ABD Sağlık ve İnsani Hizmetler Bakanlığı (HHS), Doktor Yönetim Hizmetlerini kapsayan 2018 yılına ait bir veri ihlali soruşturmasını sonuçlandırdı. Konuyu çözüme kavuşturmak için 100.000 ABD Doları tutarında ceza uygulanmasına karar verdiler.
HHS siber saldırı anlaşması, Sağlık ve İnsan Hizmetleri Sivil Haklar Dairesi (OCR) tarafından bugüne kadar varılan ilk anlaşmadır.
HHS Siber Saldırı Anlaşmasına Ne Yol Açtı?
Massachusetts merkezli bir sağlık iş ortağı ve tıbbi yönetim şirketi olan Doctors’ Management Services (DMS), 2018 yılında bir fidye yazılımı saldırısına maruz kaldı. Bu siber saldırı, GandCrab fidye yazılımı çetesi tarafından düzenlendi ve o dönemde DMS ile ilişkili 206.695 kişiyi etkiledi.
Tehdit aktörleri ilk saldırı girişimlerine 2017 yılında başladı. Ancak ihlal, dosyaların GandCrab fidye yazılımı tarafından şifrelendiği Aralık 2018’de tespit edilebildi. 2019 yılında resmi bir rapor sunuldu ve ardından OCR olayla ilgili soruşturma başlattı.
Soruşturma sırasında OCR, Doktorların Yönetim Hizmetleri tarafından göz ardı edilen birkaç kırmızı bayrak tespit etti. OCR, DMS’nin elektronik olarak korunan sağlık bilgi kayıtlarındaki riskleri ve güvenlik açıklarını analiz etmedeki başarısızlığını, bir siber saldırıya karşı savunma yapmak için sağlık bilgi sistemlerinin yetersiz izlenmesini ve HIPAA Güvenlik Kurallarının uygulanmamasını vurguladı.
“Anlaşmamız, fidye yazılımı saldırılarının giderek yaygınlaştığını ve sağlık sistemini hedef aldığını gösteriyor. Bu durum hastaneleri ve hastalarını veri ve güvenlik ihlallerine karşı savunmasız bırakıyor” dedi OCR Direktörü Melanie Fontes Rainer.
Doktorların Yönetim Hizmetleri, gelecekte bu tür siber güvenlik başarısızlıklarını önlemek için 100.000 ABD Doları tutarında HHS siber saldırı uzlaşma cezası ödemeyi ve düzeltici bir eylem planı uygulamayı kabul etti.
DMS’nin Düzeltici eylem planı, risk analizi prosedürünün gözden geçirilmesini ve güncellenmesini ve kuruluş için geniş risk yönetimi planının güncellenmesini içeriyordu.
Ayrıca HIPAA Gizlilik ve Güvenlik Kurallarına daha iyi uyum sağlamak için politikalarını gözden geçirmeyi ve personelini HIPAA politikaları konusunda eğitmeyi kabul ettiler.
Melanie şunları söyledi: “Sürekli gelişen bu alanda, sağlık sistemimizin siber güvenlik açıklarını belirlemek ve ele almak için adımlar atmasının yanı sıra riskleri, kayıtları ve güncelleme politikalarını proaktif ve düzenli olarak gözden geçirmesi kritik önem taşıyor. Gelecekteki saldırıları önlemek için bu uygulamaların kuruluş genelinde düzenli olarak yapılması gerekiyor.”
Sağlık kuruluşlarına yönelik siber saldırıların artmasının ardından OCR, benzer olayların ABD’deki sağlık altyapısına zarar vermesini önlemek için satıcı ilişkilerinin gözden geçirilmesini, çok faktörlü kimlik doğrulamasını ve zaman zaman risk analizi yapılmasını önerdi.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Siber Express, bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.