Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar , Sağlık Hizmetleri
Tennessee Uygulaması Şu ana Kadar Önerilen 5 Toplu Davayla Karşı Karşıya
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
16 Ekim 2023
Sağlık grubunun olayı ilk kez Temmuz ayında düzenleyicilere bildirmesinden bu yana Tennessee kalp bakım kliniğinin hacklenmesinden etkilenen insan sayısı iki kattan fazla artarak 411.000’e çıktı. Siber suç grubu Karakurt, şu ana kadar beş toplu davaya yol açan saldırının sorumluluğunu üstlendi.
Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu
Chattanooga Kalp Enstitüsü, 6 Ekim’de sunduğu ek veri ihlali raporunda Maine başsavcısına, 17 Nisan’da BT ağına yapılan bir siber saldırıda etkilenen kişilerin toplam sayısının, 47 Maine sakini de dahil olmak üzere yaklaşık 411.400 kişiye yükseldiğini söyledi.
Chattanooga, Tennessee merkezli grup Temmuz ayında ABD Sağlık ve İnsani Hizmetler Bakanlığı’na ve Maine eyaleti düzenleyicisine, olayın beş Maine sakini de dahil olmak üzere 170.450 kişiyi etkilediğini bildirdi (bkz: Tennessee Kalp Kliniği 170.000 Hacking ve Veri İhlalini Anlatıyor).
Chattanooga Kalp Enstitüsü, Tennessee’de dört ve Georgia’da bir yerde üç damar cerrahı ve 27 kardiyologdan oluşmaktadır. Kardiyak muayenehanesi, ihlal bildiriminde, olayla ilgili devam eden soruşturmanın, “yetkisiz bir üçüncü tarafın” 8 Mart ile 16 Mart tarihleri arasında ağına erişim sağladığını ve gizli hasta bilgilerini içeren bazı verilerin kopyalarını sistemlerden aldığını belirlediğini söyledi. .
Firma, bilgisayar korsanlarının doğrudan grubun elektronik tıbbi kayıt sisteminden veri almadığını söyledi. Potansiyel olarak ele geçirilen bilgiler arasında ad, posta adresi, e-posta adresi, telefon numarası, doğum tarihi, sürücü belgesi numarası, Sosyal Güvenlik numarası, hesap bilgileri, sağlık sigortası bilgileri, teşhis ve durum bilgileri, laboratuvar sonuçları, ilaçlar ve diğer klinik, demografik veya finansal bilgiler yer alır.
Kardiyak bakım kliniği şu ana kadar olayla ilgili önerilen beş federal toplu davayla karşı karşıya. Davalarda, diğer iddiaların yanı sıra, kliniğin davacıların ve grup üyelerinin hassas bilgilerini koruma konusunda ihmalkar davrandığı iddia ediliyor.
Davacı Stephen Cahill’in 15 Ağustos’ta açtığı davada, “Sanığın saldırıyı keşfetmesinden bu yana, kurbanlardan ödeme talep etmeden önce veriyi yayınlamakla tehdit ederek veri çalan, mali motivasyonlu bir siber suç grubu olan Karakurt, bunun sorumluluğunu kamuya açık bir şekilde üstlendi” ifadesine yer verildi. Tennessee federal mahkemesi.
“Bu suç grubu, mağdurlara şantaj yapmak için yalnızca veri hırsızlığına güveniyor ancak dosyaları ve sistemleri şifrelemek için fidye yazılımı kullanmıyor. Bunun yerine grup, bilgisayar ağındaki güvenlik açıklarından veya zayıf kimlik bilgilerinden yararlanıyor. Ağın içine girdikten sonra hazır araçları kullanıyor ve genellikle mağdur sistemine özgü olan, amaçlarına ulaşmak için yapılan uygulamalar” iddiasında bulunuluyor.
Şikayette, “Davacı ve sınıf üyeleri, veri ihlalinde özel bilgilerinin tehlikeye atılması ve sızdırılması nedeniyle ve bu veri ihlalinin doğrudan ve öngörülebilir bir sonucu olarak hayatlarının ciddi şekilde bozulması nedeniyle zarar görmüştür” iddiası yer alıyor. Davada, veri ihlalinin bir sonucu olarak davacılar ve grup üyelerinin diğer suçların yanı sıra dolandırıcılık ve kimlik hırsızlığı gibi yüksek ve yakın bir riskle karşı karşıya kaldığı iddia ediliyor.
HHS’nin Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi, Ağustos 2022’de “nispeten yeni siber suç grubunun” ABD merkezli birçok sağlık ve kamu sağlığı sektörü kuruluşuna yönelik saldırılar da dahil olmak üzere dünya çapında saldırılar gerçekleştirdiği konusunda uyarıda bulunan bir uyarı yayınladı.
Cahill’in davası ve önerilen diğer toplu davalar, tazminat talep ediyor ve Chattanooga Kalp Enstitüsü’nün veri güvenliği uygulamalarını iyileştirmesi için bir mahkeme emri talep ediyor.
Chattanooga Kalp Enstitüsü’nü temsil eden bir avukat, Bilgi Güvenliği Medya Grubu’nun yorum yapma ve etkilenen bireylerin sayısının Temmuz ayından bu yana neden bu kadar hızlı arttığı da dahil olmak üzere olayla ilgili ek ayrıntılar talebine hemen yanıt vermedi.
Chattanooga Kalp Enstitüsü davasında yer almayan Hales Hukuk Grubu’ndan düzenleyici avukat Paul Hales, olayla ilgili soruşturma devam ederken ihlalden etkilenen kişi sayısının neden bu kadar dramatik bir şekilde arttığına çeşitli faktörlerin muhtemelen katkıda bulunduğunu söyledi.
“Chattanooga Kalp Enstitüsü tarafından alınan korunan sağlık bilgileri, Chattanooga’nın iş ortakları ve Chattanooga’nın da katıldığı Organize Sağlık Hizmetleri Düzenlemesi dahil olmak üzere geniş bir bilgi ağında yer almaktadır” dedi. “Devam eden soruşturma, siber saldırının tehlikeye attığı birden fazla konumdan PHI’nın ifşa edildiğini keşfediyor olabilir. Kötü amaçlı yazılım, bilgi sistemleri aracılığıyla gizlice geçiş yapmak üzere tasarlanmıştır.”
Devam eden bir soruşturma sırasında keşfedilen sonraki ihlaller de dahil olmak üzere, tüm büyük HIPAA ihlallerinin bildiriminin, keşiften sonraki 60 gün içinde yapılması gerektiğini söyledi. Bazen, ilk ihlal bildirimi ve raporlaması yapıldıktan sonra soruşturma devam ederken bir veri ihlaliyle ilgili ek kritik bilgiler ortaya çıkar.
“Chattanooga’nın genişletilmiş sağlık bilgi sistemindeki ihlale neden olan güvenlik açıklarını vurgulamak için sistem çapındaki prosedür önlemlerinin incelenmesi de dahil olmak üzere uzman adli tıp analizi gereklidir” dedi.