3. Taraf Risk Yönetimi , Yönetişim ve Risk Yönetimi , HIPAA/HITECH
En Son İhlal 234.000 Kişiyi Etkiledi; Son MCNA Insurance Co. Hack’i içerir
Marianne Kolbasuk McGee (SağlıkBilgisi) •
5 Haziran 2023
Iowa eyalet hükümeti, federal düzenleyicilere Nisan ayından bu yana üçüncü taraf bir satıcının dahil olduğu üçüncü büyük bir sağlık verisi ihlali bildirdi. Bu durumda ihlal, diş sağlığı sigortacısı MCNA Insurance Co.’daki bir olaydan kaynaklanıyor, şirket geçen ayın sonlarında açıkladı.
Ayrıca bakınız: Web Semineri | Bilgisayar Korsanlarını Zekasıyla Alt Etmek: Üçüncü Taraf Siber Riskleriyle Mücadelede İleri Düzey Stratejiler
Iowa Sağlık ve İnsan Hizmetleri Departmanı, bilgisayar korsanlarının ülke genelinde yaklaşık 9 milyon Amerikalıyı etkileyen bir olayda yaklaşık 234.000 Iowa sakininin korunan sağlık bilgilerini ele geçirdiğini söyledi.
Iowa, olaydan etkilenen diğer eyalet sağlık departmanlarını ve Medicaid kurumlarını içeren 100’den fazla MCNA müşterisi arasında yer alıyor (bkz.: Diş Sağlığı Sigortacısı Hack’i Yaklaşık 9 Milyonu Etkiliyor).
MCNA, Information Security Media Group’a, eyalet tarafından olaydan etkilendiği bildirilen yaklaşık 234.000 Iowa Medicaid üyesinin, MCNA’nın ülke çapında etkilenen toplam kişi sayısına da dahil olduğunu söyledi.
Bu yıl, Iowa HHS, federal düzenleyicilere iş ortaklarındaki olayları içeren iki büyük ihlal daha bildirdi.
Bu olaylardan biri 21.000 kişiyi etkiledi. Bir taşeron olan Independent Living Systems’de 2022’de bir bilgisayar korsanlığı olayını ifşa eden bir müteahhit Telligen’i içeriyordu. ILS ihlali ülke çapında yaklaşık 4,2 milyon kişiyi etkiledi (bkz: Uzun Süreli Bakım Hizmetleri Firması İhlalden 4,2 Milyon Etkilendiğini Söyledi).
26 Mayıs’ta Iowa, iş ortağı Amerigroup’un dahil olduğu ve 833 Iowa Medicaid üyesinin korunan sağlık bilgilerini ödeme bildirimlerinin basılı açıklamalarında 20 sağlık hizmeti sağlayıcısına “yanlışlıkla ifşa eden” bir ihlal bildirdi.
tw-Security baş danışmanlık danışmanı Keith Fricke, haftalar içinde meydana gelen üç büyük ihlalin, birçok devlet kurumunun karşılaştığı satıcı riski zorluklarını gösterdiğini söyledi.
Bu sorunlar arasında, birçok devlet kurumunun ilgilendiği çok sayıda üçüncü taraf ve bu satıcılar için uygun risk değerlendirmeleri yapmak için gereken süre yer alır.
“Devlet kurumları, satıcı risk değerlendirmelerinin kapsamını şu kategorilere girenlerden başlayarak yönetmeye çalışmalı: büyük miktarlarda elektronik PHI depolayan, işleyen veya ileten üçüncü taraflar ve devlet kurumlarının ağlarına uzaktan erişimi olan üçüncü taraflar” dedi. ISMG.
Fricke ayrıca, devlet kurumlarının iş ortaklığı anlaşmalarını dikkatli bir şekilde gözden geçirmesinin kritik önem taşıdığını söyledi. Bu, sözleşmelerin zamanında ihlal bildirimi ile ilgili beklentileri belirleyen bir dil içermesini sağlamayı ve ajansın makul şartlar ve koşullar altında satıcıya ilişkin periyodik risk değerlendirmeleri yapmasına izin vermeyi içerir.
Fricke, “Gerekli iş ortaklığı anlaşmalarının imzalanması artık yeterli değil. Kapsanan kuruluşların, birlikte iş yaptıkları satıcılar üzerinde bir tür risk değerlendirmesi yapması gerekiyor,” dedi.
tw-Security’de bir gizlilik ve güvenlik danışmanı olan Susan Lucci, kapsanan kuruluşların bir satıcı tarafından sunulan iş ortaklığı anlaşmasını imzalamak için çok hızlı olmaması gerektiğini önerdi. “Kapsanan varlık, iş ortağının kendi seçeneklerini imzalamasını sağlamak için tüm seçenekleri tüketmeli.”
Bir kuruluşun bir satıcının iş ortaklığı sözleşmesini imzalaması gerekiyorsa, “o zaman kapsanan kuruluşun verileri için en iyi korumaları desteklemeyen her satırı okuyun ve yeniden çizin” dedi.
“Özellikle tazminat maddesini inceleyin. Eğer dahil değilse, kendinizinkini ekleyin. BA’nın lehineyse, daha güçlü bir dil talep edin. İş ortakları, bir veri ihlali yaşadıklarında – mali dahil – sorumluluklarını kabul etmelidir.”