3. Taraf Risk Yönetimi, İhlal Bildirimi, Siber Suçlar
Perry Johnson & Associates’in Etkilenen Sağlık Hizmeti Müşterileri Arasında Northwell Health
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
15 Kasım 2023
Tıbbi transkripsiyon şirketi Perry Johnson & Associates’te yakın zamanda gerçekleşen veri hırsızlığından etkilenen sağlık kuruluşları ve hastaların sayısı artıyor: Şirket şu anda ihlalin yaklaşık 9 milyon kişinin hassas bilgilerini etkilediğini söylüyor.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditlerle Mücadelenin Sınırlamalarını Aşmak: Gerçek Güvenlik Sorunlarına Gerçek Çözümler
PJ&A olarak faaliyet gösteren Nevada merkezli Perry Johnson & Associates, 3 Kasım’da Sağlık ve İnsan Hizmetleri Bakanlığı Sivil Haklar Dairesi’ne sunduğu ihlal raporunda, bilgisayar korsanlığı olayının 8,95 milyondan fazla insanı etkilediğini söyledi.
Bu arada, 21 hastanesi ve 900 ayakta tedavi tesisiyle New York Eyaletinin en büyük sağlık sistemi olan Northwell Health, hackten etkilenen PJ&A müşterilerinden biri olduğunu açıkladı.
Çarşamba günü bir Northwell Health sözcüsü, Information Security Media Group’a PJ&A saldırısının yaklaşık 3,9 milyon Northwell Health hastasını etkilediğini söyledi.
Northwell Health, ISMG’ye yaptığı açıklamada, “Northwell’in sistemlerinden hiçbiri PJ&A’ya yapılan bu siber saldırıdan etkilenmemiş olsa da, Northwell, PJ&A tarafından Northwell’in hastalarıyla ilgili kayıtların PJ&A ağından kopyalanan dosyalar arasında olduğu konusunda bilgilendirildi.” dedi.
Northwell Health’in PJ&A ihlaliyle ilgili açıklaması, Chicago’daki Cook County Health tarafından 1,2 milyon hastasının PJ&A hackinden etkilendiğini belirten yakın tarihli bir açıklamanın ardından geldi.
Illinois kamu sağlık hizmeti sağlayıcısı, olayı 24 Eylül’de HHS OCR’ye yalnızca 500 kişinin etkileneceği yönünde bir tahminle bildirdi (bkz.: Tıbbi Transkripsiyon Hack’i 1,2 Milyon Chicagoluyu Etkiliyor).
PJ&A’nın HHS OCR’ye yaptığı son başvuruda belirsiz olan şey, satıcının olaydan etkilendiğini bildirdiği yaklaşık 9 milyon kişinin, Cook County Health ve Northwell Health’in PJ&A saldırısının kurbanı olduğunu söylediği toplam 5,1 milyon kişiden herhangi birini içerip içermediğidir.
PJ&A, ihlalden etkilenen toplam kişi ve sağlık hizmeti müşterisi sayısına ilişkin açıklama da dahil olmak üzere ISMG’nin yorum taleplerine hemen yanıt vermedi.
Her halükarda, PJ&A tarafından HHS OCR’ye en az 9 milyon kişinin etkilendiği bildirildiği için Çarşamba günkü olay, federal kurumun HIPAA İhlal Raporlama Aracı web sitesinde 2023’te şu ana kadar yayınlanan en büyük ikinci sağlık verisi ihlali oldu.
Bu yıl şu ana kadar bildirilen en büyük ihlal, Temmuz ayında Tennessee merkezli HCA Healthcare tarafından bildirilen yaklaşık 11,3 milyon kişiyi etkileyen bir e-posta hackleme olayıydı (bkz: HCA, E-posta Veri Hack’inden 11 Milyona Kadar Hastanın Etkilendiğini Açıkladı).
Adliyeye Yarış
HCA da dahil olmak üzere büyük sağlık verileri ihlallerini bildiren diğer birçok kuruluş gibi, PJ&A da halihazırda hackle ilgili giderek artan sayıda önerilen federal toplu davalarla karşı karşıya.
Çarşamba itibarıyla, geçen hafta PJ&A aleyhine önerilen altı federal toplu dava açıldı. Northwell Health, bu davalardan en az dördünde davalılardan biri olarak gösteriliyor ve Cook County Health de şikayetlerden birinde davalılardan biri olarak gösteriliyor. Davalardan beşi ABD Nevada Bölgesi Bölge Mahkemesinde, biri ise ABD New York Doğu Bölgesi Bölge Mahkemesinde açıldı.
