Dolandırıcılık Yönetimi ve Siber Suçlar , Sağlık Hizmetleri , HIPAA/HITECH
Hasta Bakımı Hâlâ Kesintili ve BT Ağı, EHR Sistemi Aralık Ortasına Kadar Kapalı
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
9 Kasım 2023
Ortak bir BT hizmetleri sağlayıcısı ve onun beş Ontario üyesi hastanesi, Ekim ayında Daixin Team fidye yazılımı saldırısından kurtulmalarının, grubun BT ağını yeniden inşa etmesiyle Aralık ayına kadar sürebileceğini söylüyor. Bu arada kesinti, teşhis ve tedaviler de dahil olmak üzere hasta hizmetlerini aksatmaya devam edecek.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditlerle Mücadelenin Sınırlamalarını Aşmak: Gerçek Güvenlik Sorunlarına Gerçek Çözümler
TransForm Paylaşımlı Hizmet Kuruluşu ve ortak BT hizmetleri sağladığı bölgesel hastaneler (Bluewater Health, Chatham-Kent Health Alliance, Erie Shores HealthCare, Hôtel-Dieu Grace Healthcare ve Windsor Bölge Hastanesi) 23 Ekim’deki saldırıdan bu yana büyük zorluklar yaşıyor. elektronik sağlık kayıtlarına ve diğer kritik sistemlere erişim.
Olay aynı zamanda milyonlarca hasta kaydının ve diğer verilerin çalınmasını da içeriyordu (bkz.: Ortak Tedarikçiye Saldırı Ontario’daki 5 Hastaneyi Etkiledi).
TransForm, Çarşamba günü etkilenen hastanelerle birlikte yayınlanan güncellenmiş bir bildiride, adli tıp araştırmalarının şimdiye kadar “tüm” klinik ve klinik dışı sistemlerinin saldırıdan etkilendiğini gösterdiğini söyledi.
Açıklamada, “Uzmanlarımız bize en güvenli yolun ağı yeniden inşa etmek olduğunu tavsiye etti” deniyor. Restorasyonun aralık ortasına kadar tamamlanması beklenmiyor.
TransForm ve hastaneler, “Dijital grafik geri yüklendiğinde hastalar için gecikmeler azalacak. Biz tüm sistemleri geri yüklemeye çalışırken bazı hastalar ve aileleri hala teşhis ve/veya tedavide gecikmeler yaşayabilir.” dedi. “Aralık 2023’ün ortasına yaklaştığımızda klinik uygulamalar tek tek veya kümeler halinde tekrar çevrimiçi hale gelecek.”
Ağı Yeniden Oluşturma
Gizlilik ve güvenlik firması twSecurity’nin ortağı ve baş danışmanı Keith Fricke, TransForm’un diğer iyileştirme seçeneklerini kullanmak yerine BT ağını sıfırdan yeniden inşa etme kararının muhtemelen sunucularda çalışan çekirdek ağ hizmetlerinin etkilendiği anlamına geldiğini söyledi.
Örneğin, bunun ağ kimlik doğrulama hizmetleri sağlayan ve IP adresi atamalarını yöneten sunucular ve sesli iletişimi destekleyen VoIP sunucuları anlamına gelebileceğini söyledi.
“Ek olarak, dizüstü bilgisayarlara ve iş istasyonlarına yama yönetimi, uç nokta koruması (şifreleme ve antivirüs yazılımı yönetimi), merkezi günlük yönetimi ve bilgi güvenliğiyle ilgili diğer altyapı hizmetleri sağlayan sistemler yeniden inşa kapsamında olabilir” dedi.
Fricke, BT ağını yeniden inşa etmenin bir alternatifinin, etkilenen bir sunucuyu yeniden inşa etmek olabileceğini, bunun da işletim sistemlerinin yeniden kurulması ve/veya donanımın değiştirilmesi anlamına gelebileceğini söyledi. Ancak tam iyileşme stratejisi de kesin bir bahis değil.
“Sunucudaki işletim sistemini ve/veya uygulamaları yeniden yüklemeden kötü amaçlı yazılımları kaldırmaya çalışmanın riski, kötü amaçlı yazılımın ve olası arka kapıların tamamen ortadan kaldırılması anlamına gelmez. Kötü amaçlı yazılım/fidye yazılımı tamamen ortadan kaldırılmazsa, yeniden bulaşma veya yetkisiz erişimin devam etmesi mümkündür.”
TransForm, Bilgi Güvenliği Medya Grubu’nun yorum talebine hemen yanıt vermedi.
Hasta Bakımı Hala Acıtıyor
Perşembe günü hastaneler, web sitelerinde yayınlanan mesajlara göre acil bakıma ihtiyacı olmayan hastalara hastane yerine birinci basamak sağlık hizmeti sağlayıcıları veya yerel kliniklerle iletişime geçmeleri yönünde çağrıda bulundu.
Hastaneler, “Şu anda, sistemler üzerindeki mevcut etki nedeniyle, doktorların geçmiş hasta kayıtlarına veya tıbbi geçmişine, hastaların mevcut ilaç listesine, bakımla ilgilenen diğer klinisyenlerin raporlarına ve kabul öncesi tetkiklere erişimi olmayabilir” dedi. .
