İhlal Bildirimi , Sağlık , Sektöre Özgü
Giyilebilir Kardiyak Defibrilatör Kullanan Eski ve Mevcut Hastaların PHI’si Risk Altında
Marianne Kolbasuk McGee (SağlıkBilgisi) •
13 Mart 2023
Acil durum tıbbi cihaz sağlayıcısı Zoll Medical, çalışanlar, hastalar ve eski hastalar da dahil olmak üzere 1 milyondan fazla kişiye kişisel bilgilerini tehlikeye atan bir bilgisayar korsanlığı olayını bildiriyor.
Ayrıca bakınız: Bankalar Dijital Kimliğin Koruyucuları Olmalı mı?
Şirket, Information Security Media Group’a siber güvenlik olayının, ani kardiyak ölüm riski yüksek olan hastalar tarafından giyilen giyilebilir bir kardiyoverter defibrilatör olan şirketin LifeVest cihazının mevcut ve eski kullanıcılarını etkilediğini söyledi. Bir şirket sözcüsü, olayın ürünün veya diğer herhangi bir Zoll tıbbi cihazının veya ilgili yazılımın çalışmasını veya güvenliğini etkilemediğini söyledi.
Japon teknoloji şirketi Asahi Kasei Group’un bir yan kuruluşu olan Massachusetts merkezli Zoll, Cuma günü olayın 1 milyondan fazla kişiyi etkilediğini bildirdi.
Olay, ağa bağlı bağlantının tıbbi cihaz pazarına ne kadar derinlemesine nüfuz ettiğini gösteriyor; bu gelişme, bilgisayar korsanlarının tehdit aktörlerini savuşturmaya tarihsel olarak alışkın olmayan bir sektörde kişisel bilgileri çalması için yeni fırsatlar yarattı.
Siber güvenlik olayında potansiyel olarak ifşa olan bilgiler, kişilerin adlarını, adreslerini, doğum tarihlerini ve Sosyal Güvenlik numaralarını içerir. Şirket, örnek bir ihlal bildirim mektubunda “Bir Zoll ürünü kullandığınız veya kullandığınız düşünüldüğü de çıkarılabilir” diyor.
Siber güvenlik firması Level Nine’ın tıbbi cihaz ürün güvenlik uygulamasını yöneten güvenlik araştırmacısı Jason Sinchak, “Gittikçe daha fazla tıbbi cihaz ağa ve internete bağlanıyor ve neredeyse tüm durumlarda üretici cihaz ve hasta bilgilerine erişim kazanıyor” dedi. .
“Daha önce gömülü bir tıbbi cihaz üretim organizasyonu olan şey, hizmet olarak yazılım ve yönetilen bir hizmet organizasyonu haline geldi” dedi.
Zoll, 28 Ocak’ta dahili ağında olağandışı bir etkinlik tespit ettiğini söyledi. Şirket, “Olaya yanıt vermemize yardımcı olması için üçüncü taraf siber güvenlik uzmanlarına danıştık ve kolluk kuvvetlerine haber verdik” dedi. 2 Şubat’ta olayda kişilerin bilgilerinin ihlal edilmiş olabileceği belirlendi.
Zoll, Sosyal Güvenlik numaraları etkilenen hastalar için 24 aylık ücretsiz kredi ve kimlik izleme ve mevcut ve eski çalışanlar ve bakmakla yükümlü oldukları kişiler için 36 aylık sigorta kapsamı sunuyor.
Gelişen Risk
Sinchak, hastaların ürünlerini kullanımından kaynaklanan kişisel olarak tanımlanabilir bilgilere hevesli olan tıbbi cihaz üreticilerinin tehdit modellerini yeniden değerlendirmeleri ve kuruluşun hassas verileri korumak için güvenlik kontrollerine sahip olduğundan emin olmaları gerektiğini söyledi.
Sinchak, hastalar tarafından kullanılan giyilebilir tıbbi cihazların – geçici kullanım veya keşif için bile – kurulduğunda, bu sürecin hassas PII ve PHI’yi bir cihaz üreticisinin ellerine bıraktığını söyledi.
“Bu cihazların doğası öyledir ki, cihazı ve hastayı benzersiz bir şekilde tanımlamak için PII’ye ihtiyaç duyarlar; bu bilgiler üreticiye kayıtlıdır ve cihazla bağlantılıdır” dedi.
“Üretici, bu verileri ve bağlantıyı, en azından geri çağırma üzerine hastayla iletişim kurmak için saklar. Bağlı cihazlar için, bağlantı ayrıca reçeteleri göndermek veya cihazı uzaktan etkinleştirmek veya bir cihaz üzerinden durum bildirdiğinde hastayı tanımlamak için kullanılır. internetten” dedi.
Bilgisayar korsanlığı olayı, Zoll’un sağlık verileriyle ilgili ilk büyük ihlali değil. Mart 2019’da ABD Sağlık ve İnsani Hizmetler Departmanına, Zoll’un arşivlenmiş e-postasını içeren bir sunucuyu taşıyan bir üçüncü taraf satıcının dahil olduğu ve 277.000 kişiyi etkileyen bir ihlal bildirdi (bkz:: E-posta Sunucusu Geçiş Olayı Etkileri 277.000).