İhlal Bildirimi, Dolandırıcılık Yönetimi ve Siber Suçlar, Sağlık Hizmetleri
Colorado Laboratuvarı Halihazırda Önerilen Çeşitli Toplu Dava İhlal Davalarıyla Karşı Karşıya
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
31 Ekim 2024
Bir çalışanın fidye yazılımı çetesi Medusa tarafından gönderilen bir kimlik avı e-postasını açmasından altı ay sonra, Colorado merkezli bir patoloji laboratuvarı 1,8 milyondan fazla hastaya hassas bilgilerinin ele geçirildiğini bildiriyor; bu, bir tıbbi test laboratuvarının ABD federal düzenleyicilerine bildirdiği en büyük ihlallerden biri. bugüne kadar.
Ayrıca bakınız: İşletmenizin Başarısını Artırmaya Yönelik Varsayılan Olarak Güvenli Strateji
Summit Patoloji Laboratuvarları laboratuvarı, olaydan etkilenen BT sistemlerinin isimler, adresler, tıbbi fatura ve sigorta bilgileri, teşhisler, doğum tarihleri, Sosyal Güvenlik numaraları ve mali bilgiler dahil olmak üzere demografik ve sağlık bilgileri içerdiğini söyledi.
Olayda laboratuvarı temsil eden hukuk firması Spencer Fane’in avukatı Ellen Stewart, Information Security Media Group’a verdiği demeçte, olayın Nisan ayında, personele “milyonlarca” uyarı ve eğitim verilmesine rağmen bir çalışanın kötü niyetli bir e-posta ekini açmasıyla başladığını söyledi. . Şirket daha sonra BT ortamında şüpheli etkinlik tespit etti.
Şirket, “Ağımızın güvenliğini sağlamak için derhal adımlar attık ve faaliyetin niteliğini ve kapsamını belirlemek için üçüncü taraf adli tıp uzmanlarının yardımıyla bir soruşturma başlattık” dedi. “Bu araştırmaya dayanarak, sistemlerimizde yetkisiz siber suçluların eriştiği veya ele geçirdiği dosyaları belirledik ve etkilenen sistemlerde belirli hasta verileri bulunuyordu.”
Stewart’a göre fidye yazılımı grubu Medusa, Summit’in saldırısını üstlendi ancak Summit’in fidye ödeyip ödemediğini söylemeyi reddetti. Saldırıyı derhal FBI’a bildiren laboratuvarın, olayı keşfettikten sonraki 24 saat içinde “ayakkabıları yere serdiğini” ve bu sayede hasta hizmetlerinde aksamaların önlenmesine yardımcı olduğunu söyledi. Summit’in etkilenen BT sistemlerinin artık onarıldığını söyledi.
Summit Pathology, Perşembe günü itibariyle, şirketin 18 Ekim’de ABD Sağlık ve İnsani Hizmetler Bakanlığı’na bir ağ sunucusunu içeren bir bilgisayar korsanlığı olayı olarak bildirdiği ihlale odaklanan, geçen hafta açılan sekiz federal toplu davayla karşı karşıya bulunuyor.
Summit’in veri güvenliği uygulamalarını iyileştirmesi için mali tazminat ve ihtiyati tedbir talep eden davalarda, laboratuvarın hastaların hassas bilgilerini koruma konusunda ihmalkar davrandığı, davacıları ve sınıf üyelerini kimlik hırsızlığı ve dolandırıcılık riskiyle karşı karşıya bıraktığı da dahil olmak üzere benzer iddialar yer alıyor. .
Stewart, Summit’e karşı açılan önerilen toplu dava hakkında yorum yapmaktan kaçındı.
Güvenlik firması Critical Insight’ın kurucusu ve CISO’su Mike Hamilton, görünen kimlik avı vektörünün Summit’in e-posta filtrelemesinin Medusa fidye yazılımını tespit etme yeteneğine sahip olmadığını ya da şirketin e-posta filtrelerini hiç kullanmadığını gösterdiğini söyledi. “Çok yeni bir varyant olmadığı sürece Exchange bunu durdururdu” dedi.
HHS’nin Sivil Haklar Ofisi’nin HIPAA İhlali Raporlama Aracı web sitesinin Perşembe günü 500 veya daha fazla kişiyi etkileyen sağlık verileri ihlallerini listeleyen anlık görüntüsüne göre, Zirve olayı bugüne kadar tıbbi laboratuvar test firmaları tarafından bildirilen en büyük ihlallerden bazıları arasında yer alıyor.