Açıklamada, güvenli bakımı sağlamak için bazı doktorların, önemli bilgilerin yokluğunda devam etmenin güvenli olmadığını düşünmeleri durumunda prosedürleri iptal etmeleri gerekeceği belirtildi. “Eğer bu gerekliyse, doktorlar mümkün olan en kısa sürede yeniden planlama yapmak için ellerinden geleni yapacaklardır.”
TransForm ve hastaneler, hastalara doktorlarının ve ön saflardaki personelinin “bu olağandışı koşullar nedeniyle normalden daha fazla stres altında olduğunu ve inanılmaz bir kararlılıkla yanıt verdiklerini” “vurgulamak” istediklerini söyledi.
TransForm Pazartesi günü yaptığı açıklamada, saldırıda çalınan verilerin, yaklaşık 267.000 tekil hasta tarafından Bluewater Health’e üye hastanelere yapılan yaklaşık 5,6 milyon hasta ziyareti hakkında bilgi içerdiğini doğruladı.
Fidye yazılımı grubu Daixin Team, saldırıyı üstlendi ve Bluewater Health’ten sızdırdığını söylediği 5,6 milyondan fazla hasta kaydına ait 160 gigabaytlık “hassas belge” örneklerini karanlık web sitesinde gruplar halinde sızdırıyor (bkz: 5 Ontario Hastanesi Hala Fidye Yazılımı Saldırısından Sarsılıyor).
TransForm, çalınan Bluewater Health veritabanı raporunun klinik belge kayıtlarını içermediğini ancak hastanenin hâlâ etkilenen bireyleri ve bilgileri belirleme sürecinde olduğunu söyledi.
TransForm, saldırganların Bluewater Health hasta veri tabanı raporuna ek olarak tüm üye hastaneler tarafından kullanılan bölümlere ayrılmış çalışan paylaşımlı sürücüsünü barındıran bir operasyon dosya sunucusundan da veri çaldığını söyledi. TransForm, “Ortak Drive verileri, çeşitli miktarlarda ve hassasiyette hasta ve çalışan bilgilerini içeriyordu.” dedi.
Açıklamada, “Bu olay her kurumu farklı şekilde etkiledi. Bazıları diğerlerinden daha az etkilendi.” ifadesine yer verildi. “Çalınan veriler birçok formatta, bunlardan bazılarının analiz edilmesi daha kolay.”
Ödemeyi Reddettim
TransForm ve hastaneler, gaspçılara ödeme yapmayı reddettiklerini ve Interpol, FBI ve Ontario polisi de dahil olmak üzere kolluk kuvvetleriyle yakın işbirliği içinde çalıştıklarını söyledi.
Grup, “Bu pozisyonda, aralarında Kanada’nın da bulunduğu ve yakın zamanda siber suçlulara asla fidye ödememeye söz veren Uluslararası Fidye Yazılımlarıyla Mücadele Girişimi’nin 50 üyesiyle aynı çizgideyiz” dedi (bkz: Küresel Hükümet Koalisyonu Yeni Fidye Yazılımı Çabalarını Başlatıyor).
Güvenlik firması Emsisoft’un tehdit analisti Brett Callow, “Hastanelerin ödeme yapmama kararı kesinlikle doğru” dedi. “Bu koşullar altında ödeme yapmak, eşyalarınızı iade etme sözü veren bir hırsıza para göndermeye benzer. Gerçekten hiç mantıklı değil” dedi.
Callow, hükümetlerin fidye yazılımına karşı stratejilerini yeniden düşünmesi gerektiğini, çünkü mevcut stratejilerin açıkça işe yaramadığını söyledi.
“Özellikle taleplerin ödenmesinin yasaklanmasını ya da en azından ödeme koşullarının ciddi şekilde kısıtlanmasını düşünmeleri gerekiyor. Aksi takdirde bu gibi hayati tehlike olayları olağan olaylar olmaya devam edecek. “
Kalıcı Tehditler
Beş Ontario hastanesi ve ortak BT hizmetleri sağlayıcısı, son fidye yazılımı olayını atlatmaya çalışırken, siber suçlular bu hafta ABD de dahil olmak üzere diğer hastanelere ve sağlık hizmeti sağlayıcılarına yönelik saldırılarını sürdürdü.
Bunlardan en sonuncusu, bu hafta başında gerçekleşen ve belirli çalışan dosyalarını şifreleyen şüpheli bir fidye yazılımı saldırısına yanıt veren Houston merkezli Harris Ruh Sağlığı ve Zihinsel ve Gelişimsel Engelliler Merkezi’dir. Harris Center sözcüsü, hastanenin saldırıya yanıt verirken sistemlerini çevrimdışına aldığını ve üçüncü taraf siber güvenlik uzmanları ve kolluk kuvvetleriyle birlikte çalıştığını söyledi.
Hastane Bilgi Güvenliği Medya Grubu’na şöyle konuştu: “Önleyici adımlarımızın pratik etkisi, Harris Center personelinin dosyalara sınırlı erişimle karşı karşıya kalması ve hasta bakımında bazı gecikmeler yaşanması oldu.” “Harris Merkezi, hasta bakımını kesintisiz sağlamaya devam etmek için mümkün olan tüm adımları atıyor.”
Callow, Emsisoft’un bu yıl şu ana kadar toplam 93 hastaneyi işleten en az 31 ABD sağlık sisteminin fidye yazılımı saldırılarına maruz kaldığını tespit ettiğini söyledi. Kurban olan sağlık sistemlerinden en az 24’ünün verileri çalındı.