Dolandırıcılık Yönetimi ve Siber Suçlar , Mevzuat ve Dava , Fidye Yazılımı
LockBit Saldırısı Microsoft Exchange Kusurundan Yararlandı; Firma Fidye de Ödedi
Marianne Kolbasuk McGee (SağlıkBilgisi) •
27 Mart 2023
Bir New York tıbbi uygulama hatası hukuk firması, LockBit tarafından 2021’de gerçekleştirilen bir fidye yazılımı saldırısının ardından eyalet başsavcılığı tarafından gerçekleştirilen bir HIPAA yaptırım davasını sonuçlandırmak için 200.000 $ ödeyecek ve veri güvenliği iyileştirmeleri uygulayacak.
Ayrıca bakınız: Web Semineri | SASE Mimarisi Uzaktan Çalışmayı Nasıl Sağlar?
Olay, 61.400 New Yorklu da dahil olmak üzere yaklaşık 115.000 kişinin kişisel bilgilerini etkiledi.
Anlaşma kapsamında, New York City bölge hastanelerini tıbbi uygulama hatası davalarında temsil eden bir hukuk firması olan Heidell, Pittoni, Murphy & Bach, veri ihlalinden etkilenen tüm bireylere iki yıllık kredi ve kimlik izleme hizmeti sunacak.
Hukuk firması, korunan sağlık bilgilerini ve diğer özel bilgileri hasta talepleri üzerine dava açarak elde eder. Başsavcılık Pazartesi günü yaptığı açıklamada, “HPMB’nin veri güvenliği başarısızlıkları yalnızca eyalet yasasını değil, aynı zamanda HPMB’nin belirli gelişmiş veri güvenliği uygulamalarına uymasını gerektiren HIPAA’yı da ihlal etti.” Dedi.
Kasım 2021’de bir saldırgan, şirketin sistemlerine erişim elde etmek için bir Microsoft Exchange e-posta sunucusundaki iyi bilinen bir güvenlik açığından yararlandı. Başsavcı, bilgisayar devi yamaları birkaç ay önce yayınlamıştı, “ancak HPMB bu yamaları zamanında uygulamadı ve bu güvenlik açığını potansiyel istismara açık bıraktı” dedi.
Saldırgan, LockBit fidye yazılımını 2021 Noel Günü’nde veya buna yakın bir tarihte dağıttı. Firma, fidye yazılımı bilgisayar korsanlarıyla müzakere etmesi için dışarıdan uzmanlar tuttu ve sonunda, sızan verilerin iadesi ve silinmesi karşılığında 100.000 $ ödedi.
Bilgisayar korsanları, yasal savunmalar, hasta listeleri ve tıbbi kayıtlar dahil olmak üzere, sızdıklarını iddia ettikleri on binlerce dosyanın bir listesini sağladı. Adli tıp analizi, dosyaların gerçekten çalındığı sonucuna vardı.
HPMB’nin tedarikçisi, sızan dosyalarla ilgili analizini 16 Mayıs 2022’de tamamladı ve hukuk firması etkilenen bireyleri bilgilendirmeye başladı. HPMB, ihlali yaklaşık 115.000 kişiyi etkileyen bir bilgisayar korsanlığı olayı olarak 16 Mayıs 2022’de ABD Sağlık ve İnsan Hizmetleri Departmanına bildirdi.
Olayda ele geçirilen hasta bilgileri arasında hasta isimleri, doğum tarihleri, Sosyal Güvenlik numaraları, sağlık sigortası bilgileri, tıbbi geçmiş ve sağlık tedavisi bilgileri yer alıyordu.
New York başsavcılığı, HPMB’nin HIPAA gizlilik ve güvenlik kurallarının birçok gerekliliğine uymadığını söyledi.
Başsavcı, bu başarısızlıkların arasında, kötü amaçlı yazılımlara karşı korunma, tespit etme ve raporlama prosedürlerinin uygulanmaması ve kişisel sağlık bilgilerinin saklanması için “gerekli minimum” gerekliliklere uymak için politika ve prosedürlerin uygulanmaması olduğunu söyledi.
Uzlaşma kapsamında HPMB, başsavcılığın soruşturması sırasında tespit edilen eksiklikleri gidermek için çeşitli iyileştirmeler yapmayı kabul etti.
HPMB’nin kapsamlı bir bilgi güvenliği programı sürdürmesi, işlediği özel bilgileri ve sağlık bilgilerini şifrelemesi, merkezi günlük kaydı uygulaması ve ağ etkinliğini izlemesi ve bir yama yönetim programı oluşturması bunlara dahildir.
HPMB, olayla ilgili Çarşamba günü yaptığı açıklamada, 2021 ihlali sonucunda herhangi bir kişisel bilginin kötüye kullanıldığını veya kötüye kullanılacağını gösteren bir kanıtı olmadığını söyledi.
Firma, “HPMB hassas bilgilerin güvenliğini çok ciddiye alıyor. Güvenlik önlemleri, politikaları ve prosedürleri de dahil olmak üzere gelecekte benzer bir olayın meydana gelmesini önlemek için çok sayıda adım attı.”
HPMB, Information Security Media Group’un uzlaşmayla ilgili yorum talebine hemen yanıt vermedi.