Siber suç, veri ihlali bildirimi, veri güvenliği
Laboratuvar Hizmetleri Kooperatifi 1.6 milyon hasta, işçi, diğerlerinin etkilendiğini söylüyor
Marianne Kolbasuk McGee (Healthinfosec) •
11 Nisan 2025
31 eyalette Planlı Ebeveynlik kliniklerine tıbbi test hizmetleri sağlayan bir laboratuvar, 1,6 milyon hastaya, işçilere ve başka bir kişi adına sağlık için ödeme yapanlara, hassas kişisel ve sağlık bilgilerine Ekim 2024 hackleme olayında erişildiğini veya kaldırıldığını bildiriyor.
Ayrıca bakınız: 2024 Sahtekarlık Anlaşmaları Raporu
Seattle, Washington merkezli kar amacı gütmeyen Laboratuvar Hizmetleri Kooperatifi olayı Perşembe günü düzenleyicilere bildirdi. Bir ihlal bildiriminde, kooperatif, çok çeşitli bilgileri etkileyen veri güvenliği olayından sonra “bireyleri bilgilerini korumak için ihtiyati önlemler almaya teşvik ettiğini” söyledi.
Laboratuvar Hizmetleri Kooperatifi, yüz yüze ve telehealth ziyaretleri sunan bazı Planlı Ebeveynlikler klinikleri için tıbbi test hizmetleri sağladığını söylüyor.
Etkilenen bireylerin ikamet durumuna bağlı olarak, kuruluş 12 ila 24 aylık ücretsiz kimlik ve kredi izleme hizmetleri sunmaktadır. Kooperatif ayrıca, bireylerin belirli bir Planlı Ebeveynlik Sağlık Merkezi’nin laboratuvar test hizmetleri için firmayı kullanıp kullanmadığını belirlemelerine yardımcı olmak için bir çağrı merkezi kurmuştur.
Breach Detayları
Laboratuvar Hizmetleri Kooperatifi, 27 Ekim 2024’te ağında şüpheli etkinlik belirlediğini söyledi. Kooperatif, olayın doğasını ve kapsamını belirlemek için hemen üçüncü taraf siber güvenlik uzmanlarıyla uğraştığını ve federal kolluk kuvvetlerini bildirdiğini söyledi.
Kooperatif, “Soruşturma, yetkisiz bir üçüncü tarafın LSC’nin ağlarına erişim sağladığını ve LSC’ye ait belirli dosyalara eriştiğini/kaldırdığını ortaya koydu.” Dedi.
Kooperatif ayrıca, erişilen veya çalınan LSC bilgileri için karanlık web forumlarını, pazar yerlerini ve diğer platformları izlemek için siber güvenlik profesyonellerini de işe aldı. LSC, şu ana kadar uzmanların, etkilenen bilgilerin karanlık ağda ortaya çıktığına dair herhangi bir kanıt bulamadıklarını söyledi.
Uzaklaşan bilgi bireyler arasında değişir, ancak potansiyel olarak ad, adres, telefon numarası, e-posta adresi, hizmet tarihleri, teşhisler, tedavi, tıbbi kayıt numarası, laboratuvar sonuçları, hasta numarası, sağlayıcı adı, tedavi yeri ve ilgili bakım ayrıntılarını içerir.
Ayrıca potansiyel olarak tehlikeye atılan sağlık sigortası ve plan adı, plan türü, şirket adı, üye ve grup kimliği numaraları gibi finansal bilgilerdir. Potansiyel olarak etkilenen fatura ve ödeme verileri arasında talep numaraları, faturalandırma ayrıntıları, banka adı, hesap numarası, yönlendirme numarası ve faturalandırma kodları, ödeme kartı ayrıntıları, bakiye ayrıntıları, benzer bankacılık ve finansal bilgiler bulunmaktadır.
Potansiyel olarak tehlikeye atılan diğer tanımlayıcılar arasında sosyal güvenlik numaraları, ehliyet veya eyalet kimlik numarası, pasaport numarası, doğum tarihi, demografik veriler, öğrenci kimlik numarası ve diğer hükümet tanımlayıcıları yer alır.
Çalışanlar için etkilenen bilgiler bağımlılar veya faydalanıcılar hakkında ayrıntıları da içerebilir.
30 eyalette planlanan ebeveyn klinikleri ve Washington DC etkilenenler arasındadır. Diğerleri arasında Kaliforniya, Kansas, Texas ve Washington Eyaleti bulunmaktadır.
