3. Taraf Risk Yönetimi, Siber Suçlar, Dolandırıcılık Yönetimi ve Siber Suçlar
HealthEC Hack’i Bir Düzineden Fazla ABD Sağlık Sistemini de Ele Geçirdi
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
3 Ocak 2024
New Jersey merkezli yapay zeka destekli nüfus sağlığı yönetimi hizmetleri satıcısında meydana gelen bir hack olayı, ülke genelinde bir düzineden fazla sağlık hizmeti müşterisini ve yaklaşık 4,5 milyon hastasını etkiledi.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditlerle Mücadelenin Sınırlamalarını Aşmak: Gerçek Güvenlik Sorunlarına Gerçek Çözümler
Merkezi Edison, New Jersey’de bulunan HealthEC LLP, saldırıyı 21 Aralık’ta HIPAA iş ortağı olarak ABD Sağlık ve İnsan ve Hizmetler Bakanlığı’na bildirdi ve ihlalin bir ağ sunucusunu içerdiğini söyledi.
HealthEC, web sitesinde yayınlanan bir ihlal bildiriminde, ağıyla ilgili şüpheli faaliyetin farkına vardıktan sonra “derhal” bir soruşturma başlattığını söyledi.
HealthEC, olağandışı aktiviteyi ne zaman keşfettiğini söylemedi ancak soruşturmasının, 14 Temmuz ile 23 Temmuz 2023 tarihleri arasında belirli sistemlere “bilinmeyen bir aktör” tarafından erişildiğini ve bu sırada belirli dosyaların kopyalandığını belirlediğini söyledi.
“Daha sonra, dosyalarda hangi spesifik bilgilerin bulunduğunu ve bu bilgilerin kimlerle ilgili olduğunu belirlemek için dosyaları kapsamlı bir şekilde inceledik. Bu inceleme 24 Ekim 2023 tarihinde veya buna yakın bir tarihte tamamlandı ve HEC’in bazı müşterileriyle ilgili bilgileri belirledik. ” HealthEC, müşterilerini 26 Ekim’de bilgilendirmeye başladığını ve potansiyel olarak etkilenen kişileri bilgilendirmek için onlarla birlikte çalıştığını söyledi.
Olay, aralarında Corewell Health, HonorHealth, Princeton Doktorlar Organizasyonu Üniversite Tıp Merkezi, Toplum Sağlığı Bakım Sistemleri, Tennessee Eyaleti TennCare Bölümü, Beaumont ACO, KidneyLink, New York Entegre Bakım Birliği’nin de bulunduğu yaklaşık 17 HealthEC müşterisini etkiledi. Compassion Health Care, Metro Toplum Sağlık Merkezleri, Advantage Care Teşhis ve Tedavi Merkezi, Long Island Select Healthcare, Mid Florida Hematoloji ve Onkoloji Merkezleri – Orta Florida Kanser Merkezleri olarak faaliyet gösteren; Illinois Heath Practice Alliance, East Georgia Sağlık Merkezi, Hudson Valley Bölgesel Toplum Sağlığı Merkezleri ve Upstate Aile Sağlığı Merkezi.
Olayda ele geçirilen veriler potansiyel olarak bireylerin adlarını, adreslerini, doğum tarihlerini, Sosyal Güvenlik numaralarını, vergi mükellefi kimlik numaralarını, tıbbi kayıt numaralarını ve teşhis, teşhis kodu, zihinsel ve fiziksel durum, reçete bilgileri ve sağlayıcının adı ve konumu gibi tıbbi bilgileri içermektedir.
Potansiyel olarak etkilenen diğer bilgiler arasında yararlanıcı numarası, abone numarası, Medicaid ve Medicare kimlik ve faturalandırma gibi sağlık sigortası bilgileri ve hasta hesap numarası, hasta kimlik numarası ve tedavi maliyeti dahil talep bilgileri yer alır.
HealthEC, mevcut veri gizliliği ve güvenliği politikalarını ve prosedürlerini gözden geçirdiğini söyledi.
Şirket, Bilgi Güvenliği Medya Grubu’nun olayla ilgili ek ayrıntı talebine hemen yanıt vermedi.
3 Ocak itibarıyla, HHS’nin Sivil Haklar Ofisi’nin HIPAA İhlali Raporlama Aracı web sitesi, 2023’te bildirilen ve yaklaşık 127,5 milyon kişiyi etkileyen 694 büyük sağlık verisi ihlalini gösteriyor.
Bunlardan HealthEC olayı şu anda genel olarak 2023’te HHS OCR web sitesinde yayınlanan altıncı en büyük sağlık verisi ihlali ve 2023’te bir iş ortağı tarafından şimdiye kadar bildirilen en büyük beşinci ihlal olarak yer alıyor.
HHS OCR, yılın son haftalarında kapsam dahilindeki kuruluşlardan ve iş ortaklarından alınan ihlal raporlarını incelemeye ve onaylamaya devam ettikçe, 2023’te bildirilen ek ihlalleri muhtemelen web sitesinde yayınlayacaktır.