HIPAA/HITECH, Olay ve İhlal Müdahalesi, Güvenlik Operasyonları
Düzenleyicileri ve Etkilenen Hastaları Bilgilendirmek Neden Bu Kadar Uzun Sürdü?
Marianne Sosis McGee (SağlıkBilgiGüvenliği) •
26 Ağustos 2024
Küçük bir kırsal Alabama hastanesi, 61.000’den fazla hastaya, Ekim 2023’teki bir bilgisayar korsanlığı olayında hassas bilgilerinin potansiyel olarak tehlikeye atıldığını bildiriyor. Hastane, olayın keşfi ile bildirim arasındaki 10 aylık gecikmeyi, saldırıda etkilenen kişileri ve bilgileri belirlemedeki zorluklara bağladı.
Ayrıca bakınız: 2021 ve Sonrasında Siber Güvenlik Stratejinizi Oluşturmaya Yönelik Hususlar
Alabama eyaletine bağlı Eufaula kentindeki 74 yataklı akut bakım hastanesi Medical Center Barbour, 22 Ağustos’ta yaşanan olayın 61.014 kişiyi etkilediğini bildirdi.
Pazartesi itibarıyla ABD Sağlık ve Sosyal Hizmetler Bakanlığı’nın HIPAA İhlal Bildirim Aracı web sitesinde, Medical Center Barbour tarafından federal düzenleyicilere iletilen olayla ilgili bir rapor henüz yayınlanmadı.
Medical Center Barbour, perşembe günü internet sitesinde yayınladığı ihlal bildiriminde, 29 Ekim 2023’te ağ ortamında şüpheli bir etkinlik tespit ettiğini bildirdi.
8 Aralık 2023’te tamamlanan soruşturma, yetkisiz bir aktörün hastanenin ağında depolanan belirli dosyalara ve verilere eriştiğini belirledi. Medical Center Barbour, daha sonra olay sırasında etkilenen sunucuda depolanan verilerin dahili incelemesine başladığını söyledi.
“21 Mayıs’ta kendi incelememizin ardından MCB, bu olay sırasında sunucuda depolanan verilerin daha ayrıntılı ve zaman alıcı bir şekilde yeniden yapılandırılması ve incelenmesinde yardımcı olması için saygın bir veri madenciliği sağlayıcısıyla anlaştı ve böylece kimin bilgilerinin etkilendiğini daha iyi anladık.”
31 Temmuz’da veri madenciliği sağlayıcısı, hassas verileri tehlikeye atılan veriler arasında bulunan kişileri tespit etti.
Potansiyel olarak etkilenen bilgiler bireyler arasında değişir ancak isim, doğum tarihi, adres, sağlık sigortası bilgileri, sürücü belgesi ve tıbbi bilgileri içerebilir. Daha küçük bir birey alt kümesi için, potansiyel olarak tehlikeye atılan veriler arasında Sosyal Güvenlik numaraları, pasaport bilgileri ve etkilenen mali bilgiler bulunur.
HIPAA ihlali bildirim kuralı uyarınca, düzenlenen kuruluşlar, HIPAA ihlalinin keşfedilmesinden itibaren en geç 60 gün içinde etkilenen bireylere bildirimde bulunmalı ve ihlal 500 veya daha fazla bireyi etkilediğinde olayı aynı zaman dilimi içinde HHS Sivil Haklar Ofisi’ne bildirmelidir.
Etkilenen kişilerin tamamı 60 günlük süre içerisinde bildirim için tespit edilememişse, kapsam dahilindeki kuruluşlar kamuya açık web sitelerinde alternatif bir HIPAA ihlali bildirimi yayınlamalıdır.