İhlal raporunda laboratuvar hizmetleri kooperatifini temsil eden bir avukat, bilgi güvenliği medya grubunun, LSC’nin çalınan verilerini sızdırmamaya vaat eden siber suçlular karşılığında bir fidye istenmesi veya ödenmesi de dahil olmak üzere olayla ilgili ek ayrıntılar talebine hemen yanıt vermedi.
En çok endişeler
Güvenlik firması Lumifi Cyber profesyonel hizmetler başkan yardımcısı Fred Langston, laboratuvar hizmetleri kooperatif hackinin endişe verici bir yönü, çalınan verilerin doğasıdır. Etkilenen bilgi “son derece kişiseldir ve verileri çalınan ve maruz kalan kişilerin itibarını olumsuz etkileme potansiyelidir” dedi.
“Daha da önemlisi, veri brokerlerinin karanlık web’e çarptığında bu verileri nasıl satın alacağı ve daha sonra verileri satışa sunulan daha büyük bir veri setinde ‘yıkayacak'” dedi.
Yetkili, “Bir korku, bazı eyalet hükümetlerinin şu anda Planlı Ebeveynlik hizmetlerini kullanan kişileri tanımlamak ve araştırmak için Planlı Ebeveynlikten bu verileri kullanmalarıdır.”
Düzenleyici avukat Rachel Rose, saldırıda tehlikeye atılan hassas üreme bilgilerinin çeşitli nedenlerden dolayı zahmetli olduğunu söyledi.
Etkilenen bilgileri içeren “Potansiyel olarak daha yüksek kara pazar değeri ve üreme sağlığı gizliliğini desteklemek için HIPAA gizlilik kuralının ihlali ve ihlalidir. HHS, üreme sağlığı bilgileri için gizlilik korumalarını destekliyor).
HHS OCR Geçen yıl, üreme sağlığı bilgileri açıklamaları etrafında düzenleyici gizlilik korumalarını geliştirdi, bu nedenle Laboratuar Hizmetleri Kooperatifindeki gibi siberefitler potansiyel olarak bu konuda ilerleyebilir. Bununla birlikte, bazı devletler – çoğunlukla kürtajın yasaklandığı veya kesinlikle sınırlı olduğu durumlarda – değiştirilmiş kuralı iptal etmek isteyen HHS’ye dava açmışlardır (bkz:: 15 eyalet Sue HHS HIPAA üreme sağlığı bilgisi reg.).
Rose, “Bu tür bir saldırı, güvenlik kuralının teknik, idari ve fiziksel güvenliğini yapmanın ve yıllık bir risk analizi yapmanın yanı sıra ‘üreme sağlığı hizmeti’ tanımının anlaşılmasını ve ilgili HIPAA üreme gizlilik kuralının gereksinimlerinin uygulanmasının önemini vurgulamaktadır.” Dedi.
Ayrıca, herhangi bir tıbbi test laboratuvarını içeren siber birimler söz konusu olduğunda, veri gizliliği endişelerinin yanı sıra veri bütünlüğü ve doğruluğunu içeren potansiyel riskler de vardır.
Langston, bu gibi saldırılarda “verilerin modifikasyonu, pozitif gebelik testlerini negatif olanlara dönüştürmek gibi kolayca endişe olabilir” dedi. “Laboratuvar ekipmanı yaygın bir saldırı hedefidir, çünkü tıbbi cihazlar yetkisiz kriptominlerin kurulumu için favori hedeflerdir” dedi. “Müşterilerimizi, Tıbbi Cihazlar İşlevselliğinin İhlal Sonrası İşlevselliğinin Doğrulanmasını Eklemeye İhlal ediyoruz.”
Rose benzer bir değerlendirme sundu. “En yaygın endişeler, verilerin gizliliği, bütünlüğü ve kullanılabilirliğidir.” Dedi. “Özellikle sağlık hizmetlerinde, sonuç sonrası senaryoları ele aldığımda, her zaman verilerin bütünlüğüne odaklanırız. Bütünlük karıştırılmışsa, bölümler eksik olabilir veya gerçekler değiştirilebilirdi. Bu da yanlış tedavi protokollerine yol açabilir” dedi.
Laboratuvarlar testleri yeniden yapmak zorunda kalabilir ve bilgilerin artan hassasiyeti nedeniyle mahkemede daha yüksek hasarlarla karşılaşabilirler “dedi.