Dolandırıcılık Yönetimi ve Siber Suçlar , Sağlık Hizmetleri , Sektöre Özel
Saldırganlar Düzeltilmemiş Bir Kusurdan Yararlanarak Yaklaşık 93.000 New Yorkluyu Etkiledi
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
8 Kasım 2023
New York eyaleti düzenleyicileri, yaklaşık 200.000 hastanın hassas bilgilerini tehlikeye atan 2021 fidye yazılımı olayının ardından ülkenin doktorların sahip olduğu en büyük radyoloji gruplarından birine 450.000 dolar para cezası verdi.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditlerle Mücadelenin Sınırlamalarını Aşmak: Gerçek Güvenlik Sorunlarına Gerçek Çözümler
New York başsavcılığıyla yapılan anlaşma uyarınca, New York’taki Windsong Radyoloji Grubu da dahil olmak üzere 15 eyaletteki ortak radyoloji uygulamalarına yönetilen hizmetler sağlayan Raleigh, Kuzey Carolina merkezli ABD Radyoloji Uzmanları, veri güvenliğini iyileştirmek için adımlar atacak. uygulamalar ve ağ güvenliği.
Bu, BT varlıklarının tanımlanması, raporlanması ve değiştirilmesi veya güncellenmesine öncelik verilmesi için bir BT varlık yönetimi programının uygulanmasını içerir; toplanan, saklanan ve iletilen hasta verilerinin şifrelenmesi; bir penetrasyon testi programının sürdürülmesi; ve artık ihtiyaç duyulmadığında hastalarının kişisel verilerini kalıcı olarak silmek için politika ve prosedürler uygulamak.
New York Başsavcısı Letitia James, “ABD Radyolojisi New Yorkluların verilerini korumada başarısız oldu ve eski ekipmanlar nedeniyle saldırılara karşı savunmasızdı” dedi.
“Artan siber saldırılar ve özel verileri çalmaya yönelik daha karmaşık dolandırıcılıklar karşısında, tüm şirketleri bilgisayar donanım ve sistemlerinde gerekli yükseltmeleri ve güvenlik düzeltmelerini yapmaya çağırıyorum” diye ekledi.
İhlal Ayrıntıları
Davadaki uzlaşma belgeleri, olayın Ocak 2021’in sonlarında keşfedilen ve radyoloji grubunun kullanım ömrü sona eren SonicWall güvenlik duvarını etkileyen sıfır gün güvenlik açığından yararlanılmasını içerdiğini gösteriyor (bkz.: SonicWall, Ürünlerine Yönelik Sıfır Gün Saldırılarını Araştırıyor).
SonicWall, Şubat 2021’in başlarında bir ürün yazılımı yaması yayınlasa da US Radiology, etkilenen eski donanımını değiştirmeyi planladığı için düzeltmeyi uygulamadı. Ancak Temmuz 2021’de yapılması planlanan yenileme projesi ertelendi ve bir tehdit aktörü Aralık 2021’de güvenlik duvarına erişmeyi başardı.
Anlaşma belgelerine göre, adli soruşturma sırasında siber güvenlik uzmanları, sızdırılan verilere sahip olduğuna dair kanıt sunan tehdit aktörüyle görüştü.
İhlalde açığa çıkan HIPAA korumalı sağlık bilgileri arasında isimler, doğum tarihleri, hasta kimlikleri, hizmet tarihleri, sağlayıcı adları, radyoloji muayenesi türleri, teşhisler ve muhtemelen sağlık sigortası kimlik numaraları yer alıyordu. Olay yaklaşık 93.000 New Yorkluyu etkiledi.
US Radyoloji, Bilgi Güvenliği Medya Grubu’na 2021’den bu yana veri güvenliği iyileştirmeleri uyguladığını ve teknolojisini ve süreçlerini iyileştirmeye devam ettiğini belirten bir e-posta gönderdi.
Şirket, “ABD Radyolojisi bu konuyu çözmekten memnuniyet duyuyor ve hasta, sağlayıcı ve çalışan verilerini korumaya kararlıdır” dedi.
Fidye yazılımı ihlali konusunda ABD Radyolojisi ile New York arasındaki anlaşma, ABD Sağlık ve İnsani Hizmetler Bakanlığı Sivil Haklar Dairesi’nin geçen ay bir fidye yazılımı olayında ilk HIPAA yaptırımını uygulamaya koymasının hemen ardından geldi.
Bu anlaşmada, Massachusetts merkezli Doctor Management Group, 2019’da yaklaşık 206.700 kişiyi etkilediği bildirilen bir fidye yazılımı ihlaline ilişkin soruşturmanın ardından 100.000 ABD doları tutarında mali ceza ve üç yıllık HIPAA uyumluluğu izlemeyi kabul etti (bkz.: Federaller, Fidye Yazılımı Veri İhlali Nedeniyle İlk HIPAA Cezasını Verdi).