İhlal Bildirimi, Siber Suç, Dolandırıcılık Yönetimi ve Siber Suç
Bu, Bir Ambulans Hizmet Sağlayıcısının Son Haftalarda Bildirdiği En Son Hack’tir
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
23 Mayıs 2024
Illinois merkezli bir hava-kara ambulans şirketi, yaklaşık bir yıl önce meydana gelen bir bilgisayar korsanlığı olayında 858.000’den fazla kişiye hassas bilgilerinin ele geçirildiği konusunda bildirimde bulunuyor. Bu ihlal, bir ambulans şirketine yönelik son haftalarda düzenleyici makamlara bildirilen son saldırıdır.
Ayrıca bakınız: Küçük İşletme Güvenlik Duvarı Kılavuzu
Üstün Hava-Yer Ambulans Servisi, 10 Mayıs’ta ABD Sağlık ve İnsani Hizmetler Bakanlığı’na, 2023’teki bilgisayar korsanlığı olayının bir ağ sunucusunu içerdiğini ve 858.238 kişiyi etkilediğini belirten bir rapor sundu.
Şirketin ihlal bildiriminde Superior’un Mayıs 2023’te bilgisayar sistemlerinde “olağandışı aktivite” öğrendiği belirtiliyor. Şirket, “Superior, sistemi güvence altına almak için derhal gerekli adımları attı ve olayın tüm niteliğini, kapsamını ve etkisini doğrulamak için kapsamlı bir soruşturma başlattı.” dedi.
Yaklaşık bir ay sonra, 23 Haziran 2023’te şirketin soruşturması, yetkisiz bir kişinin 15 Mayıs 2023 ile 23 Mayıs 2023 tarihleri arasında ağdaki belirli dosyaları kopyaladığını belirledi.
Şirket, “Superior daha sonra, hangi bilgilerin mevcut olduğunu ve bu bilgilerin kiminle ilgili olduğunu belirlemek ve kataloglamak için etkilenen dosyaların kapsamlı ve zaman yoğun bir incelemesini üstlenmek için çalıştı” dedi. “Üstü daha sonra bu kişilerin iletişim bilgilerini belirlemek için çalıştı. Şimdi ise bu olaydan potansiyel olarak etkilenen kişileri bilgilendirmek için adımlar atıyor.”
Etkilenen dosyalarda yer alan bilgiler kişiye göre değişir ancak isim, adres, doğum tarihi, Sosyal Güvenlik numaraları, ehliyet veya eyalet kimlik numarası, mali hesap bilgileri, ödeme kartı bilgileri, hasta kayıt bilgileri, tıbbi teşhis veya durum bilgileri, tıbbi tedaviyi içerebilir. Superior, bilgi ve sağlık sigortası bilgilerini söyledi.
HIPAA ihlal bildirimi kuralına göre, kapsam dahilindeki kuruluşların, 500 veya daha fazla kişiyi etkileyen bir ihlalin ardından HHS’ye “makul olmayan bir gecikme olmaksızın ve hiçbir durumda 60 günü geçmeyecek şekilde” bildirimde bulunması gerekiyor. Her boyuttaki HIPAA ihlalleri için, ihlalin tespit edilmesinden itibaren en geç 60 gün içinde bireysel bildirimlerin sağlanması gerekmektedir.
Hales Hukuk Grubu’ndan düzenleme avukatı Paul Hales, “Superior’un 60 günlük süresi 23 Haziran 2023’te başladı” dedi. “60 günlük süre, yalnızca suç faaliyetlerini veya ulusal güvenliğe yönelik bir tehdidi araştıran kolluk kuvvetlerinin talimatıyla uzatılabilir. Bunun, Amir’in bildirimi geciktirmesine neden olup olmadığını şu anda bilmiyoruz ve bilemeyeceğiz.”
Superior Air-Ground, Bilgi Güvenliği Medya Grubu’nun, şirketin ihlali düzenleyici kurumlara bildirmesinin ve etkilenen bireyleri bilgilendirmesinin neden yaklaşık bir yıl sürdüğüne dair açıklama da dahil olmak üzere, bilgisayar korsanlığı olayıyla ilgili ek ayrıntılara ilişkin talebine hemen yanıt vermedi.
