Hack at Services Firması 2,4 Milyon Göz Doktoru Hastasına Ulaştı

Veri hırsızlığı, HIPAA tarafından düzenlenen iş ortakları tarafından düzenleyicilere bildirilen en son büyük hack olayları arasında yer alıyor. Geçen yıl, 10 saldırıdan 4’ü, fatura tahsilatından notların yazıya geçirilmesine ve çok sayıda sağlık kuruluşuna kadar geniş bir hizmet yelpazesinden bir veya daha fazlasını sağlayan bir üçüncü taraf satıcıyı içeriyordu.

American Vision Partners olarak faaliyet gösteren Medical Management Resource Group, web sitesine göre 12 uygulamayla birlikte çalışıyor ve bir yönetim sistemi, BT ve altyapıyı “paylaşıyor”. Şirketin 6 Şubat’ta Sağlık ve İnsani Hizmetler Bakanlığı’na sunduğu raporda, olayda bir ağ sunucusunun hacklenmesinin yer aldığı ve 2,35 milyondan fazla kişinin etkilendiği belirtildi.

Tempe, Arizona merkezli firma, 14 Kasım’da ağının belirli kısımlarında yetkisiz faaliyet tespit ettiğini söyledi. MMRG, etkilenen sistemi izole etmek ve dış siber güvenlik firmalarından yardım almak da dahil olmak üzere olayı kontrol altına almak için derhal adımlar attığını söyledi. Şirket ayrıca kolluk kuvvetlerine bilgi verdiğini ve BT sistemlerini daha da güvenli hale getirmek için ek önlemler aldığını söyledi.

MMRG, 6 Aralık civarında, Kasım ayındaki olayda “yetkisiz tarafın”, etkilenen uygulamalardaki hastalarla ilgili kişisel bilgileri elde ettiğini belirlediğini söyledi.

Ele geçirilen bilgiler hastalar arasında değişiklik gösterir ancak isimler, iletişim bilgileri, doğum tarihleri ​​ve alınan hizmetler, klinik kayıtlar ve ilaçlar dahil olmak üzere tıbbi bilgileri içerebilir. Bazı kişilerin hacklenmesi Sosyal Güvenlik numaralarını ve sigorta bilgilerini de etkiledi.

MMRG, bir ihlal bildiriminde etkilenen kişilere, olayın ardından hassas bilgilerinin korunmasına yardımcı olmak için kredi raporlarını yakından takip etmek ve hesap özetlerini gözden geçirmek de dahil olmak üzere “belirli adımlar” atmalarını tavsiye etti. MMRG, etkilenen kişilere iki yıllık ücretsiz kimlik ve kredi izleme olanağı sunuyor.

MMRG, Bilgi Güvenliği Medya Grubu’nun, oftalmoloji muayenehanesi müşterilerinden kaçının etkilendiği de dahil olmak üzere olayla ilgili ek ayrıntılara ilişkin talebine hemen yanıt vermedi.

Web sitesinde listelenen uygulamalar arasında Arizona merkezli birkaç uygulama bulunmaktadır – Barnet Dulaney Perkins Göz Merkezi, Güneybatı Göz Merkezi, M&M Göz Enstitüsü, Arizona Retinal Danışmanları, Aiello Göz Enstitüsü ve Moretsky Cassidy Görme Düzeltme; iki Nevada muayenehanesi – Abrams Göz Enstitüsü ve Wellish Vizyon Enstitüsü; Teksas’ta iki – West Texas Eye Associates ve Lubbock Lazer Göz Merkezi; biri New Mexico’da – Güneybatı Göz Enstitüsü’nde; ve biri Kaliforniya’nın merkezinde – Vantage Göz Merkezi.

