Dolandırıcılık Yönetimi ve Siber Suçlar , Sağlık Hizmetleri , HIPAA/HITECH
Kâr Amacı Gütmeyen Grup 2018’de 3 Haftada 3 Kez Darbe Aldı ve 85.000 Hastanın PHI’sını Etkiledi
Marianne Sosis McGee (SağlıkBilgi Güvenliği) •
4 Ekim 2024
Federal düzenleyiciler, 2018’in başlarında üç haftalık bir süre içinde meydana gelen ve 85.000 hastanın hassas bilgilerini tehlikeye atan üç fidye yazılımı saldırısına ilişkin soruşturmanın ardından, Güney Kaliforniya’daki bir doktor hizmetleri kuruluşuna 240.000 dolarlık HIPAA para cezası verdi.
Ayrıca bakınız: VMware Karbon Siyahı Uygulama Kontrolü
Sağlık ve İnsani Hizmetler Departmanı Sivil Haklar Dairesi’nin Perşembe günü Providence Tıp Enstitüsü’ne karşı verdiği ceza, teşkilatın bugüne kadarki beşinci fidye yazılımı HIPAA uygulama eylemidir ve son haftalardaki ikinci eylemidir (bkz.: Texas Hastanesi Saldırının Ardından Ambulansları Yönlendiriyor).
PMI, Güney Kaliforniya’daki yedi acil bakım merkezi de dahil olmak üzere 32 sağlık ofisinde 200 sağlayıcıya sahip, kar amacı gütmeyen bir doktor hizmetleri kuruluşudur.
HHS OCR’nin Nisan 2018’de bildirilen bir ihlale ilişkin araştırması, elektronik korumalı sağlık bilgileri içeren sunuculara Şubat ve Mart 2018 arasında saldırganlar tarafından üç kez erişildiğini ve fidye yazılımıyla şifrelendiğini ortaya çıkardı.
Ele geçirilen sunucular, PMI’ın 2016 yılında satın aldığı bir tıbbi uygulama olan Ortopedi Uzmanları Merkezi tarafından kullanılan bir eClinicalWorks elektronik tıbbi kayıt sistemini barındırıyordu.
Saldırılar sırasında ortopedi grubunun BT sistemleri henüz PMI ağına tam olarak entegre edilmemişti ve üçüncü taraf BT sağlayıcısı Creative Solutions in Computers tarafından destekleniyordu.
HHS OCR’nin konuyla ilgili araştırması, HIPAA Güvenlik Kuralı’nın iki ihlalini tespit etti; bunlar arasında PMI’nın Creative Solutions in Computers ile bir iş ortaklığı anlaşması yapmaması ve yalnızca yetkili kişilerin veya yazılım programlarının ePHI’ye erişmesine izin veren politika ve prosedürleri uygulamaması yer alıyor. .
İhlal Ayrıntıları
HHS OCR, soruşturmasını özetleyen bir belgede, fidye yazılımı saldırılarının Şubat ve Mart 2018’e kadar art arda üç Pazar günü gerçekleştiğini söyledi.
ePHI şifrelemesini içeren üç fidye yazılımı saldırısından ilki, 18 Şubat’ta bir çalışanın kimlik avı e-postasına tıklamasının ardından gerçekleşti.
25 Şubat’ta ePHI’yi de şifreleyen ve COS’un sisteminde tutulan ikinci olay, verileri birkaç gün sonra yedekleme yoluyla geri yüklenene kadar erişilemez ve Ortopedi Uzmanları Merkezi için kullanılamaz hale getirdi.
Ortopedi Uzmanları Merkezi’nin sistemlerine yönelik fidye yazılımı saldırıları dalgası 4 Mart 2018’de gerçekleşti.
HHS OCR, “PMI, üçüncü saldırının aynı saldırgan tarafından gerçekleştirildiğini ancak saldırganın, ilk iki saldırıdan birinde ele geçirilen yönetici kimlik bilgileri aracılığıyla COS sistemlerine uzak masaüstü erişimi elde edebildiğini belirledi.” dedi.
Ortopedi grubu, her saldırıdan birkaç gün sonra yedekleri kullanarak sistemlerini geri yüklemeyi başardı.
Saldırılarda ele geçirilen hasta ePHI’sinde isimler, adresler, doğum tarihleri, ehliyet numaraları, Sosyal Güvenlik numaraları, laboratuvar sonuçları, ilaçlar, tedavi bilgileri, kredi kartı bilgileri, banka hesap numaraları ve diğer mali bilgiler yer alıyordu.
Tekrarlanan Saldırılar
Düzenleme avukatı Rachel Rose, üç haftada üç ihlalin aşırı bir durum olduğunu ancak kuruluşlara yönelik birden fazla saldırının nadir olmadığını söyledi.
“Siber suçlular daha karmaşık ve zararlı hale geldikçe, genellikle aynı anda birden fazla fidye yazılımı dizisi dağıtıyorlar. Bir saldırıyı tetiklerken diğerleri daha sonra devreye alınmak üzere hareketsiz haldeyken tetikleme yeteneği yaygındır” dedi.
