ABD’deki en büyük sağlık hizmeti sağlayıcılarından biri olan HCA, ihlali 10 Temmuz Pazartesi günü doğruladı. Veriler, yalnızca e-posta mesajlarının biçimlendirilmesini otomatikleştirmek için kullanılan harici bir depolama konumundan alınmıştır. HCA, yaptığı açıklamadan, çalınan listenin, hastaların randevu almak isteyebileceklerini hatırlatmak ve sağlık programları ve hizmetleri hakkında eğitim almak gibi e-posta mesajları için kullanılan bilgileri içerdiğini doğruladı.
Ayrıca, alınan bilgilerin tedavi, teşhis veya durum gibi klinik bilgileri, kredi kartı veya hesap numaraları gibi ödeme bilgilerini veya şifreler, ehliyet veya sosyal güvenlik numaraları gibi hassas bilgileri içermediğini de doğruladı.
Specops Software Kıdemli Ürün Müdürü Darren James, ihlal hakkında şunları söyledi: “Bir kez daha, küresel sağlık kuruluşlarının siber suçlular için yüksek değerli bir hedef olduğunu görüyoruz. HCA, çalışanlarına ve satıcılarına siber güvenlik farkındalığı eğitimi verdiklerini iddia ediyor, ancak bu, eğitimin politikayla güçlendirilmesi gerektiğini bir kez daha kanıtlıyor. Tüm kuruluşlar, parola politikalarını NIST ve HIPAA gerekliliklerine uyacak şekilde iyileştirip uygulayarak güvenlik duruşlarını hızla iyileştirebilir. 2FA/MFA’nın uygulanması riski daha da azaltır. İddiaya göre bilgisayar korsanı 4 Temmuz’da HCA ile iletişime geçti ve 11 milyon hastanın verileri de dahil olmak üzere veriler 5 Temmuz’da bir forumda satışa sunuldu. Görünüşe göre bu ihlalde herhangi bir fidye yazılımı konuşlandırılmamış veya HCA’nın operasyonları etkilenmemiş gibi göründüğü için kontrol altına alınmış olabilir, bu nedenle bu saldırı tamamen finansal kazanç için yapılmış gibi görünüyor.”
Cato Networks Kıdemli Güvenlik Stratejisi Direktörü Etay Maor, ihlalin nasıl gerçekleşmiş olabileceğine bakıldığında; “‘İhlal, kimlik avı, kötü amaçlı yazılım, fidye yazılımı veya sağlık hizmeti sağlayıcısının güvenliğindeki güvenlik açıklarından yararlanma gibi karmaşık yöntemlerden kaynaklanmış olabilir. Ancak, daha fazla ayrıntı olmadan, ihlalin belirli bir kaynağa atfedilmesi veya tam olarak niteliğinin belirlenmesi zor olmaya devam ediyor.”
Maor nasıl olduğunu tartışmaya devam etti; “Sağlık kuruluşları, HCA tarafından tutulan kişisel verilerin büyük ölçüde ihlal edilmesini içeren bu endişe verici olay ışığında siber güvenlik önlemlerini güçlendirmek için derhal harekete geçmelidir. Bu, mali kayıplar, yasal yükümlülükler ve itibar zararı dahil olmak üzere gevşek veri güvenliğinin potansiyel sonuçlarını net bir şekilde hatırlatır. Müşterilerin ve paydaşların güvenini yeniden kazanmak ve sürdürmek için sağlık kuruluşları, katı gizlilik politikaları uygulayarak, sağlam siber güvenlik altyapısına yatırım yaparak ve güvenlik açıklarını belirlemek için düzenli denetimler gerçekleştirerek veri korumasına öncelik vermelidir. Çalışan eğitimi, şifreleme teknolojileri ve sürekli sistem izleme gibi proaktif önlemler, hassas verilerin korunması için gereklidir. Kuruluşlar arasında işbirliği ve bilgi paylaşımı, risklerin azaltılmasında ve gelişen siber tehditlerle mücadelede kritik öneme sahiptir. Bu, sağlık kuruluşlarının veri güvenliğine yalnızca yasal uyumluluk için değil, aynı zamanda birbirine bağlı ve veri odaklı bir dünyada güven ve itimat sağlamaları için öncelik vermesi için bir uyandırma çağrısı görevi görüyor.”
KnowBe4’ün önde gelen güvenlik bilinci savunucusu Javvad Malik, bu ihlalin meydana gelme olasılığı konusunda Maor ile aynı fikirde: “Sağlık hizmetleri ihlallerine baktığımızda, verilerin ihlal edilmesinin en yaygın üç yolu, kimlik avı e-postaları gibi sosyal mühendislik veya parolalarına ve kimlik bilgilerine dikkat etmeyen çalışanlardır. Ya parolaları yeniden kullanarak, ortak alanlardaki makineleri açık bırakarak ya da parolaları monitörlerdeki post-it notlarına yazdırarak. Üçüncü yol, yama uygulanmamış yazılımlardan yararlanmaktır. Tüm bunların işaret ettiği şey, siber güvenliğin kurum genelinde yerleşik olduğu ve her departmanın ve bireyin bilgilerin güvenliğini sağlamada kendi payına düşeni yaptığı genel bir güvenlik kültürünün yokluğudur.”
HCA’nın açıklamasında ayrıca, devam eden soruşturmasının HCA Healthcare ağlarında veya sistemlerinde bu olayla ilgili herhangi bir kötü niyetli faaliyete dair kanıt tespit etmediği belirtildi. Şirket, acil bir önlem olarak depolama konumuna kullanıcı erişimini devre dışı bıraktı ve ek bilgi ve destek sağlamak için etkilenen tüm hastalarla iletişime geçmeyi planlıyor.