İhlal Bildirimi, HIPAA/HITECH, Güvenlik Operasyonları
Michigan Sağlık Hizmeti Sağlayıcısı Alphv/BlackCat Veri Hırsızlığından 7 Federal Davayla Karşı Karşıya
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
13 Kasım 2023
McLaren Health Care, fidye yazılımı grubu Alphv/BlackCat’in Ağustos saldırısında 6 terabayt hasta kaydını çaldığını iddia etmesinden haftalar sonra 2,2 milyon kişiye veri ihlali konusunda bildirimde bulunuyor. Bu arada Michigan merkezli sağlık sistemine karşı açılan federal davaların sayısı geçen aya göre iki kattan fazla arttı.
Ayrıca bakınız: Savcılar Bir Şüphelinin Pek Çok Kişiden Sermaye Çaldığını İddia Ediyor
Perşembe günü McLaren Health Care, Maine başsavcılığına hack olayının 77 Maine sakini de dahil olmak üzere yaklaşık 2,19 milyon kişiyi etkilediğini bildirdi.
Ele geçirilen bilgiler bireylerin adını, Sosyal Güvenlik numarasını, sağlık sigortası bilgilerini, doğum tarihini ve fatura veya talep bilgileri, teşhis, doktor bilgileri, tıbbi kayıt numarası, Medicare/Medicaid bilgileri, reçete/ilaç bilgileri, teşhis sonuçları ve tedavi dahil olmak üzere tıbbi bilgileri içerir. McLaren, bilgi dedi.
McLaren ayrıca olayı 20 Ekim’de federal düzenleyicilere o sırada etkilenen 501 kişinin yer tutucu tahminiyle bildirdi. Ancak McLaren’in yaklaşık 2,2 milyon kişinin etkilendiği yönündeki mevcut tahminine göre olay, 2023’te şu ana kadar bildirilen ve Progress Software’in MOVEit dosya aktarım yazılımının sıfır gün güvenlik açığından yararlanılmasını içermeyen en büyük 10 ABD sağlık verisi ihlali arasında yer alıyor.
Alphv/BlackCat, 29 Eylül’de karanlık web sitesinde 2,5 milyon McLaren hastasına ait 6 terabaytlık “hassas veriyi” çaldığıyla övündü. Tehdit aktörü ayrıca McLaren’in ağında “arka kapının hâlâ çalıştığını” iddia etti (bkz: Grup, Saldırıda 2,5 Milyon Hastanın Verilerini Çaldığını İddia Etti.
Bu arada, olayın ardından McLaren’e karşı açılan davalar devam ediyor; son haftalarda birkaç federal toplu dava iddiası daha sunuldu ve toplam dava sayısı şu ana kadar yediye çıktı (bkz:: McLaren Health Care, Fidye Yazılımı Hackinden Dolayı 3 Davayla Karşı Karşıya).
McLaren’a karşı açılan daha önceki davalarda olduğu gibi, daha yeni davalarda da benzer iddialar ileri sürülüyor; McLaren’ın bireylerin hassas sağlık ve kişisel bilgilerini koruma konusunda ihmalkar olduğu da dahil.
“Davalının etkisiz ve yetersiz veri güvenliği uygulamaları, veri ihlali ve özel bilgilerin suçluların eline geçmesinin öngörülebilir sonuçlarının bir sonucu olarak, davacı ve sınıf üyeleri için kimlik hırsızlığı riski gerçekleşmiştir ve yakındır.” iddiasında bulunulmaktadır. davacı Tamyra Wells’in kendisi ve benzerleri adına 20 Ekim’de açtığı dava.
“McLaren’in sistemi, verileri güvenli, çevrimdışı konumlarda depolamak, özel kayıtları ve verileri şifrelemek, standart güvenlik yamalarıyla donatılmış güncel yazılımları kullanmak, kötü amaçlı yazılımları engelleyen antivirüs uygulamalarını kullanmak gibi sağlık şirketleri tarafından kullanılan basit ve neredeyse evrensel güvenlik önlemlerinden yoksundu. dış kaynaklardan kod alınması ve sistem erişimi olan tüm çalışanların çevrimiçi araçları kullanırken https protokollerini kullanmasını gerektiren politikaların uygulanması”, davacı David Weathers tarafından kendisi ve benzer durumdaki diğerleri adına 16 Ekim’de açılan davada iddia ediliyor.
