İhlal Bildirimi , Yönetişim ve Risk Yönetimi , Gizlilik
Hastane Zinciri SEC’e Bildirdi, Olayın Mali Durumları Etkileme Muhtemel Olmadığını Söyledi
Marianne Kolbasuk McGee (SağlıkBilgisi) •
10 Temmuz 2023
Hastane zinciri HCA Healthcare’in 11 milyona varan hastasıyla ilgili bilgiler karanlık bir web forumunda satışa sunuldu. HCA Healthcare Pazartesi günü, e-posta mesajlarının biçimlendirilmesini otomatikleştirmek için kullanılan harici bir konumdan veri hırsızlığı içeren bir olayı doğruladı, ancak hâlâ araştırdığını söyledi.
Ayrıca bakınız: Canlı Web Semineri | Bankacılıkta İçeriden Gelen Tehditleri Ele Alma Sınırlamalarını Aşmak: Gerçek Güvenlik Zorlukları için Gerçek Çözümler
HCA Healthcare, 11 milyon hastanın olaydan gerçekten etkilendiğini doğrularsa, sağlık verisi ihlali, etkilenen kişi sayısı açısından bu yıl federal düzenleyicilere şimdiye kadar bildirilen en büyük ihlal olacaktır (bkz:: Yıl Ortası Sağlık Veri İhlali Analizi: Başlıca Suçlular).
Nashville, Tennessee merkezli sağlık şirketi, ABD Menkul Kıymetler ve Borsa Komisyonu’na SEC başvurusuna eşlik eden bir bildiride, çevrimiçi bir forumda listelenen hasta bilgilerinin yer aldığı bir veri güvenliği olayını araştırdığını söyledi.
HCA Healthcare Pazartesi günü kamuoyuna yaptığı açıklamada, soruşturmasının devam ettiğini ve bilgileri etkilenen kişilerin sayısını henüz doğrulayamasa da, ele geçirilen listenin “yaklaşık 11 milyon HCA için bilgi içerebilecek” yaklaşık 27 milyon satırlık veri içerdiğine inandığını söyledi. Sağlık hastaları.”
Şirket, HCA Healthcare’in sahibi olduğu veya işlettiği bir hastanede veya muayenehanede tedavi gören kişilerin de güvenliği ihlal edilmiş verilere dahil edilebileceğini söyledi. “Verileri bu olaydan etkilenen hastaları özel olarak belirlemek ve onlarla iletişim kurmak için mümkün olan en hızlı şekilde çalışıyoruz.”
HCA, web sitesinde yayınlanan bir SSS’de, listenin “bilinmeyen ve yetkisiz bir taraf” tarafından foruma gönderildiğini ve listenin randevu planlama hatırlatıcıları ve sağlık programları ve hizmetleri hakkında eğitim gibi e-posta mesajları için kullanılan hasta bilgilerini içerdiğini söyledi.
Bu bilgiler hasta adını, şehri, eyaleti, posta kodunu, e-postayı, telefon numarasını, doğum tarihini ve cinsiyeti içerir. Listede ayrıca hasta servis tarihleri, yer ve bir sonraki randevu tarihleri de yer almaktadır.
Güvenliği ihlal edilmiş bilgiler, tedavi, tanı veya durum gibi klinik bilgileri içermez; kredi kartı veya hesap numaraları gibi ödeme bilgileri; veya şifreler, ehliyet numaraları veya Sosyal Güvenlik numaraları, dedi HCA.
Operasyonlar Etkilenmiyor
Şirket SEC’e yaptığı açıklamada, olayın günlük operasyonları veya HCA Healthcare’in hastalara sağladığı sağlık hizmetlerini kesintiye uğratmadığını söyledi.
HCA ABD düzenleyicisine “Şu anda bilinen bilgilere dayanarak, şirket olayın işlerini, operasyonlarını veya finansal sonuçlarını önemli ölçüde etkileyeceğine inanmıyor” dedi.
20 eyalette ve Birleşik Krallık’ta 182 hastane ve 2.300 diğer tıbbi bakım tesisini işleten HCA Healthcare, geçen yıl 60 milyar dolardan fazla gelir bildirdi.
HCA Healthcare, olayı kolluk kuvvetlerine bildirdiğini ve üçüncü taraf adli tıp ve tehdit istihbaratı danışmanları tuttuğunu söyledi.
Şirket, SEC’e yaptığı açıklamada, “Soruşturmamız devam ederken, şirket HCA Healthcare ağlarında veya sistemlerinde bu olayla ilgili herhangi bir kötü niyetli faaliyet olduğuna dair kanıt tespit etmedi” dedi.
HCA, acil bir sınırlama önlemi olarak harici depolama konumuna kullanıcı erişimini devre dışı bıraktığını söyledi. Şirket ayrıca, “uygun olduğunda” etkilenen kişilere kredi izleme ve kimlik koruma hizmetleri sunacağını söyledi.
Şirket yaptığı açıklamada, “HCA Healthcare ayrıca verilerin korunmasına yardımcı olmak için çeşitli sağlam güvenlik stratejilerine, sistemlerine ve protokollerine sahiptir” dedi. Şirket, verileri korumaya yönelik çabaların “bilgilerimizin uyumluluğunu ve güvenliğini sağlamaya yardımcı olabilecek güvenli uygulamalar konusunda farkındalığı sürdürmek için meslektaşlarımız, doktorlarımız, satıcılarımız ve diğerlerine yönelik sürekli eğitimi” içerdiğini söyledi.
5 Temmuz’da Databreaches.net blogu, HCA hasta verilerinin bir bilgisayar korsanı forumunda satışa sunulduğunu ve HCA’nın bir şantaj talebine yanıt vermesi için Pazartesi gününe kadar verildiğini bildirdi.
HCA, Bilgi Güvenliği Medya Grubu’nun, güvenlik ihlalinin bir üçüncü taraf satıcıyı ilgilendirip içermediği de dahil olmak üzere, olayla ilgili ek ayrıntı talebine hemen yanıt vermedi.