BakerHostetler’den avukat Lynn Sessions, firmanın sağlık hizmeti müşterileri hakkında konuşurken, fidye yazılımı saldırılarıyla karşı karşıya kalan sağlık sektörü kuruluşlarının çoğu, gasp taleplerine boyun eğmeyi asla hayal etmese de, krizle başa çıkarken karşılaştıkları baskılar genellikle yarısını ödemeye itiyor dedi.
Information Security Media Group ile yaptığı röportajda “Hiç kimse bir telefon görüşmesine çıkıp ‘Dünyanın diğer ucundaki bir suçluya ödeme yapmaya hazırım’ demiyor” dedi.
Ancak hukuk firmasının 10. yıllık Veri Güvenliği Olayı Müdahale Raporunun bulgularını paylaşan Sessions’a göre sonuçta firmanın sağlık sektörü müşterilerinin haraç talepleriyle karşı karşıya kalan yaklaşık %50’si ödeme yapıyor. Çalışma, sağlık hizmetleri de dahil olmak üzere 10 sektördeki müşteriler için 2023 yılında firma tarafından yönetilen 1.150’den fazla güvenlik olayını detaylandırıyor.
“Kimse ödeme yapmak istemiyor ve ardından bir sağlık kuruluşunu neyin etkileyeceğine ilişkin belirli faktörlere bakıyorsunuz. Bu senaryoda sağlık hizmetlerini çok savunmasız kılan şeylerden biri de hastalarla 7/24 ilgilenmek zorunda olmalarıdır. ” dedi.
Sessions, bugünlerde sağlık sektörü kuruluşlarına yönelik saldırıların çoğunun çifte şantaj içerdiğini, fidye yazılımı şifrelemesinin yanı sıra veri sızdırma yoluyla operasyonlarının etkilendiğini söyledi.
“Yani saldırganların sizi ödemeye zorlamak için iki nedeni var” dedi. “Müşterilerimiz işlemlerini yeniden başlatmak ve çalıştırmak için şifre çözme anahtarına ihtiyaç duyuyorsa ve muhtemelen sıfırdan yeniden oluşturma veya yedekten geri yüklemeye göre daha hızlı yedekleme ve çalıştırma işlemine ihtiyaç duyuyorsa, o zaman onların şifre çözme anahtarı için ödeme yaptığını göreceksiniz.”
“Normal duruşumuz şudur: Eğer yalnızca verilerin gizlenmesi için para ödüyorsanız, yalnızca verilerin gizlenmesi için ödeme yapmayın” dedi.
Sessions, ana şirket UnitedHealth Group’un saldırganlara 22 milyon dolar fidye ödediği ve ardından veri sızıntısını engellemek için farklı bir grup tarafından ikinci kez şantaja uğradığı Şubat ayındaki Change Healthcare saldırısına dikkat çekti. “Yanlış gidebilecek şeyler var ve verileriniz yine de yayınlanıyor” dedi (bkz: Sağlık Hizmeti Saldırısını Değiştirin: Ayrıntılar Ortaya Çıkıyor; İhlal En İyi Rekoru Kıracak).
“Ancak müşterilerimizle konuşuyoruz ve bu, onların belirli operasyonlarına (hangi verilerin alınmış veya etkilenmiş olabileceğine) ve ödeme yapıp yapmamaları konusunda karar vermelerine dayanan, gerçeğe özgü bir senaryo.”
Sessions, fidye ödemenin – çalıntı korumalı sağlık bilgilerinin yayınlanmasını veya satışını engellemek de dahil – kuruluşların HIPAA ihlalini düzenleyicilere bildirme ve bu ihlalden etkilenen bireyleri bilgilendirme zorunluluğundan kaçınmalarına yardımcı olmadığını söyledi.
Fidye yazılımı saldırılarında, “HIPAA kapsamında, korunan sağlık bilgilerinin gerçekte görüntülenmediğini veya edinilmediğini kanıtlayamadığınız sürece, bir ihlal varsayımına sahipsiniz.
Etkilenen kişiler tarafından “Hala bildirimde bulunmanız gerekiyor. Yine de dava açacaksınız” dedi. “Fidyeyi ödediğiniz için herhangi bir kredi alamazsınız.”
Information Security Media Group ile yapılan bu sesli röportajda (fotoğrafın altındaki ses bağlantısına bakın), Sessions ayrıca şunları tartıştı:
- Sağlık hizmetlerinde ortalama fidye yazılımı talebi ve ödenen ortalama şantaj tutarının genellikle aşağıya doğru müzakere edilmesi;
- Fidye yazılımlarını ve diğer güvenlik olaylarını önlemeye ve bunlara müdahale etmeye yardımcı olmak için sağlık sektörü kuruluşlarının daha hazırlıklı olmalarına yönelik tavsiyeler;
- Hukuk firmasının yıllık Veri Güvenliği Olayına Müdahale Raporundaki diğer önemli bulgular.
Sessions, BakerHostetler’in dijital varlıkları ve veri yönetimi uygulama grubundaki sağlık hizmetleri gizliliği ve uyumluluk ekibine liderlik ediyor ve firmanın sağlık sektörü ekibinin ulusal eş lideri olarak hizmet veriyor. Sessions, uygulamalarını sağlık hizmetleri gizliliği ve veri güvenliği, ihlallere müdahale, düzenleyici savunma ve HIPAA uyumluluğu konularına odaklıyor.