Şu ana kadar açılan yedi davanın tümü, mali zararlar ve McLaren’a veri güvenliği uygulamalarını iyileştirmesi için verilen ihtiyati tedbir kararı da dahil olmak üzere benzer tazminatlar talep ediyor.
İhlal Ayrıntıları
McLaren, ihlal bildiriminde 22 Ağustos’ta belirli McLaren bilgisayar sistemleriyle ilgili şüpheli faaliyetlerden haberdar olduğunu söyledi. Kuruluş, ağının güvenliğini sağlamak ve durumu tespit etmek için üçüncü taraf adli tıp uzmanlarının yardımıyla derhal bir soruşturma başlattığını söyledi. faaliyetin niteliği ve kapsamı.
Soruşturma, McLaren’in ağına 28 Temmuz ile 23 Ağustos tarihleri arasında yetkisiz erişim olduğunu ortaya çıkardı. 31 Ağustos’ta McLaren, bilgisayar korsanlarının erişim süresi boyunca ağda saklanan belirli bilgileri elde etme olanağına sahip olduklarını öğrendi.
McLaren, mevcut politika ve prosedürlerini gözden geçirdiğini ve sistemlerini daha da güvenli hale getirmek için ek idari ve teknik önlemler uygulayacağını söyledi.
McLaren, Bilgi Güvenliği Medya Grubu’nun, çalışan bilgilerinin de ele geçirilip geçirilmediği ve kuruluşun siber suçlulara fidye ödeyip ödemediği dahil olmak üzere olayla ilgili ek ayrıntılara ilişkin talebini reddetti.
Merkezi Grand Blanc, Michigan’da bulunan McLaren, 13 hastaneyle 6,6 milyar dolarlık entegre bir sağlık hizmeti dağıtım sistemidir. Düzinelerce diğer tesisin yanı sıra McLaren, Michigan’ın en büyük kanser merkezleri ve sağlayıcıları ağını işletiyor. Karmanos Kanser Enstitüsü, ABD’deki Ulusal Kanser Enstitüsü tarafından belirlenen yaklaşık 56 kapsamlı kanser merkezinden biridir.
Ocak ayında Alphv/BlackCat, ABD Sağlık ve İnsani Hizmetler Bakanlığı’nın sağlık sektörüne yönelik bir uyarısına konu oldu (bkz.: BlackCat, Kraliyet Sağlık Hizmetlerine Yönelik En Endişe verici Tehditlerden Biri).
HHS uyarısından kısa bir süre sonra Alphv/BlackCat, Şubat ayında Doğu Pensilvanya’da 13 hastane ve çok sayıda doktor muayenehanesi ve kliniği işleten Lehigh Valley Sağlık Ağı’na düzenlenen saldırı da dahil olmak üzere bir dizi başka sağlık sektörü kurbanı olduğunu iddia etti.
Diğer Bölgesel Saldırılar
McLaren, yakın zamanda yaşanan bir siber güvenlik olayının ardından ilgilenen Michigan merkezli tek sağlık kuruluşu değil.
Michigan merkezli Munson Healthcare Pazartesi günü ISMG’ye, Gaylord’daki Otsego Memorial Hastanesi’ndeki BT sistemlerinin 12 Ekim’de geçici, yerel olarak kapatılmasına yol açan bir siber güvenlik olayını araştırdığını söyledi.
Munson Healthcare sözcüsü, “Bu kesinti yalnızca Gaylord’a özeldi ve sağlık sisteminin geri kalanını etkilemedi. Geçici kesinti önlemleri kullanıldı ve hasta bakımı etkilenmedi” dedi.
Sözcü, “Soruşturmamız için dışarıdan uzmanlarla aktif olarak çalışıyoruz ve araştırma henüz tamamlanmadı. Şu anda hasta verilerinin tehlikeye girdiğine inanmamız için hiçbir neden yok” dedi.