Satıcı Riski

MMRG olayı, üçüncü taraf hizmet firmalarının dahil olduğu en son büyük sağlık verisi ihlallerinden biridir. 2023 yılında, fatura tahsilat şirketleri, muayenehane yönetim firmaları ve tıbbi transkripsiyon hizmetleri dahil olmak üzere iş ortakları, HHS’ye bildirilen 734 büyük ihlalin yaklaşık %40’ını veya 275’ini oluşturdu.

Bu olaylar yaklaşık 90,3 milyon insanı veya mağdur olan 135,3 milyon kişinin yaklaşık üçte ikisini etkiledi (bkz: 2023, Sağlık Verileri İhlallerinde Uzun Süreli Rekorları Nasıl Kırdı?).

Bu olayların en büyüğü tıbbi transkripsiyon hizmetleri şirketi Perry Johnson & Associates tarafından bildirildi ve ihlal şu ​​ana kadar birçok büyük sağlık kuruluşu müşterisini ve yaklaşık 14 milyon kişiyi etkiledi. PJ&A, ilk olarak Kasım ayında HHS’ye olayın yaklaşık 9 milyon kişiyi etkilediğini bildirdi. Ancak son aylarda ve haftalarda, hacklemeyi içeren ve ek PJ&A müşterilerini ve onların milyonlarca hastasını etkileyen birkaç ihlal, düzenleyici kurumlara bildirildi (bkz.: Terapi Sağlayıcısı 4 Milyon Hastaya PJ&A Hack’ini Bildiriyor).

Satıcı Riskinin İncelenmesi

Güvenlik danışmanlık firması Pondurance’ın hizmetlerden sorumlu başkan yardımcısı ve CISO’su Dustin Hutchison, sağlık kuruluşlarının bu son olaylar hakkında satıcıları ve üçüncü taraf sağlayıcılarıyla konuşması ve sahip oldukları kontroller ve seçenekler hakkında bilgi alması gerektiğini söyledi.

“Tehdit ortamı ve güvenlik açıkları sürekli değişiyor, bu nedenle hastalara daha iyi hizmet verebilmek için nasıl iyileştirilebileceğine dair sürekli bir inceleme önemlidir” dedi. Kritik hizmetler sağlayan satıcılar ve iş ortakları, büyük miktarda veri işledikleri için saldırıların hedefi oluyor, “bu nedenle kontrollerden beklentiler ve bu kontrolleri gösterme yeteneği daha yüksek olmalıdır.

“Kuruluşların farklı gereksinimleri olacak, ancak tüm müşterileri için güçlü bir program temeli oluşturmak norm olmalıdır. Uygun erişim kontrolleri, denetim ve proaktif tespit ve yanıt ile agresif bir güvenlik açığı yönetimi programı sergileyebilmek uzun bir yol kat ediyor. “

Hutchison’a göre, daha küçük tıbbi uygulamalar bile, güvenlik ve uyumluluk söz konusu olduğunda, özellikle de piyasada başka seçenekler varken, üçüncü taraf sağlayıcıların insafına bırakılmamalı.

“Her büyüklükteki uygulama, satıcıyla görüşerek ve bu gereklilikleri sözleşmeye dahil ederek satın almadan önce ihtiyaç duydukları güvenlik kontrollerinin mevcut olmasını sağlamaya odaklanmalıdır” dedi. Daha küçük uygulamalara odaklanan satıcıların, ortak sorumluluk ve çözümlerinin uygulama için neden uygun olduğu konusunda net bir anlayışa ve duruşa sahip olmaları gerektiğini ekledi.

“Tıbbi uygulamalar, verilerini ve ortamlarını korumak için düzenleyici gereksinimlere ve gerekli güvenlik kontrollerine dayalı olarak risk toleranslarını oluşturarak üçüncü taraf risklerini anlamaya odaklanmalıdır. Bir satıcının güvenlik ve uyumluluk gereksinimlerini karşıladığından emin olmak için en iyi zaman, satın almadan önce, Satıcının mevcut süreçleri ve kontrolleri ve uygulama beklentileri ve ihtiyaçları ile uyum.”