Veri Gizliliği, Veri Güvenliği, Sağlık Hizmetleri
UnitedHealth Group’un bir parçası olan HealthPlex, tehlikeye atılan e -posta hesabında MFA yoktu
Marianne Kolbasuk McGee (Healthinfosec) •
18 Ağustos 2025
New York Eyaleti, sigortacı UnitedHealth Group’un sahip olduğu bir diş planı yöneticisine, verileri çok faktörlü kimlik doğrulaması ve 90.000 kişiyi etkileyen bir kimlik avı ihlali ile ilgili diğer sorunlarla korumayacağı için 2 milyon dolar para cezasına çarptırdı. Aynı ihlal için devletin HealthPlex’e karşı ikinci para cezası.
Ayrıca bakınız: Panel Tartışması | Daha hızlı piyasaya sürme ve geliştirilmiş yatırım getirisi için hitrust sertifikasını hızlandırın
New York Eyaleti Finansal Hizmetler Bakanlığı, Perşembe günü New York merkezli HealthPlex Uniondale’e karşı son eylemini açıkladı ve şirketin, harici bir tarayıcıdan Office 365 e-posta erişimi için MFA uygulanmamak da dahil olmak üzere devlet siber güvenlik düzenlemelerini ihlal ettiğini söyledi.
Devletin Maliye ve Sağlık Departmanı arasındaki son anlaşma, New York düzenleyicileri tarafından veri ihlali için şirkete karşı ikinci uygulama eylemidir. Aralık 2023’te, New York’un Başsavcısı HealthPlex’i, o ofisin aynı kimlik avı olayıyla ilgili soruşturmasında benzer bulgular için 400.000 dolar para cezasına çarptırdı (bakınız: Diş planı yöneticisi kimlik avı olayı için 400 bin dolar para cezasına çarptırıldı).
2021’in sonlarında, bir HealthPlex müşteri hizmetleri çalışanı, devlet temsilcilerine göre, tehdit aktörlerine çalışanın e -posta hesabındaki tüm tüketici verilerine erişim sağlayan bir kimlik avı e -postası aldı ve tıkladı.
Olay, ad, adresler, doğum tarihleri, sosyal güvenlik numaraları, finansal bilgiler, ehliyet numaraları ve kişisel sağlık bilgileri de dahil olmak üzere on binlerce New York sakininin “halka açık olmayan bilgileri” veya NPI’sını tehlikeye attı.
Devlet siber güvenlik düzenlemelerini ihlal ederek, “HealthPlex’in önceki e -posta ortamında MFA’da bulunduğunda, 2021’in başlarında Office 365’e taşındığında, HealthPlex, MFA işlevinin harici bir web tarayıcısından O365’e erişenler için tamamen işlevsel olmasını sağlayamadı.” Dedi.
Eyaletin soruşturması ayrıca HealthPlex’in Microsoft Outlook’ta e -postaların depolanmasını sınırlamak için veri saklama politikası olmadığını buldu.
New York Eyaleti Finansal Hizmetler Bakanlığı Müfettişi Adrienne Harris, “Sağlık sigortası sağlayıcıları son derece hassas kişisel bilgiler ve poliçe sahiplerinin sağlık verileri ile emanet ediliyor.” Dedi. Bölümün siber güvenlik düzenlemesi, sigorta şirketlerinin ve diğer düzenlenmiş kuruluşların güçlü siber güvenlik politikalarını sürdürmelerini ve uygulamasını gerektirdiğini, bu nedenle New Yorkluların kendilerine emanet ettiği özel bilgi korunduğunu söyledi. “HealthPlex’in bu kurallara uymaması, on binlerce tüketicinin hassas verilerinin maruz kalmasıyla sonuçlandı.”
MFA eksik
UnitedHealth Group, HealthPlex olayından yaklaşık bir yıl önce Aralık 2020’de HealthPlex’i satın aldı.
Benzer şekilde, UHG 2023 BT Hizmetleri Birimi Değişim Sağlık Hizmetleri’ni satın almıştı, bu da sağlık hizmetlerinin Şubat 2024’te büyük bir fidye yazılımı saldırısı yaşadığı yaklaşık bir yıl önce, şirketin aynı zamanda bir değişim sağlık hizmetine eriştiğini söylediğini söyledi. Milletvekilleri, Change Healthcare Saldırısı’nda UnitedHealth CEO’su Grill).
UHG, MFA kullanımının şirkette standart bir en iyi uygulama olduğunu söylemiş olsa da, Change Healthcare, Blackcat/Alphv Ransomware saldırganlarına erişim sağladığı zaman tüm eski BT sistemlerinin güvenlik kontrollerini Healthcare’in BT ortamına eriştiğinde henüz tam olarak geçmemişti.
Bilgi Güvenliği Medya Grubu’na verilen bir açıklamada, bir UHG sözcüsü, “Üye gizliliğinin korunması HealthPlex için en önemli önceliktir. Bir karara varmaktan mutluluk duyuyoruz ve New York Eyaleti Finansal Hizmetler Departmanı işbirliğine minnettarız.”
UHG, ISMG’nin UHG’nin en iyi uygulamalarını nasıl ele aldığı ve geçişine ilişkin ayrıntılara hemen yanıt vermedi, Minnesota merkezli sağlık sigortacılarının edindiği şirketlerin BT güvenlik kontrolleri.
Milyonlarca para cezasının yanı sıra, devletle yapılan yerleşim altında HealthPlex, güvenlik kontrollerini güçlendirmeyi kabul etti ve MFA kullanımının New York siber düzenlemelerine uymasını sağlamak için bir denetim yapıldı.
Bu, HealthPlex’in MFA’sını, şirketin işletmesinin faaliyet gösterdiği entegre altyapı ile ilgili olarak değerlendirmeyi ve HealthPlex’in Office 365, Azure Cloud ve talep sistemi gibi temel iş işlevlerini destekleyen paylaşılan sistemleri de içerir.