu temsil eden CHIME ve on binlerce doktoru temsil eden AMA, kuruluşların ihlal bildirim görevlerini Change Healthcare’e devretmeleri halinde “bildirim yükümlülüklerinin Change Healthcare/UHG’de kalacağını ve kapsam dahilindeki kuruluşların Change Healthcare/UHG’ye mümkün olduğunca gerekli bilgileri sağlama yönündeki makul taleplere yanıt vereceğini” HHS OCR’den teyit etmek istiyor.
Amerikan Aile Hekimleri Akademisi, Amerikan Tabipler Koleji ve Tıbbi Grup Yönetim Derneği’nin de imzaladığı mektupta, “Daha azı, etkilenen klinisyenler ve sağlayıcıların halihazırda deneyimlediği ezici yükü azaltmada ve netlik sağlamada yetersiz kalacaktır” denildi.
Change Healthcare, iki ay boyunca internet sitesinde yayınladığı bir bildiride, müşterilerine “bu tür bir delegasyonun endüstri standardı bir uygulama olduğunu” söyledi. Şirket, HHS ve eyalet düzenleyicilerini bilgilendirmeyi ve “etkilenen müşterilerin yükünü azaltmak” için bireysel hastalara bildirim mektupları hazırlayıp göndermeyi teklif etti.
Mayıs ayında düzinelerce başka sağlık sektörü grubu da HHS OCR’den, kurumun Change Healthcare’i ihlal bildirim görevlerinden sorumlu tutmasını istedi (bkz. 100 Grup, Federal Hükümeti UHG’yi İhlal Bildirimleri İçin Askıya Almaya Çağırıyor).
HHS OCR gruplara yanıt verdi ve 31 Mayıs’ta Change Healthcare olayıyla ilgili olarak ilk olarak Nisan ayında yayınlanan güncellenmiş kılavuzu yayınladı (bkz: Federal Hükümet, Change Healthcare’in İhlal Bildirimini Ele Alabileceğini Söylüyor).
Sıkça sorulan sorular şeklinde güncellenen kılavuzda, HIPAA kapsamındaki kuruluşların olayla ilgili olarak ihlal bildirimini Change Healthcare ve ana şirketi UnitedHealth Group’a devredebileceği, etkilenen bireylere, HHS’ye ve medyaya bildirimde bulunabileceği belirtildi.
Ancak HHS OCR, güncellenen materyalinde ajansın Nisan ayındaki kılavuzunda söylediklerini yineledi – HITECH Yasası uyarınca, kapsam dahilindeki kuruluşlar, bu tür bildirimlerin gerçekleşmesini sağlamaktan nihai olarak sorumludur (bkz: Federal Hükümet Sağlık İhlali Bildirim Görevlerinde Değişiklik İçin Kılavuz Yayımladı).
CHIME, AMA ve diğer üç grup son mektuplarında HHS OCR’den bildirimle ilgili bir dizi başka zor konu ve ayrıntı üzerinde daha fazla durmasını istiyor.
Mektupta, “Change Healthcare/UHG veya HHS tarafından kapsam dahilindeki kuruluşların, ihlal bildirim sorumluluğunu Change Healthcare/UHG’ye devretmek için tamamlayabilecekleri resmi bir süreç oluşturulacak mı, böylece bu mümkün olduğunca sorunsuz hale getirilecek mi – örneğin, çevrimiçi bir başvuru formu?” sorusu soruluyor.
“Delegasyon, Change Healthcare/UHG tarafından barındırılan bir çevrimiçi portal üzerinden gerçekleştirilemiyorsa, Change Healthcare/UHG ile iş ortaklığı ilişkisi içinde olan ve ihlal bildirimlerini Change Healthcare/UHG’ye delege etmek isteyen kapsam dahilindeki kuruluşların alması gereken beklenen ve özel eylemler nelerdir?
Mektupta, “OCR’den, Change Healthcare/UHG ile BA ilişkisi olmayan CE’lerin, Change Healthcare/UHG veri ihlaliyle ilgili olarak herhangi bir ihlal bildirimi yükümlülüğü altında olmadığına dair net bir açıklama sağlamasını talep ediyoruz” denildi.
HHS OCR, Information Security Media Group’un yorum talebine hemen yanıt vermedi.
UnitedHealth Group CEO’su Andrew Witty, Mayıs ayında Kongre’ye Change Healthcare ihlalinin potansiyel olarak Amerikalıların üçte birini etkilediğini söyledi. ABD Nüfus Bürosu, ABD nüfusunun 336 milyondan fazla olduğunu söylüyor (bkz: Kanun koyucular UnitedHealth CEO’sunu Sağlık Hizmetlerindeki Değişim Saldırısı Konusunda Sorguya Çekti).
Şirket, olaydan etkilenen kişilere bildirimde bulunmaya başlamanın muhtemelen Temmuz sonuna kadar süreceğini söyledi. 21 Şubat’ta keşfedilen Change Healthcare saldırısı, on binlerce sağlık hizmeti sağlayıcısının talep işleme ve diğer kritik iş süreçlerini haftalarca aksattı (bkz: Change Healthcare, Saldırıdan Etkilenen Müşterileri Bilgilendirmeye Başlıyor).
UnitedHealth Group, bir şifre çözücü anahtar ve veri sızıntısını önlemek için BlackCat’e (Alphv olarak da bilinir) 22 milyon dolar fidye ödediğini itiraf etti. Ancak saldırıdan ve fidye talebinden bir ay sonra, Change Healthcare saldırısının sorumluluğunu üstlenen bir BlackCat iştiraki, iştirakin payını paylaşmak yerine BlackCat’in fidye ödemesinin tamamını kendisinde tuttuğunu iddia etti.
Siber suç grubu RansomHub daha sonra UHG’yi tekrar gasp etmeye çalıştı ve saldırıda BlackCat iştiraki tarafından çalınan 4 terabayt veriye sahip olduklarını iddia etti (bkz: İkinci Bir Çete UnitedHealth Group’u Fidye İçin Sarsıyor).