Dolandırıcılık Yönetimi ve Siber Suçlar , Sağlık Hizmetleri , HIPAA/HITECH
FBI, Kayıt ve Fotoğrafların Çalınmasından Sonra Hastalar ve Doktorların Fidye Talebi Riskiyle Karşı Karşıya Olduğunu Söyledi
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
19 Ekim 2023
FBI, plastik cerrahi uygulamalarını ve hastalarını, hassas sağlık bilgilerini ve tıbbi fotoğraflarını gasp planları için hedef alan siber suçlulara karşı uyarıyor. Uyarı, çeşitli plastik cerrahi muayenehanelerinde veri hırsızlığı içeren son bilgisayar korsanlığı olaylarının ardından geldi.
Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu
FBI bu hafta yayınladığı bir uyarıda, siber suçluların kişisel bilgileri ve tıbbi muayenehanelerde çekilen hassas hasta fotoğrafları da dahil olmak üzere sağlık kayıtlarını hedef aldığı konusunda uyardı.
FBI, suçluların daha sonra bilgi ve görsellerin kamuya açık web sitelerinde ifşa edilmesini veya hastaların arkadaşları, aileleri veya meslektaşlarıyla paylaşılmasını engellemek veya kaldırmak için muayenehanelerden ve hastalardan fidye ödemesi aldıkları konusunda uyardı.
Saldırılar üç aşamadan oluşuyor; veri toplama, veri geliştirme ve gasp. İlk aşamada, siber suçlular, kimlik avı yapmak ve muayenehanelerde kötü amaçlı yazılım dağıtmak için e-posta adreslerini veya telefon numaralarını taklit eder ve ardından hassas hasta bilgilerini ve resimlerini toplar.
İkinci aşamada siber suçlular, çalınan hasta verilerini geliştirmek için sosyal medya sitelerinden toplanan ve sosyal mühendislik programları aracılığıyla toplanan bilgiler de dahil olmak üzere açık kaynaklı bilgileri kullanıyor.
FBI, üçüncü aşamada suçluların sosyal medya hesapları, e-postalar, kısa mesajlar veya mesajlaşma uygulamaları aracılığıyla plastik cerrahi uygulamaları ve hastalarla iletişime geçtiğini ve çalınan bilgi ve görsellerin ifşa edilmesini önlemek için kripto para birimi ödemeleri talep ettiğini söyledi.
Son Saldırılar
Geçtiğimiz aylarda birçok plastik cerrahi uygulaması, Ağustos ayında Kaliforniya başsavcılığına bir bilgisayar korsanlığı olayını bildiren Kaliforniya merkezli Beverly Hills Plastik Cerrahi de dahil olmak üzere, hasta bilgilerinin çalınmasını içeren bilgisayar korsanlığı olaylarını düzenleyicilere bildirdi.
Uygulama, raporunda 16 Haziran’da BT ortamında olağandışı bir etkinlik tespit ettiğini belirtti. Uygulama, soruşturmada yetkisiz bir kişinin sistemlerinde depolanan hasta adları ve tıbbi bilgiler de dahil olmak üzere belirli dosya ve verileri ele geçirmiş olabileceğini belirledi. .
Veri ihlali blog sitesi DataBreaches.net, geçen ay BlackCat/Alphv tehdit aktörlerinin, grubun Beverly Hills Plastik Cerrahi’den çaldığını iddia ettiği fotoğraf ve bilgileri karanlık web sızıntı sitelerinde yayınladıklarını bildirdi.
Beverly Hills Plastik Cerrahi, Bilgi Güvenliği Medya Grubu’nun yorum talebine hemen yanıt vermedi.
Temmuz ayında, Dr. Gary Motykie tarafından işletilen Kaliforniya merkezli bir plastik cerrahi muayenehanesi, Maine düzenleyicilerine, yaklaşık 3.500 hastanın sağlığını ve tıbbi görüntüler de dahil olmak üzere kişisel bilgilerini potansiyel olarak etkileyen bir bilgisayar korsanlığı olayını bildirdi.
Motykie, ihlal raporunda, 9 Mayıs’ta muayenehaneye hasta bilgilerinin “üçüncü bir tarafın” elinde olabileceği konusunda bilgilendirildiğini söyledi.