2019 yılında Laboratory Corp. of America’da 10,3 milyon kişiyi etkileyen bilgisayar korsanlığı olayları, hâlâ bir tıbbi test laboratuvarı tarafından HHS OCR’ye bildirilen en büyük sağlık verisi ihlali olarak yer alıyor. Ancak bu LabCorp olayı ve tıbbi laboratuvarlar tarafından bildirilen diğer birçok büyük ihlal, üçüncü taraf bir borç tahsilat şirketi olan American Medical Collection Agency’ye 2019 yılında yapılan bir siber saldırıdan kaynaklandı.
Kritik Endişeler
Zirvenin ihlal açıklaması, bu yaz Birleşik Krallık Ulusal Sağlık Hizmeti için kan grubu eşleştirme gibi hizmetler sağlayan başka bir patoloji test laboratuvarı olan Synnovis’e ciddi derecede yıkıcı bir fidye yazılımı saldırısının hemen ardından geldi.
Synnovis’in Haziran ayındaki fidye yazılımı olayı ve bunu takip eden BT kesintisi, NHS’yi Londra bölgesindeki binlerce hasta prosedürünü birkaç ay boyunca iptal etmeye veya ertelemeye zorladı ve ayrıca ülke çapında O tipi kan tedarikinde kıtlığa yol açtı (bkz.: NHS: Synnovis Saldırısının Ardından Çevrimiçi Hasta Hizmetlerinin Çoğu).
Hamilton, “Bir tıbbi test laboratuvarı, birçok bireysel tesise (müşterilerine) ait hassas hasta bilgilerini barındırdığı için saldırıya uğrayan üçüncü bir tarafın başlıca örneğidir” dedi.
“Aktörün bakış açısına göre bu tür saldırılar için bir ölçek verimliliği var. Ayrıca, siber suçluların ikamet ettikleri hükümetin kurumları tarafından yönlendirilmeseler bile işbirliğiyle çalıştıkları bilindiğinden, bu tür saldırılar da aynı şekilde gerçekleşebilir. sağlık sektörüne olan güveni aşındırdığı için çok istikrarsızlaştırıcı olabilir” dedi.
Hamilton, çalınan tıbbi laboratuvar kayıtlarının bir şantaj taktiği olarak askıya alınmak yerine satılması durumunda tıbbi ve mali dolandırıcılık için kullanılabileceğini, aynı zamanda hastalara doğrudan şantaj yapmak için de kullanılabileceğini söyledi.
“Korunan sağlık bilgileri, utanç verici olabilecek veya istihdam kabiliyetini etkileyebilecek koşullar hakkında bilgi içerebilir. Daha önce hastaların bu şekilde gasp edildiğini gördük, ancak bu, kayıtları karanlık piyasalardan uzak tutmak için ödeme talep ediyordu – çok ölçeklenebilir bir suç taktiği değil. “dedi. “Yine de, bilgilerinin kamuya açıklanmamasını sağlamak için muhtemelen para ödeyecek hastalar var.”
Fidye yazılımı ve diğer siber saldırıların tıbbi test laboratuvarlarına neden olabileceği BT kesintilerinin yanı sıra, bir diğer endişenin de test sonuçlarının ve hasta kayıtlarının bütünlüğünü potansiyel olarak etkileyen olaylar olduğunu söyledi.
“Artık rutin kayıt hırsızlığıyla birlikte, hastalar ve sağlayıcılar artık bu kayıtların bir şekilde değiştirilip değiştirilmediğini ele almak zorundalar” dedi. “Eğer bir suçlu kayıtları çalabiliyorsa, onları değiştirebilir. Bu, yanlış ilaç ya da tedavinin reçetelenmesine ya da gerekli bir tedavinin tamamen durdurulmasına neden olabilir.”
Ancak daha da büyük bir sorunun, yeni ilaçlar veya tedaviler için insan denemeleri gibi klinik testler yapan bir laboratuvarın tehlikeye atılmasından kaynaklanacağını söyledi.
ABD Gıda ve İlaç İdaresi’nin elektronik kayıtları ve imza düzenlemeleri, “Klinik testlerde yer alan sistemler 21 CFR Bölüm 11’in yapılandırma gereksinimlerini karşılamalıdır” dedi.
“Sistemlerin değiştirildiğine dair herhangi bir öneri, test sonuçlarını geçersiz kılacaktır ve bu da yeni ilaçların ve tedavilerin piyasaya sürülmesini geciktirecektir. Eğer bir uzlaşma tespit edilmezse, test sonuçları değiştirilebilir ve bu durum doğrudan istenmeyen hasta sonuçlarıyla sonuçlanabilir. “