Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi , Gizlilik
Kabul, Dark Web Sitesinde Hassas Kayıtlar Bulan Raporun Yayınlanmasından Sonra Geliyor
Marianne Kolbasuk McGee (SağlıkBilgisi) •
23 Şubat 2023
Los Angeles Birleşik Okul Bölgesi, yaklaşık 2.000 öğrencinin ruh sağlığı verilerini ve diğer hassas bilgilerini içeren kayıtların, geçen sonbaharda Rus bilgisayar korsanlığı grubu Vice Society tarafından gerçekleştirilen bir fidye yazılımı saldırısında sızdırılan veriler arasında olduğunu doğruladı.
Ayrıca bakınız: 2022 Ünite 42 Olay Müdahale Raporu
LAUSD’nin Çarşamba günü yaptığı açıklama, kâr amacı gütmeyen araştırmacı haber kuruluşu The 74 tarafından o gün yayınlanan ve Vice Society karanlık web sitesinde, 1980’lere kadar uzanan yüzlerce LA okul bölgesi öğrencisinin psikolojik değerlendirmelerini içeren bir veri dökümünün yayınlandığını tespit eden bir raporun ardından geldi.
Sızan veriler, özel eğitim hizmeti alan öğrencilerin ayrıntılı tıbbi geçmişlerine, akademik performanslarına ve disiplin cezalarına ilişkin kayıtlar dahil olmak üzere kişisel olarak tanımlanabilir bilgilerini içerir.
Okul bölgesinin Ocak ayında eyalet yetkililerine verdiği son rapor, fidye yazılımı olayının yalnızca bazı bölge yüklenicilerinin ve taşeron çalışanlarının bilgilerini içeren dosyaları ele geçirdiğini söyledi.
Bilgi Güvenliği Medya Grubu’na yapılan açıklamada okul bölgesi, Eylül 2022 saldırısının değerlendirilmesinin halen devam ettiğini söyledi.
“Bu, adli tıp ve siber güvenlik uzmanlarıyla ortaklaşa yürütülen ve verileri taramak, tek tek parçaları incelemek, hangi bilgilere erişildiğini belirlemek, etkilenen kişileri bulmak ve kendilerini korumak için kaynakları bildirmek için zorlu ve özenli çabaların yürütüldüğü devam eden bir soruşturmadır. ” LAUSD BT altyapısının üst düzey yöneticisi Jack Kelanic dedi.
“Bir siber saldırının sonuçları, gerçek zamanlı güncellemelerin genellikle bir soruşturmanın yönünü değiştirdiği çok katmanlı, dinamik bir süreçtir” dedi.
Saldırı kapsamında, 60’ı şu anda kayıtlı olan yaklaşık 2.000 öğrenci değerlendirme kaydı, sürücü belgesi numaraları ve Sosyal Güvenlik numaraları doğrulandı.
“Bu kayıtlardan bazıları neredeyse otuz yıl öncesine dayanıyor ve bu da daha fazla zaman alan analizlere yol açıyor. İncelememiz ayrıca pozitif COVID-19 test sonuçlarının ihlalin bir parçası olduğunu ortaya çıkardı. Daha fazla analiz devam ediyor.”
Daha Geniş Zorluklar
LAUSD olayı, yakın gözlemcileri onlarca yıllık kayıtların neden böyle bir bilgisayar korsanlığı olayına karşı savunmasız olduğunu ve bölgenin en başta bu tür kayıtları tutması gerekip gerekmediğini sormaya kışkırtıyor.
WilmerHale hukuk firmasının gizlilik avukatı Kirk Nahra, “Tüzel kişiler saklama politikalarını düzenli olarak gözden geçirmeli ve hassas bilgileri sırf bu nedenle saklamadıklarından emin olmalıdır” diyor.
Güvenlik firması Coro’nun kurucu ortağı Dror Liwer, bireylerin hassas bilgilerini depolayan herhangi bir kuruluşun eski eski verileri içeren riskleri dikkatli bir şekilde değerlendirmesi gerektiğini söylüyor. “Hepimize verilerin bir varlık olduğu öğretilmiş olsa da, şifrelenmemiş kişisel olarak tanımlanabilir bilgiler bir varlık değil, büyük bir sorumluluktur” dedi.
LAUSD ihlali, federal gizlilik yasalarındaki boşluklara da dikkat çekiyor. HIPAA kapsamında, 500 veya daha fazla kişiyi etkileyen korunan sağlık bilgilerinin ihlali yaşayan bir kapsanan kuruluş, olayı 60 gün içinde federal düzenleyicilere bildirmeli ve etkilenen bireyleri bilgilendirmelidir.
Ancak aynı ihlal bildirimi ve bildirim ihlali gereklilikleri, sağlık bilgilerinin çoğu dahil olmak üzere öğrenci kayıtları için geçerli değildir.
Eğitim Bakanlığı kılavuzuna göre, federal düzenleyicilerin, eğitim kayıtlarının yetkisiz bir şekilde ifşa edilmesi durumunda kurum veya kuruluşların bir ebeveyne veya öğrenciye doğrudan bildirimde bulunmalarını zorunlu kılma yetkisi yoktur.
Nahra, LAUSD ihlalinde ele geçirilen öğrenci verilerinin HIPAA kayıtlarını içermediğinden “makul ölçüde emin” olduğunu söylüyor.
Polsinelli hukuk firmasının gizlilik avukatı Iliana Peters, bir okul hem federal öğrenci mahremiyeti düzenlemeleri hem de HIPAA kapsamında olsa bile, birincisi kazanır diyor. Eğitim kayıtları “korunan sağlık bilgilerinin HIPAA tanımından özellikle hariç tutulmuştur” diyor.
Bununla birlikte Nahra, sağlık kayıtları federal düzenlemelere düştüğünde, sağlıkla ilgili bilgiler tehlikeye girdiğinde bildirim gerektiren “kesinlikle belirli eyalet yasaları vardır” diyor.