Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi , Sağlık Hizmetleri
Pediatri Pratisyeni, Saldırganların Olayda Tehlikeye Atılan Verileri Silme Sözü Verdiğini Söyledi
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
6 Eylül 2023
Alabama’daki bir pediatrik diş muayenehanesi, yakın zamanda gerçekleşen bir siber saldırıda yaklaşık 130.000 kişiye hassas bilgilerinin ele geçirildiğini bildiriyor. Kuruluşun, bilgisayar korsanlarının ihlal edilen verileri ifşa etmeden yok etme sözü karşılığında potansiyel olarak bir fidye ödediği görülüyor.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditlerle Mücadelenin Sınırlamalarını Aşmak: Gerçek Güvenlik Sorunlarına Gerçek Çözümler
Just Kids Dental adıyla faaliyet gösteren Birmingham, Alabama merkezli Acadia Health LLC, 1 Eylül’de Maine başsavcılığına sunulan bir ihlal raporunda muayenehanenin bilgisayar sistemlerine ve ağına 2 Ağustos’ta kötü niyetli bir aktör tarafından saldırıya uğradığı belirtildi.
Başsavcıya sunulan örnek bir ihlal bildirim mektubunda, “Just Kids Dental’in belirli hasta ve çalışan dosyalarını depolamak için kullandığı sistemler de dahil olmak üzere, JKD’nin bilgisayar ağlarını ve verilerini şifrelemek için bir program kullanıldı” denildi. Just Kids Dental, 8 Ağustos’ta ortaya çıkan olayın hastaları, ebeveynlerini ve vasilerini, ayrıca mevcut ve eski çalışanları etkilediğini söyledi.
Hastaların, ebeveynlerin ve vasilerin etkilenen bilgileri potansiyel olarak isim, adres, e-posta, telefon numarası, doğum tarihi, Sosyal Güvenlik numarası, sürücü belgesi numarası, sağlık sigortası poliçesi bilgileri ve radyografik görüntüler, tıbbi kayıt numarası, hesap numarası ve sağlık koşulları dahil tedavi bilgilerini içerir.
Mevcut ve eski çalışanlar için ele geçirilen bilgiler arasında isim, Sosyal Güvenlik numarası ve yerel, eyalet ve federal lisans bilgileri yer alıyor.
Saldırganların olayda herhangi bir hastanın banka veya kredi kartı hesap bilgilerini elde etmediğini belirten uygulama, şu anda etkilenen verilerin herhangi bir şekilde kötüye kullanıldığının farkında olmadığını da sözlerine ekledi.
Bildirimde, “Kötü niyetli kişi JKD’ye verileri dağıtmadan sildiğini doğruladı, bu nedenle gelecekte kötüye kullanım olmasını beklemiyoruz” denildi. “Bilgilerinizi korumak için gerekli olduğunu düşündüğünüz adımları atabilmeniz için size bu bildirimi büyük bir dikkatle gönderiyoruz.”
Güvenlik firması Critical Insight’ın kurucu ortağı ve CISO’su Mike Hamilton, Just Kids Dental, kötü niyetli aktörlerin kuruluşun verilerini sildiği iddiasının, diş muayenehanesinin sigorta şirketiyle yapılan görüşmeler sonrasında fidye talebinin ödendiğini gösterdiğini belirtti.
“Plaklar şu anda herhangi bir karanlık pazarda satışa çıkmasa bile, daha sonra para kazanılmayacağının garantisi yok” diye uyardı.
“Sağlık kayıtları özellikle değerlidir ve mali dolandırıcılık için kullanılabilecek tertemiz kredi geçmişleri nedeniyle çocukların kayıtları daha da değerlidir. Bu güvenceler her zaman sınırlı olarak görülmelidir. Kayıtları daha sonra satma fırsatı endişe kaynağı olmaya devam edecek etkilenenler için.”
