İhlal Bildirimi , HIPAA/HITECH , Güvenlik İşlemleri
Atlantic General Hospital Şimdi Saldırının Yaklaşık 137.000 PHI’yi Ele Geçirdiğini Söyledi
Marianne Kolbasuk McGee (SağlıkBilgisi) •
26 Haziran 2023
Berlin, Maryland merkezli bir hastane kısa süre önce düzenleyicilere Ocak ayında keşfedilen bir fidye yazılımı ihlalinin yaklaşık 137.000 hastanın hassas bilgilerini tehlikeye attığını söyledi; bu, olaydan etkilendiği tahmin edilen insan sayısının yaklaşık beş katıydı.
Ayrıca bakınız: Canlı Web Semineri | Bankacılıkta İçeriden Gelen Tehditleri Ele Alma Sınırlamalarını Aşmak: Gerçek Güvenlik Zorlukları için Gerçek Çözümler
Atlantic General Hospital, Cuma günü Maine başsavcısına sunulan bir raporda güncellenmiş ihlal çetelesini sağladı ve bu rapor, 24 Mart’ta yapılan ve üç Maine sakini de dahil olmak üzere yaklaşık 30.700 kişinin fidye yazılımı olayından etkilendiğini tahmin eden bir dosyaya ek oldu.
Hastane şimdi 32 Maine sakininin etkilenen toplam 136.981 kişi arasında olduğunu söyledi.
Bazı uzmanlar, kişi sayısındaki önemli artışın, birçok kuruluşun bir fidye yazılımı veya başka bir bilgisayar korsanlığı olayının ardından karşılaştığı ihlal analizi zorluklarını gösterdiğini söylüyor.
“Fidye yazılımı olaylarının ardından, etkilenen bireylerin doğru bir sayısını elde etmek ve güvenliği ihlal edilmiş verilerin türünü belirlemek, kapsamlı adli tıp araştırmaları, kapsamlı veri analizi ve genellikle çok sayıda kişiyi içeren sağlık sistemlerinin karmaşıklığı nedeniyle zaman alıcı olabilir. birbirine bağlı veritabanları ve bilgi kaynakları,” dedi gizlilik ve güvenlik danışmanlığı Clearwater baş risk sorumlusu Jon Moore.
Yetkili, kuruluşların genellikle nihai bir adli tıp raporuna sahip olmadan önce bildirimde bulunmak için düzenleyici son tarihlerle karşı karşıya kaldıklarını da sözlerine ekledi. Örneğin, HIPAA kapsamında, kapsanan kuruluşlar, keşfedildikten sonraki 60 gün içinde 500 veya daha fazla kişiyi etkileyen korunan sağlık bilgilerinin ihlallerini federal düzenleyicilere bildirmelidir.
Atlantic General, Information Security Media Group’un herhangi bir verinin dışarı sızıp sızmadığı ve etkilenen kişilerin sayısının son üç ayda neden bu kadar keskin bir şekilde arttığı da dahil olmak üzere olayla ilgili ek ayrıntılar talebine hemen yanıt vermedi.
Kâr amacı gütmeyen Atlantic General Hospital, Maryland, Virginia ve Delaware’de 17 lokasyonda ofisi bulunan 40 aile hekimi, dahiliyeci ve uzmanı da içeren Atlantic General Health System’in bir parçasıdır.
İhlal Ayrıntıları
Atlantic General, ihlal bildiriminde 29 Ocak’ta belirli sistemlerdeki dosyaların şifrelenmiş olduğunu keşfettiğini söyledi.
Bu keşfi takip eden günlerde Atlantic General, olaydan kurtulurken ayakta hasta görüntüleme hizmetlerini, muayenesiz laboratuvar hizmetlerini ve eczanesini geçici olarak kapattı.
Atlantic General’in adli tıp soruşturması, belirli sunuculara yetkisiz erişimin 20 Ocak’ta başladığını belirledi. 15 Mayıs’ta hastane incelemesini tamamladı ve potansiyel olarak başka kişilerin bilgilerinin de etkilendiğini tespit etti.
Yetkisiz erişime konu olan bilgiler arasında her bireyin adı, SGK numarası, ehliyet numarası, finansal hesap bilgileri, doğum tarihi, tıbbi sicil numarası, tedavi eden/sevk eden doktor, sağlık sigortası bilgileri, abone numarası, tıbbi geçmiş bilgileri ve teşhis/tedavi yer aldı. bilgi, hastane dedi.
Moore, “Bir adli tıp müfettişinin bir ihlalin boyutunu ve kapsamını belirleme yeteneğini birkaç unsur etkileyebilir.” Dedi. “Bunlar, saldırganın karmaşıklığını ve izlerini ne kadar iyi kapattığını, hedeflenen ortamdaki karmaşıklık düzeyini ve analiz için mevcut bilgileri içerir.”
Örneğin, günlük kaydı kontrollerinin zayıf olduğu kuruluşlar için, “bir adli tıp müfettişinin saldırganın ortamda nereye gittiğini ve neye erişildiğini kesin olarak söylemesi imkansız değilse bile çok zor olacaktır.”
Atlantic General, şu ana kadar ihlalle ilgili önerilen en az bir toplu dava davasıyla karşı karşıya. 13 Nisan’da bir Maryland federal mahkemesinde davacı Michael Rentschler tarafından kendisi ve benzer şekilde konumlanan diğer herkes adına açılan bu dava, sağlık kuruluşunu ihmal, zımni sözleşmeyi ihlal, çeşitli eyalet yasalarını ihlal ve bir dizi suçla suçluyor. diğer iddialardan.
Davacı ve sınıf üyelerinin, ihlal nedeniyle artan kimlik hırsızlığı ve dolandırıcılık suçları ve diğer zarar riskleriyle karşı karşıya kaldıklarını iddia eden dava şikayeti, yasal ve cezai zararların yanı sıra Atlantic General’in veri güvenliğini iyileştirmesini emrederek ihtiyati tedbir talep ediyor uygulamalar.
Moore, “Bireylerin kuruluşlara dava açması için yasal gerekliliklerin eyaletten eyalete değiştiğini, bazı yargı alanlarının yasal işlem için bir ön koşul olarak kanıtlanabilir zararı gerektirdiğini, diğerlerinin ise bu şartı dayatmayabileceğini belirtmekte fayda var” dedi.