Bu durumun genellikle kurban fidyeyi ödediğinde de meydana geldiğini söyledi.
“Geriye kalan fidye yazılımlarını tespit etmek için bir adli analiz yapılmasının yanı sıra, yalnızca yedekleri dağıtmak yerine yeni bir altyapıya veya altyapı bileşenine ne zaman ihtiyaç duyulabileceğini takdir eden ileri düzey profesyonellerin de çalışması zorunludur.”
Olay Sonrası Bulgular
Son fidye yazılımı saldırısından yaklaşık üç ay sonra PMI, ortopedi grubunun ePHI ortamı üzerinde olay sonrası bir değerlendirme gerçekleştirdi.
HHS OCR, “Değerlendirme, saldırılar sırasında COS’un ePHI verilerini barındırmak için desteklenmeyen ve eski işletim sistemlerini kullandığını ortaya çıkardı.” dedi. HHS OCR, grubun ayrıca, özel ağını kamuya açık internetten ve güvenilmeyen ağlardan ayıracak şekilde etkinleştirilen veya yapılandırılan askerden arındırılmış bir bölge ağına sahip olmadığını söyledi.
Olay sonrası değerlendirme ayrıca Ortopedi Uzmanları Merkezi’nin güvenlik duvarının, ağına erişimi veya değişiklikleri izlemek ve izlemek için uygun şekilde yapılandırılmadığını ve iş istasyonlarına harici kaynaklardan güvenli olmayan uzaktan erişime izin veren uzak masaüstü protokollerinin etkinleştirildiğini de ortaya çıkardı. HHS OCR dedi.
HHS OCR, “Değerlendirme ayrıca, saldırılar sırasında COS işgücü üyelerinin, COS iş istasyonlarında oturum açmak için genel kimlik bilgilerini yönetici erişimiyle paylaştığını ve bunun da COS iş istasyonlarında oturum açan tüm kullanıcıların sınırsız yönetici erişimine sahip olmasına olanak sağladığını ortaya çıkardı.” dedi.
HHS OCR, “OCR’nin araştırması sırasında toplanan kanıtlar, ePHI’nin saldırganlar tarafından erişilebilir ve görüntülenebildiğini gösteriyor çünkü şifreleme, saldırılardan önce COS sunucularında veya iş istasyonlarında kullanılmamıştı.” dedi.
Diğer Hususlar
Rose, fidye yazılımı olaylarının aynı zamanda sağlık sektörünün konsolidasyonunda ortaya çıkabilecek sorunları da gösterdiğini söyledi.
“Şirketlerin birleşmesi ve satın alınması ve ardından BT altyapısı ile elektronik sağlık kaydı birleşmelerinin entegrasyonu, güvenlik açıklarının ortaya çıkması için verimli bir zemindir” dedi.
“Durum tespiti döneminde HIPAA uyumluluğunun ve siber güvenlik önlemlerinin değerlendirilmesi zorunludur. Maalesef bazı durumlarda bu, gereken ilginin gösterilmediği bir alandır” dedi.
Entegrasyonun gecikebileceğini, yama güncellemelerinin kaçırılabileceğini ve belirli bileşenlerin uyumlu olmaması durumunda yeni bir güvenlik açığının ortaya çıkabileceğini söyledi. “Ayrıntılı bir geçiş planı uygulanmalı ve boşlukları tespit etmek için her iki şirketi de kapsayan bir HIPAA risk analizi yapılmalıdır.”
HHS OCR’nin PMI’ya yönelik hukuki para cezası, kurum tarafından 2009’dan bu yana yürütülen ve “potansiyel” HIPAA ihlallerini çözmeye yönelik düzeltici bir eylem planı içermeyen bir avuç HIPAA uygulama davasının sonuncusudur.
HHS OCR, ajansın soruşturması sonrasında 240.000 dolarlık para cezası uygulama isteği konusunda PMI’yı Mart 2024’te bilgilendirdiğini ancak grubun duruşma hakkından feragat ettiğini ve OCR’nin bulgularına itiraz etmediğini söyledi.
PMI, Bilgi Güvenliği Medya Grubu’nun HHS OCR’nin uygulama eylemi veya PMI’ın ileride benzer olayların önlenmesine yardımcı olmak için attığı adımlar hakkında yorum yapma talebine hemen yanıt vermedi.
HHS OCR, 2018’den bu yana fidye yazılımı saldırılarını içeren büyük HIPAA ihlallerinde %264’lük bir artış görüldüğünü söyledi.
HHS OCR direktörü Melanie Fontes Rainer, yaptığı açıklamada, “HIPAA Güvenlik Kuralı gerekliliklerinin tamamının uygulanmaması, HIPAA kapsamındaki kuruluşları ve iş ortaklarını, hastaların sağlık bilgilerinin gizliliği ve güvenliği pahasına siber saldırılara karşı savunmasız bırakıyor” dedi.
“Sağlık sektörünün siber güvenlik ve HIPAA’ya uyum konusunda ciddileşmesi gerekiyor” dedi.