Just Kids Dental, Maine başsavcılığına sunduğu raporda, etkilenen bireylerin kimlik veya kredi takibi sunmadığını söyledi. Bunun yerine uygulama, etkilenen bireyleri “kimlik hırsızlığı ve dolandırıcılık olaylarına karşı tetikte olmaya, hesap özetlerinizi izlemeye ve şüpheli veya yetkisiz etkinlikleri izlemeye” teşvik ediyor.
Just Kids Dental, Information Security Media Group’un, saldırganların çalınan verileri yok etmesi ve/veya şifreli sistem ve verilerinin kilidini açacak bir şifre çözücü anahtarı karşılığında şirketin fidye ödeyip ödemediğinin teyit edilmesi de dahil olmak üzere ek bilgi talebine hemen yanıt vermedi.
Ciddi Durum
Bazı uzmanlar, kuruluşların ihlal bildirimlerinde genellikle güvenlik olaylarının potansiyel etkisini en aza indirmeye çalıştıklarını söylüyor; buna çalınan verileri yok etme veya iade etme vaadi karşılığında saldırganlara fidye ödendiği durumlar da dahil.
Tehdit analisti Brett Callow, “Kuruluşların, durumun ciddiyetini küçümsemesi ve etkilenen bireylerin normalde olduğundan daha az ihtiyatlı olmalarına yol açabilmesi nedeniyle ihlal bildirimlerinde ‘çok dikkatli olma’ gibi terimleri kullanmayı bırakmalarını gerçekten diliyorum.” güvenlik firması Emsisoft ISMG’ye söyledi. “Gerçek şu ki, siber suçlular bilgilerine sahipti ve hâlâ da sahip olabilirler ve bu bilgiler gelecekte herhangi bir noktada kötüye kullanılabilir.”
Ayrıca Callow, kuruluşların çalınan verileri güya sildirmek için fidye ödemesinin genellikle mantıklı olmadığını söyledi. “Bu, ihlali ortadan kaldırmaz, kuruluşların düzenleyici gerekliliklerini değiştirmez, potansiyel yasal sorumluluğu azaltmaz ve belki de en önemlisi, verilerin gerçekten silineceğini garanti etmez.”
Kuruluşlar siber saldırganlara fidye ödediğinde, elde ettikleri tek şey “bir suç örgütünün, çalınan bilgilerin tüm kopyalarını sileceklerine dair serçe parmağına verdiği bir sözdür” diye ekledi.
Ana Hedefler
Just Kids Dental’e yapılan saldırı, bu yıl şu ana kadar düzenleyici kurumlara bildirilen pediatrik hastaların hassas bilgilerini etkileyen birkaç büyük güvenlik olayından biri.
Bugüne kadar 2023’teki bu tür en büyük olay, birçok eyalet Medicaid kurumuna ve çocuk sağlığı ve diş sigortası programlarına hizmet veren Florida merkezli MCNA Insurance Co. tarafından bildirilen bir ihlal gibi görünüyor.
MCNA, Mayıs ayında ABD Sağlık ve İnsani Hizmetler Bakanlığı’na, Mart ayında keşfedilen bir siber olayda bilgisayar korsanlarının yaklaşık 9 milyon hastanın kişisel ve korunan sağlık bilgilerini tehlikeye attığını söyledi (bkz.: Diş Sağlığı Sigortacısı Hack’i Yaklaşık 9 Milyon Kişiyi Etkiledi).
Bazı uzmanlar, pediatrik hastaların hassas kişisel ve sağlık bilgilerini içeren veri risklerinin özellikle endişe verici olduğunu söylüyor.
Hamilton, “Çocukların kayıtları uzun ‘raf ömrü’ nedeniyle özellikle hedefleniyor” dedi. “Saldırganlar için neredeyse bir banka hesabı ve bu da tam olarak bu amaca yönelik stratejik bir hedefleme. Ön uçta gasp, kayıtların çok daha sonra satılması.”