Refuah Sağlık Merkezi, siber güvenlik önlemlerini geliştirmek için 1,2 milyon dolar yatırım yapmayı taahhüt etti ve ayrıca ceza ve masraf olarak 450.000 dolar ödeyecek. Bu hamle, New York Başsavcısı Letitia James ile sağlık merkezine yönelik iddiaları çözüme kavuşturan anlaşmanın bir parçası olarak geliyor.
İddialar, Refuah Sağlık Merkezi’nin yeterli siber güvenlik kontrollerini sürdürmediğini iddia etti. Bu hata, ağında saklanan hassas hasta ayrıntılarının tehlikeye atılmasına neden olan Refuah veri ihlaline yol açtı.
Bu anlaşma, özellikle sağlık sektörünün siber saldırılarda artış yaşandığı bir dönemde hasta bilgilerinin korunması ve gizliliğinin sağlanmasına yönelik önemli bir adıma işaret ediyor.
Refuah Veri İhlalinin Çözümü
Mayıs 2021’de 175.077’si New Yorklu olmak üzere 260.740 kişinin korunan sağlık bilgilerini tehlikeye atan bir fidye yazılımı saldırısının bildirilmesinin ardından NY AG, Refuah Sağlık Merkezi hakkında bir soruşturma başlattı.
Mayıs 2021’in sonlarında bir fidye yazılımı grubu dahili sistemlere erişmeyi başardı. İlk olarak, şirketin tesislerini gözetleyen dahili kameralardan gelen videoları izlemek için kullanılan bir sistemin güvenliği ihlal edildi. Bu sistem için tek güvenlik önlemi dört basamaklı kimlik doğrulama PIN’iydi.
Bilgisayar korsanları, eski bir BT satıcısının kullandığı yönetici kimlik bilgilerini çalarak ağa uzaktan erişim elde etti. BT sağlayıcısının kimlik bilgilerini yedi yıldır kullanmamasına rağmen, on bir yıldır devre dışı bırakılmamış veya değiştirilmemişti.
Üstelik hesapta çok faktörlü kimlik doğrulamanın etkinleştirilmediği bildirildi. HIPAA Journal’a göre, dosya düzeyinde şifrelenmemiş hasta verilerini içeren çok sayıda dosyaya erişim, kimlik bilgileri sayesinde mümkün oldu.
Lorenz Fidye Yazılımı Grubu Refuah’a Saldırıyı İddia Etti
Saldırının arkasında olduğuna inanılan Lorenz grubu, dosyaları şifrelemek ve veri sızdırmak için fidye yazılımı kullandı. Tehdit aktörü, açıklanmayan bir fidye miktarı talebiyle Refuah ile temasa geçti. Ayrıca kopyalanan dosyaların listesi ve Refuah’ın dişçi muayenehanesine bağlı bir veri tabanıyla eşleşen hasta bilgilerini gösteren ekran görüntüsü gibi veri hırsızlığına dair kanıtlar da sundular.
Saldırganlar, 34 hastanın kayıtlarını gösteren veri tabanının ekran görüntüsünü sağlasa da Refuah, veri tabanına erişilip erişilmediğine bakmadı. Bunun yerine, üçüncü taraf adli soruşturmanın odak noktası, paylaşılan ağ alanında tutulan dosyalar üzerindeydi.
Refuah, 2 Mart 2022’de olayı analiz etmeyi tamamladı ve 29 Nisan 2022’de etkilenen kişilere bildirim mektupları gönderdi. Ele geçirilen veriler isimler, adresler, telefon numaraları, Sosyal Güvenlik numaraları, ehliyet numaraları, eyalet kimlik numaraları, doğum tarihleri, banka hesap bilgileri, kredi/banka kartı bilgileri, tıbbi tedavi/teşhis bilgileri, Medicare numaraları, tıbbi kayıt numaralarından oluşuyordu. , hasta hesap numaraları ve sağlık sigortası poliçe numaraları.
NY AG ile yapılan anlaşmanın şartları, Refuah Health’in siber güvenliği, bilgi güvenliğini, veri saklama yönergelerini ve olay müdahale protokollerini geliştirmek için 1,2 milyon dolar ayırması gerektiğini belirtiyor.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.