Elmhurst, Illinois merkezli Superior Air-Ground’un 3.000 çalışanı var ve beş Midwest eyaletinde sağlık görevlileri, kurtarma dalgıçları, ambulanslar, tıbbi uçuşlar ve acil tıbbi ekipman dahil olmak üzere acil tıbbi hizmetler sağlıyor.
Özel Zorluklar mı?
Superior Air-Land, bu ay bir bilgisayar korsanlığı olayını federal düzenleyicilere bildiren tek ambulans şirketi değil.
ABD ve Birleşik Krallık’ta mobil tıbbi ve ulaşım hizmetleri sunan DocGo, 7 Mayıs’ta ABD Menkul Kıymetler ve Borsa Komisyonu’na “yakın zamanda” bazı sistemlerini kapsayan bir siber güvenlik olayı tespit ettiğini bildirdi. Dosyada olayın ortaya çıktığı tarih yer almıyor.
DocGo, SEC’e, şirketin şu ana kadar yaptığı soruşturmada, bir tehdit aktörünün, şirketin ABD merkezli ambulans taşıma işindeki sınırlı sayıda sağlık hizmeti kaydından verilere eriştiğini ve bunları elde ettiğini tespit ettiğini söyledi. dahil olmuşlardır.
Perşembe günü itibarıyla şirketin HHS’nin Sivil Haklar Dairesi’ne henüz bir HIPAA ihlali bildirmediği görülüyor. DocGo, ISMG’nin, etkilenen kişilerin yaklaşık sayısı ve tehlikeye atılma potansiyeli bulunan bilgi türü de dahil olmak üzere, siber olayıyla ilgili ek ayrıntılara ilişkin talebine hemen yanıt vermedi.
Şu ana kadar kamuoyuna açıklanan çok az ayrıntıya rağmen DocGo, siber güvenlik olayıyla ilgili önerilen en az bir federal toplu davayla karşı karşıya.
9 Mayıs’ta ABD’nin New York Güney Bölgesi Bölge Mahkemesine sunulan bir şikayette, eski DocGo hastası David Manuel, kendisi ve benzer durumdaki diğerleri adına, diğer iddiaların yanı sıra şirketin hassas hakları koruma konusunda başarısız olması nedeniyle ihmalkar olduğunu iddia etti. Hastaların kişisel ve sağlık bilgileri.
Dava, davacı ve grup üyeleri için mali tazminat, genişletilmiş kimlik ve kredi takibi ve DocGo’nun veri güvenliği uygulamalarını iyileştirmesini gerektiren ihtiyati tedbir talep ediyor.
Toplu dava hukuk firmaları, Üstün Hava-Kara Ambulansı ihlali üzerine şimdiden yaklaşıyor.
Perşembe günü, aralarında Lynch Carpenter LLP, Wolf Haldenstein Adler Freeman & Herz LLP ve Murphy Hukuk Bürosu’nun da bulunduğu çok sayıda hukuk firması, firmalarının ambulans şirketine karşı veri ihlaliyle ilgili iddiaları araştırdıklarını belirten bir kamu açıklaması yayınladı.
Hales, genel olarak mobil tıbbi acil servis hizmetlerinde uzmanlaşmış şirketlerin genellikle fiziksel sağlık hizmeti sağlayıcılarının karşılaşmayacağı zorluklarla karşılaştığını söyledi.
Superior’a karşı olası toplu dava veya DocGo’yu içeren davada yer almayan Hales, “Ambulans şirketleri hastane gibi kontrollü ortamlarda değil, sahada faaliyet gösteriyor” dedi.
“Bu, özel HIPAA uyum eğitimi gerektiriyor” dedi. “EMT/EMS personelini sağlık özel kuvvetleri olarak düşünün. Amir’in soruşturması, kötü amaçlı yazılım kaynağını ve kötü amaçlı yazılımın tekrarlanma olasılığını azaltacak prosedürleri belirlemelidir” dedi.