Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar , Sağlık Hizmetleri
Atlanta Adamı Suçunu İtiraf Etti, 818.000 Dolar Tazminat Ödemesine Karar Verildi, Hapishaneden Kaçabilir
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
17 Kasım 2023
Vikas Singla, 2018 yılında iki yerel hastanenin bir dizi siber saldırıya maruz kaldığı Atlanta merkezli siber güvenlik firması Securolytics’in baş işletme sorumlusuydu. Singla neredeyse anında müşterilerine ve potansiyel müşterilerine e-posta göndermeye başladı, şirketinin hizmetlerini sundu ve saldırıları bölgede artan siber tehditlerin bir örneği olarak gösterdi.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditlerle Mücadelenin Sınırlamalarını Aşmak: Gerçek Güvenlik Sorunlarına Gerçek Çözümler
Ancak saldırıların arkasındaki beyin Singla’ydı ve federal savcılara göre bunlar, onun şirketinin işlerini hızlandırmasına yardımcı olmak için yapılan bir hileydi.
Cuma günü hala LinkedIn’de Securolytics’in COO’su olarak listelenen Singla, Perşembe günü Georgia federal mahkemesinde, Eylül 2018’de iki hastaneyi etkileyen bir “izinsiz giriş serisi” sırasında korunan bir bilgisayara kasıtlı olarak zarar verildiği iddiasıyla suç duyurusunda bulundu. Duluth ve Lawrenceville, Georgia’daki Gwinnett Tıp Merkezi. Tıp merkezinin adı o zamandan beri Northside olarak değiştirildi.
Adalet Bakanlığı ile yapılan savunma anlaşması kapsamında Singla, olayla ilgili masraflar için tıp merkezine ve sigorta şirketine yaklaşık 818.000 dolar tazminat ödemeyi kabul etti.
Singla en fazla 10 yıl hapis cezasıyla karşı karşıyaydı ancak anlaşma uyarınca Adalet Bakanlığı mahkemeye Singla’nın ev hapsi de dahil olmak üzere 57 ay denetimli serbestlik cezasına çarptırılmasını önereceğini söyledi.
İddia anlaşmasında, Singla’nın hapsedilmesinin “nadir ve tedavisi olmayan bir kanser türü” ve “tehlikeli” bir damar rahatsızlığı için ihtiyaç duyduğu tıbbi bakıma müdahale edeceği belirtildi.
Singla’nın cezasının 15 Şubat 2024’te verilmesi planlanıyor.
Davadaki federal savcılar, 2021’de Singla’ya karşı 18 maddelik bir iddianame hazırladılar (bkz: Güvenlik Firması COO’su Tıp Merkezine Saldırıyla Suçlandı).
Mart ayında, davaya bakan federal yargıç, Atlanta sulh yargıcının Singla’ya yönelik suçlamaları reddetme yönündeki tavsiyelerini reddetti (bkz.: Güvenlik Firması COO’su Siber Saldırı Davasını Reddetme Teklifini Kaybetti).
Hack Ayrıntıları
İddia anlaşmasına göre Singla, 27 Eylül 2018’de, Gwinnett Tıp Merkezi’nin Duluth hastane kampüsündeki ASCOM telefon sisteminin yapılandırma şablonunda yetkisiz bir değişiklikle sonuçlanan bir komutu bilerek iletti.
Mahkeme belgesinde, sonuç olarak, Singla’nın iletimi sırasında Duluth hastanesinin telefon sistemine bağlanan tüm ASCOM telefonlarının çalışmaz hale geldiği ve 200’den fazla ASCOM ahize cihazının çevrimdışı duruma getirildiği belirtildi.
Bu telefonlar, doktorlar ve hemşireler de dahil olmak üzere Duluth hastane personeli tarafından “mavi kod” acil durumları da dahil olmak üzere iç iletişim için kullanıldı. Mahkeme belgesinde ASCOM telefonlarının hastane dışında arama yapmak için kullanıldığı belirtiliyor.
Belgede, aynı gün Singla’nın -izinsiz olarak- Gwinnett’in Lawrenceville hastane kampüsündeki bir mamografi makinesine bağlı Hologic R2 Sayısallaştırıcıdan 300’den fazla hastanın isimleri, doğum tarihleri ve cinsiyetleri gibi bilgileri elde ettiği belirtiliyor.
