Sağlık Hizmetleri, Olay ve İhlallere Müdahale, Sektöre Özel
Clop Kitlesel Saldırısında Sağlık Sektörü Mağdurlarının Sayısı Artan Sayıda Kuruluşlar da Var
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
18 Eylül 2023
MOVEit dosya aktarım saldırılarından etkilenen sağlık kuruluşlarının listesi, Nuance Communications’ın bilgisayar korsanlarının tümü Kuzey Carolina tıbbi sağlayıcıları olmak üzere 13 müşterisine ait verileri çaldığını kabul etmesiyle büyümeye devam ediyor.
Ayrıca bakınız: Yönetilen Tespit ve Yanıt Hizmetlerinin Gizemini Ortaya Çıkarma
Microsoft yan kuruluşunun Cuma günü, bir düzineden fazla Tar Heel hastanesi ve diğer sağlık kuruluşlarındaki hastalara, kişisel ve sağlıkla ilgili bilgilerinin, bu yılın başlarında Progress Software’deki sıfır gün güvenlik açığından yararlanılarak yapılan bilgisayar korsanlığı yoluyla ele geçirildiği konusunda bildirimde bulunmaya başladığı bildirildi. MOVEit güvenli dosya aktarım yazılımı.
Nuance, web sitesinde yayınlanan genel bir duyuruda, bazı müşteriler ve iş ortaklarıyla dosya alışverişinde bulunmak için MOVEit’i kullandığını söyledi. Şirket, Dragon Konuşma Tanıma yazılımı da dahil olmak üzere yapay zeka destekli klinik dokümantasyon ve konuşma tanıma ürünleri sunuyor.
Potansiyel olarak etkilenen bilgiler arasında hastaların adı, fiziksel adresi ve e-posta adresi, doğum tarihi ve belirli tıbbi tesislerde gerçekleştirilen hizmetlerin tarihleri ve pratisyen hekimlerin adları gibi klinik veriler yer alır.
Bilgisayar korsanları ayrıca görüntüleme raporları ve ilaç dozajları dahil teşhis bilgilerini de elde etmiş olabilir.
Nuance, hiçbir teşhis görüntüsünün etkilenmediğini söyledi. Ayrıca şirket, etkilenen her bireyin aynı veri öğeleri kombinasyonunun tehlikeye atılmadığını söyledi.
Güvenlik firması Emsisoft Pazartesi günü, bugüne kadar yaklaşık 1.190 kuruluşun ve 56,1 milyondan fazla kişinin MOVEit hack’lerinden kaynaklanan veri güvenliği ihlallerine uğradığını tahmin etti.
MOVEit olayları, 29 Mayıs civarında, muhtemelen ABD Anma Günü tatil haftasonundan yararlanmak için zamanlanmış, oldukça otomatikleştirilmiş bir toplu saldırı düzenleyen Rusça konuşan Clop siber suç grubu tarafından kışkırtıldı. Grup, artık yamalanmış bir sıfır gün güvenlik açığına sahip oldu. Bazı analizler, Clop’un sıfır günden nasıl yararlanılacağına dair denemelere 2021 gibi erken bir tarihte başlamış olabileceğini öne sürüyor.
MOVEit’in dahil olduğu bilinen en büyük sağlık verisi ihlali, 4,1 milyon kişiye kişisel bilgilerinin çalındığını bildiren Colorado Sağlık Hizmetleri Politikası ve Finansmanı Departmanı’nı kapsamaktadır (bkz.: MOVEit Yoluyla Veri Hırsızlığı: 4,5 Milyon Kişi Daha Etkilendi).
Cumartesi günü Charlotte Observer, Nuance’ın Cuma günü yayınladığı ve MOVEit olaylarından etkilenen 14 Kuzey Carolina tıbbi sağlayıcısını isimleriyle listeleyen ayrı bir ihlal bildirimi yayınladı.
Bu kuruluşlar arasında Atrium Health, Catawba Valley Tıp Merkezi, Charlotte Radyoloji, Duke Üniversitesi Sağlık Sistemi, DLP Central Carolina Tıp Merkezi LLC, ECU Health, FirstHealth of the Carolinas Inc., Mission olarak faaliyet gösteren Eastern Carolina Inc. Üniversite Sağlık Sistemleri bulunmaktadır. Sağlık Sistemi, Novant Health New Hanover Bölge Tıp Merkezi, Novant Health Inc., UNC Health, Wake Radyoloji Tanısal Görüntüleme, WakeMed Health & Hastaneleri ve West Virginia Üniversitesi Sağlık Sistemi.
Pazartesi günü itibarıyla, bu kuruluşların hiçbiri MOVEit ile ilgili olaylarını ABD Sağlık ve İnsani Hizmetler Bakanlığı’nın 500 veya daha fazla kişiyi etkileyen sağlık verileri ihlallerini listeleyen HIPAA İhlali Raporlama Aracı web sitesinde yayınlamamış gibi görünüyor.
Nuance, Information Security Media Group’un, MOVEit olayından mağdur olan Kuzey Carolina sağlık kuruluşlarından kaç kişinin etkilendiği ve Nuance’ın diğer eyaletlerde etkilenen ek tıbbi sağlayıcı müşterilerinin listesini yayınlayıp yayınlamayacağı da dahil olmak üzere ek ayrıntılar talep eden soruşturmasına hemen yanıt vermedi.