Dolandırıcılık Yönetimi ve Siber Suçlar , Sağlık Hizmetleri , Sektöre Özel
State AG’ye Anlaşma, Sağlık Merkezine Yapılan 2021 Lorenz Fidye Yazılımı Saldırısının Ardından Geldi
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
8 Ocak 2024
New York başsavcısı, federal olarak finanse edilen ve yetersiz hizmet alan topluluklara hizmet sağlayan bir sağlık merkezini, merkezin veri güvenliğini artırmak için 1 milyon dolardan fazla yatırım yapmasını gerektiren 2021 fidye yazılımı saldırısına ilişkin soruşturmayı sonlandıran bir anlaşmayla 450.000 dolara kadar para cezasına çarptırdı.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditlerle Mücadelenin Sınırlamalarını Aşmak: Gerçek Güvenlik Sorunlarına Gerçek Çözümler
Anlaşmaya göre, New York Spring Valley’deki Refuah Sağlık Merkezi en az 350.000 dolar ödemek zorunda; merkez siber güvenlik programını güçlendirdiği sürece başsavcı ek 100.000 dolarlık ödemeyi askıya alabilir.
Anlaşma, merkezin iyileştirilmiş bir bilgi güvenliği programı geliştirmek ve sürdürmek için 2024 ile 2028 mali yılları arasında 1,2 milyon dolar harcamasını taahhüt ediyor. Federal nitelikli bir sağlık merkezi olan Refuah, New York’ta üç sağlık tesisi ve beş mobil tıbbi araç işletiyor.
HITprivacy LLC danışmanlık şirketinden gizlilik avukatı David Holtzman, “Finansal bir anlaşmanın sağlık kuruluşunun bilgi güvenliği programlarını güçlendirmeye yönelik kaynak yatırımı yapmasını gerektirdiğini görmek alışılmadık bir durum değil” dedi.
Holtzman büyük cezayı olağandışı bulduğunu söyledi. “FQHC’ler genellikle tıbbi açıdan yetersiz hizmet alan topluluklara hizmet ediyor ve desteklerinin çoğunu federal ve eyalet fonlarından alıyor” dedi. “Geçmişte, güçlü siber güvenlik programları oluşturup sürdürerek hasta sağlık bilgilerinin korunmasının önemi azalmasa da, bu tür sağlayıcılara verilen cezalar asgari düzeydeydi” dedi.
Yaptırım eylemi, eyalet düzenleyicilerinin Mayıs 2021’de sağlık merkezine yönelik siber suç grubu Lorenz tarafından şifreleme, sızma ve gasp içeren fidye yazılımı saldırısına ilişkin bir soruşturma başlatmasının ardından geldi. Bilgisayar korsanları yaklaşık 195.000 ila 234.000 hastaya ait dosyaları çaldı.
Anlaşma belgelerine göre, soruşturmada HIPAA’nın gizlilik, güvenlik ve ihlal bildirim kurallarının birden fazla ihlali tespit edildi. Bu hatalar arasında etkin olmayan kullanıcı hesaplarının devre dışı bırakılması, çok faktörlü kimlik doğrulama eksikliği ve kullanıcı etkinliğinin incelenmesi için günlük kaydının yapılmaması yer alıyordu. Merkezin en son Mart 2017’de risk değerlendirmesi yaptığı ve o dönemde tespit edilen sorunların birçoğunun, fidye yazılımı saldırısının gerçekleştiği gün itibarıyla çözülmemiş olduğu görüldü.
Anlaşma belgesinde, güvenlik olayının ardından Refuah’ın veri ihlali nedeniyle bilgileri ele geçirilen hastaları tespit etmek için uygun bir soruşturma yürütmediği belirtiliyor.
Sağlık merkezi, bilgi güvenliği programının uygulanmasından, sürdürülmesinden ve izlenmesinden sorumlu olacak “nitelikli bir çalışan” görevlendirmelidir. Bu kişinin en az altı ayda bir Refuah’ın CEO’suna, üst yönetimine ve yönetim kuruluna rapor vermesi gerekiyor.
Refuah, Bilgi Güvenliği Medya Grubu’nun anlaşmaya ilişkin yorum talebine hemen yanıt vermedi.
Saldırı Ayrıntıları
Refuah olayına ilişkin adli tıp soruşturması, saldırganların güvenlik kameralarının çektiği videoyu görüntülemek için kullanılan bir sisteme erişim sağladığını ortaya çıkardı. Bu sisteme erişim dört haneli statik bir kodla korunuyordu.
Bilgisayar korsanları, saldırı sırasında çalınan bir yönetici hesabının oturum açma bilgilerini kullanarak video görüntüleme sisteminden Refuah’ın ağına uzaktan erişti.
“Saldırganların uzaktan erişim elde etmek için kullandığı yönetici kimlik bilgileri, eski bir BT satıcısı tarafından kullanılan Refuah hesabıyla ilişkilendirildi. Anlaşma belgesinde, kimlik bilgilerinin en az 11 yıldır değiştirilmediği belirtiliyor.
Ayrıca düzenleyiciler, “BT sağlayıcısının Refuah ile 2014’ten bu yana çalışmamış olmasına rağmen, satıcı tarafından kullanılan hesap silinmemiş veya devre dışı bırakılmamıştır. Hesap için çok faktörlü kimlik doğrulama etkinleştirilmemiştir” dedi.
Saldırganlar, paylaşılan ağ alanında depolanan binlerce şifrelenmemiş dosya, çalışan e-postaları ve bir veritabanı da dahil olmak üzere hasta bilgilerini içeren çeşitli Refuah sistemlerine ve verilere erişim sağladı.
Saldırganlar, iki gün boyunca hasta bilgilerini içeren dosya ve verileri ve daha sonra gasp amacıyla kötü niyetli olarak şifrelenmiş dosyaları sızdırdı.
Refuah, saldırıyı 1 Haziran 2021’de keşfetti. Anlaşma belgesinde “O zamana kadar saldırganlar yaklaşık bir terabaytlık veri sızdırmıştı” deniyor.
Refuah, sağlık merkezinde bu aktiviteyi kaydedecek sistemler bulunmadığından çalınan dosyaları tespit edemedi. Ayrıca, “saldırganların sürekli erişimini engellemek ve Refuah’ın tıbbi operasyonlarını ve hasta bakımını destekleyen sistem ve hizmetleri geri yüklemek için sistemler yeniden oluşturulduğunda, ihlalin kapsamını gösterebilecek sistem eserleri kaybedildi.”