İhlal Bildirimi, Dolandırıcılık Yönetimi ve Siber Suçlar, Sağlık Hizmetleri
Siber Suçlu Çetesinin Para Mesajı Kredi Aldı, Çalınan Kayıtları Yayınladı
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
10 Aralık 2024
Massachusetts’teki bir hastane, yaklaşık bir yıl önce 2023 Noel’inde keşfedilen bir siber saldırıda 316.000 kişiye bilgilerinin tehlikeye girdiğini bildiriyor. Siber suç grubu Money Mesaj, olayda 600 gigabaytlık veriyi çaldığını ve hasta ve çalışan kayıtlarını çetenin karanlık web sitesinde yayınladığını iddia etmişti. Ocak ayında geri döndüm.
Ayrıca bakınız: Kuruluşunuzu Güvenceye Almak İçin 57 İpucu
Merkezi Newburyport’ta bulunan ve Boston merkezli çok daha büyük Beth Israel Lahey Sağlık sağlık sisteminin bir parçası olan Anna Jaques Hastanesi, 5 Aralık’ta Maine eyaleti düzenleyicilerine, 25 Aralık’ta veya buna yakın bir tarihte ağında bir siber güvenlik olayı yaşandığını söyledi. 2023, bazı BT sistemlerini geçici olarak kesintiye uğrattı.
Salı günü itibarıyla Anna Jaques olayı, ABD Sağlık ve İnsani Hizmetler Bakanlığı’nın 500 veya daha fazla kişiyi etkileyen ihlalleri listeleyen HIPAA İhlal Raporlama Aracı web sitesinde henüz yayınlanmamıştı.
Anna Jaques, geçen hafta web sitesinde yayınlanan güncellenmiş bir basın açıklamasında, olayla ilgili ilk bildirimi 24 Ocak’ta hastanenin “çok dikkatli” olarak soruşturmasını yürüttüğü sırada yayınladığını söyledi.
Ancak güncellenen bildirimde, Anna Jaques’in 5 Kasım’da nihayet “kapsamlı adli tıp soruşturmasını ve manuel belge incelemesini” tamamlayarak bilgi içeren belirli dosyalara yetkisiz bir tarafça “erişildiğini” belirlediği belirtiliyor.
Hastanenin duyurusunda, olayda verilerin çalındığı ve Money Mesaj’ın karanlık web blog sitesinde yayınlandığı iddiasından da bahsedilmiyor. Sızan belgeler arasında çalışanların disiplin kayıtları, hasta aşıları, tıbbi görüntüleme talimatları ve teşhisleri ile diğer ayrıntılı bilgileri içeren dosyalar yer alıyor.
Anna Jaques, ihlal bildiriminde, ele geçirilen bilgilerin kişiye göre değiştiğini ancak demografik bilgiler, tıbbi bilgiler, sağlık sigortası bilgileri, Sosyal Güvenlik numarası, ehliyet numarası, mali bilgiler ve diğer kişisel veya sağlık bilgilerini içerebileceğini söyledi.
Hastane, olayın tespit edilmesi üzerine “ağın kontrol altına alındığını” söyledi, soruşturma başlattı ve kolluk kuvvetlerine bilgi verdi. Bildiride, “Anna Jaques’in bu olay sonucunda herhangi bir dolandırıcılık olduğuna dair hiçbir belirtisi yok” denildi.
İhlal raporunda Anna Jaques’i temsil eden avukat, Information Security Media Group’un olayla ilgili ek ayrıntılar ve Money Mesaj’ın iddiaları hakkında yorum yapma talebine hemen yanıt vermedi.
Genişletilmiş İhlal Analizi
Bazı uzmanlar, Anna Jaques’in ifadelerine dayanarak, olayda ele geçirilen verilerin analizinin alışılmadık derecede uzun sürdüğünü söyledi.
Direktörü Jeff Wichman, “Adli tıp soruşturması için koca bir yıl duyulmamış bir şey var. Tecrübelerime göre, en uzun soruşturmalar dört ila beş ay sürdü ve milyonlarca kullanıcıyı içeriyordu; rapor edildiği gibi bu saldırıda durum böyle değil” dedi. Semperis güvenlik firmasında olay müdahalesi ve eski bir fidye yazılımı müzakerecisi.
Neovera güvenlikten sorumlu başkan yardımcısı Paul Underwood, Anna Jaques’in ihlal bildiriminde hastanenin olayın ele alınmasına yardımcı olması için üçüncü taraf siber güvenlik uzmanlarını görevlendirdiğini belirtirken, diğer birçok kar amacı gütmeyen kuruluşun siber personel bulma konusunda genellikle zor zamanlar yaşadığını söyledi: yönetilen bir bulut ve siber güvenlik hizmetleri sağlayıcısı.
Underwood, bunun, ortamlarına erişimi olan kötü niyetli aktörleri keşfeden tehditleri sürdürmeye, işletmeye ve avlamaya yardımcı olmak için gereken sayıda güvenlik görevlisini işe alma yeteneğini de içerdiğini söyledi.
“Bu kar amacı gütmeyen şirketlerin bazılarının sahip olduğu sınırlı personel nedeniyle, mevcut günlük operasyonlarına ek analist çalışmaları eklemek zordur, bu nedenle kuruluşlar, sigorta şirketlerinin soruşturma yardımı için getirdiklerinin insafına kalmıştır veya bu analiz hizmetlerini sağlamak için üçüncü tarafları işe alıyorlar” dedi.
Diğer uzmanlar, Anna Jaques’in ifadesinde şu ana kadar belirsiz olan şeyin, olayda ele geçirilen bilgilerin belirlenmesi için yapılan uzun analize katkıda bulunmuş olabilecek diğer faktörler olduğunu söyledi.
Neovera CEO’su Scott Weinberg, “Ancak bilmediğimiz şey, hangi sistemlerin veya verilerin etkilendiğini belirlemek için hangi kayıtların mevcut olduğudur” dedi.
“Fidye yazılımı saldırganlarının arkalarında çok az veya belki de bozuk bir kanıt izi bırakmış olması mümkündür, bu da neyin görüntülendiğini veya indirildiğini belirlemeyi son derece zorlaştırır.”
Wichman, geçen yıl Anna Jaques’e düzenlenen saldırının tatil sezonunda gerçekleşmesine şaşırmadığını söyledi. Aslında yakın zamanda yayınlanan bir Semperis tatil fidye yazılımı raporu, şirketlerin ortalama %72’sinin ve sağlık sektörü kuruluşlarının %74’ünün tatillerde ve hafta sonlarında fidye yazılımına maruz kaldığını gösteriyor.
Money Mesaj, Anna Jaques’in bilgilerini Ocak ayında dark web’de yayınladığından (Salı itibarıyla bu bilgiler orada kalmaya devam etti), hastanenin tehdit aktörleriyle müzakerelere girişmediği de görülüyor.
“Genel olarak, kuruluşların saldırganlarla temasa geçmeme konusunda katı ve kesin kuralları olduğu zamanlar vardır. Bu tutumu sergilemenin yararlı olduğunu düşünmüyorum çünkü adli soruşturma, en azından müzakere aşamasından anlaşılarak kısaltılabilirdi. Saldırganın çalmış olabileceği şey.” dedi Wichman.