Gwinnett’in sanal özel ağı üzerinden erişilebilen sayısallaştırıcı bir parolayla korunuyordu. Mahkeme belgesinde, Singla’nın cihaza erişim veya cihazdaki bilgileri elde etme izninin olmadığı belirtildi.
Ayrıca 27 Eylül 2018’de Singla, bilerek bir komut göndererek şu adı taşıyan bir dosyanın yazdırılmasına yol açtı: Baidu.txt
Mahkeme belgesinde, Gwinnett’in Duluth ve Lawrenceville hastane kampüslerindeki 200’den fazla yazıcının, sayısallaştırıcıdan izinsiz olarak alınan hastaların adı, doğum tarihi ve cinsiyetiyle ilgili bilgileri arasına ‘BİZ SİZİN SAHİBİZ’ mesajı serpiştirerek yazdırmasına neden oldu” deniyor.
İddia anlaşmasında “Sanık, yazıcıların Baidu.txt dosyasını yazdırmasını sağlamayı amaçlıyordu ve bunu yapmaya yetkili olmadığını biliyordu.” deniyordu. “Yazıcılar hasta bakımıyla bağlantılı olarak kullanıldı ve bilgisayarda basılan mesajların sağlık personeli arasında korku yaratma ve hastane hizmetlerinin sağlanmasına zarar verme potansiyeli vardı.”
Birkaç gün sonra, 2 Ekim 2018’de Singla, @baidu325017231 adlı Twitter hesabının Gwinnett’in saldırıya uğradığını iddia eden 43 mesaj yayınlamasına “neden oldu”. Savcılar savunma belgesinde, 43 mesajın her birinin Singla’nın hacklenen sayısallaştırıcıdan elde ettiği bir hastanın adını, doğum tarihini ve cinsiyetini içerdiğini belirtti.
Mahkeme belgesinde, olaydan kısa bir süre sonra Singla’nın, şirketi için iş yaratmak amacıyla, şirketin hizmetlerini sunan potansiyel Securolytics müşterilerine e-postalar göndermek ve son Gwinnett olayından bahsetmek de dahil olmak üzere “saldırı hakkında tanıtım oluşturmaya ve kullanmaya çalıştığı” belirtildi.
Mahkeme belgesinde, “Davalının Gwinnett’in ASCOM telefon sistemini, yazıcılarını ve sayısallaştırıcısını etkileyen bilgisayar izinsiz girişleri, sanığın ilgili davranış tarzı da dahil olmak üzere, tıp merkezine 817.804,12 $ tutarında mali zarara yol açtı.” denildi.
Tıp merkezi, Bilgi Güvenliği Medya Grubu’nun yorum talebine hemen yanıt vermedi ve Securolytics ya da Singla’yı temsil eden bir avukat da yanıt vermedi.
Adalet Bakanlığı, ISMG’nin savunmaya ilişkin yorum yapma ve saldırı sırasında Singla’nın şirketi ile Gwinnett Tıp Merkezi arasındaki (varsa) ilişkinin açıklığa kavuşturulması talebini reddetti.
Bulanık Çizgiler
Bazı uzmanlar, Singla vakasının, içeriden kötü niyetli kişileri veya dışarıdan siber suçluları içeren çoğu veri ihlali kapsamının dışında görünse de, olayın gelişen önemli güvenlik hususlarını öne çıkardığını öne sürüyor.
Gizlilik avukatı Kirk Nahra, “Bu oldukça alışılmadık bir durum, ancak genel olarak siber güvenlik dünyasında artan bir soruna bir örnek – burada bazı iyi adamlarla bazı kötü adamlar arasındaki çizgi oldukça bulanıklaşıyor” dedi. Singla davasına dahil olmayan hukuk firması WilmerHale.
Nahra, “‘Pazarlama olarak güvenlik ihlalleri’ fikri oldukça yaygın, ancak güvenlik ‘araştırmacılarından’ da benzer sorunlar görüyoruz; örneğin, sorunun nedeni aslında onlar olsa bile yardım teklif ediyorlar.” dedi. .
Bunun “siber ihlallere nasıl hazırlanılacağı ve bunlara nasıl yanıt verileceği konusunda sürekli gelişen düşünce ihtiyacının devam eden bir parçası” olduğunu ekledi.