Dava şikayetlerinde öne sürülen iddialar, veri ihlallerini içeren diğer birçok önerilen toplu davadaki iddialara benzer: davalılar, davacıların ve grup üyelerinin hassas bilgilerini veri güvenliği riskinden koruma konusunda ihmalkar davrandılar.
Salı günü New York’ta yapılan dava şikayetinde, “Northwell ve PJ&A’nin ihmalkar davranışı devam ediyor; zira onlar ve onların üçüncü taraf satıcıları, davacının ve grup üyelerinin kişisel olarak tanımlanabilir bilgilerini hala güvensiz ve güvensiz bir şekilde tutuyorlar.” davacı Laurie Gay Gerber, kendisi ve benzer durumdaki diğer herkes adına.
Gerber’in davası ve diğer davalar, sanıkların veri güvenliği uygulamalarını iyileştirmeleri için maddi tazminat ve ihtiyati tedbir kararı da dahil olmak üzere tazminat talep ediyor.
İhlal Ayrıntıları
PJ&A’nın ihlal bildirimi, güvenlik olayının ilk ne zaman tespit edildiğini belirtmiyor ancak şirket, yetkisiz bir tarafın 27 Mart ile 2 Mayıs tarihleri arasında ağına erişim sağladığını söyledi. Bu süre zarfında davetsiz misafir, PJ&A sistemlerinden belirli dosyaların kopyalarını aldı.
PJ&A, ele geçirilen dosyaların hastaların adı, doğum tarihi, adresi, tıbbi kayıt numarası, hastane hesap numarası, hastaneye kabul tanısı ve hizmet tarih ve saatleri dahil olmak üzere sağlık bilgilerini içerdiğini belirledi.
Bazı kişiler için etkilenen bilgiler arasında Sosyal Güvenlik numaraları, sigorta bilgileri ve tıbbi transkripsiyon dosyalarından laboratuvar ve teşhis testi sonuçları, ilaçlar, tedavi tesisinin adı ve sağlık hizmeti sağlayıcılarının adları gibi klinik bilgiler de yer alıyordu.
PJ&A, dosyaların kredi kartı bilgileri, banka hesap bilgileri veya kullanıcı adları veya şifreleri içermediğini söyledi. Şirket, bireylerin bilgilerinin kötüye kullanıldığına dair hiçbir kanıt bulunmadığını söyledi.
Bununla birlikte PJ&A aleyhine şu ana kadar açılan çok sayıda dava, olaydan etkilenen kişilerin mevcut ve önemli bir dolandırıcılık ve kimlik hırsızlığı riskiyle karşı karşıya olduğunu ileri sürüyor.
Satıcı Riski
Cook County Health, etkilenen kişilere gönderdiği bildirimde PJ&A ile ilişkisini sonlandırdığını söyledi. Northwell Health, ISMG’nin PJ&A ile hâlâ iş yapıp yapmadığına ilişkin sorusuna hemen yanıt vermedi.
PJ&A olayı Northwell Health’in bu yılki tek tedarikçi veri ihlali değil. Northwell Health aynı zamanda bu yılın başlarında Progress Software’in MOVEit güvenli dosya aktarım yazılımındaki sıfır gün güvenlik açığının istismarından etkilenen düzinelerce Nuance Communications müşterisi arasındaydı (bkz: Nuance, 14 NC Healthcare Müşterisine MOVEit Hack’lerini Bildiriyor).
İş ortakları, bu yıl şimdiye kadar yüzlerce sağlık sektörü kuruluşunu ve onların milyonlarca hastasını etkileyen en büyük ihlallerin çoğunun suçlusu oldu.
HHS OCR ihlal raporlama web sitesinin Çarşamba günü alınan anlık görüntüsü, 2023’te şu ana kadar yaklaşık 583 ihlalin 102,4 milyondan fazla kişiyi etkilediğinin rapor edildiğini gösteriyor.
Bu ihlallerden 66,5 milyondan fazla kişiyi etkileyen 230 olayın iş ortaklarını kapsadığı bildirildi. Bu, 2023’te şu ana kadar HHS OCR’ye bildirilen büyük sağlık verisi ihlallerinin %40’ına üçüncü taraf satıcıların karıştığı, ancak etkilenen kişilerin yaklaşık %65’inden bu olayların sorumlu olduğu anlamına geliyor.