Motykie’nin muayenehanesi, kolluk kuvvetleri ve olay müdahale ekibiyle birlikte çalıştığını ve 6 Haziran’da ihlal nedeniyle hasta bilgilerinin potansiyel olarak ele geçirildiğini belirlediğini söyledi. Buna isim, adres, Sosyal Güvenlik numarası, ehliyet veya kimlik kartı numarası, sağlık sigortası bilgileri, finansal hesap veya ödeme kartı numarası, tıbbi bilgiler ve geçmiş ve sağlanan tıbbi hizmetlerle bağlantılı olarak çekilen tıbbi görüntüler dahildir.
Uygulama, olaya etkilenen bilgisayara erişimi devre dışı bırakarak, sistemi çevrimdışına alarak ve diğer çeşitli güvenlik önlemlerini uygulayarak yanıt verdiğini söyledi.
DataBreaches.net, Temmuz ayında Motykie’nin muayenehanelerinden çalındığı iddia edilen hasta bilgileri ve fotoğrafların Rusya’da faaliyet gösterdiği anlaşılan karanlık bir web sitesine yüklendiğini bildirdi. Sızıntıyı hiçbir suç grubu üstlenmedi.
Yerel medya NBC Los Angeles, polis kayıtlarının Mayıs ayında tehdit aktörlerinin Motykie’den kendisinin ve hastalarının verilerinin kamuya açıklanmasını önlemek için 2,5 milyon dolar talep ettiğini gösterdiğini bildirdi.
İhlal olayında Motykie’yi temsil eden bir avukat, Bilgi Güvenliği Medya Grubu’nun yorum talebine hemen yanıt vermedi.
Kazançlı Hedef mi?
Grubun gelecek dönem başkanı Dr. Steven Williams, ISMG’ye şu ana kadar Amerikan Plastik Cerrahi Derneği’ne bu tür olaylarla ilgili raporların “minimum düzeyde” olduğunu söyledi.
“Ancak, dünya daha bağlantılı ve daha dijital hale geldikçe, daha fazla olayla ve tıbbi bakımı ve hasta güvenliğini tehlikeye atmaya çalışan kötü aktörlerle karşılaşacağımız açık. Hastaneler, sigortacılar ve doktor muayenehanelerinin tümü hedef haline geldi çünkü veriler kritik öneme sahip. Hasta bakımı” dedi.
Diğer uzmanlar, son zamanlarda her türden sağlık hizmeti grubunun kimlik hırsızlığı, dolandırıcılık ve gasp nedeniyle siber suçlular ve fidye yazılımı saldırganları tarafından hedef alındığını, ancak plastik cerrahların ve hastalarının bazı tehdit aktörleri için özel bir çekiciliğe sahip göründüğünü söyledi.
Güvenlik firması Tanium’un teknik hesap yönetimi kıdemli müdürü Shawn Surber, “Plastik cerrahi, müşterilerin öncelikle ön ödeme yaptığı karlı bir iştir” dedi. “Bu, hem cerrahın hem de hastaların genel olarak hatırı sayılır bir harcanabilir gelire sahip olduğu ve kimlik hırsızlığı endişesinden ziyade mahremiyetlerini utançtan korumakla ilgilendikleri anlamına geliyor.”
Plastik cerrahlar ayrıca bağımsız çalışma eğilimindedir. Surber, sınırlı ve genellikle sözleşmeli BT desteğine sahip küçük ofislere sahip olduklarını ve sıklıkla benzer sınırlamalara sahip özel ameliyat merkezleriyle ortaklık kurduklarını söyledi.
“Bu aynı zamanda doktor ve ameliyat merkezinin, örneğin kişisel veya web tabanlı e-posta kullanmak gibi genellikle güvenli kanalların dışında potansiyel olarak iletişim kurduğu ve kötü niyetli aktörlerin verilere, kimlik bilgilerine ve istihbarata müdahale etmesi için ek fırsatlar yarattığı anlamına da geliyor.”
FBI, tıbbi uygulamalara ve hastalarına, sosyal medya hesaplarındaki profil ayarlarını dikkatli bir şekilde gözden geçirmelerini, başkaları tarafından profillerinde paylaşılabilecekleri sınırlamalarını ve benzersiz ve karmaşık şifreler kullanmak da dahil olmak üzere hesapları güvence altına almak için diğer adımları atmalarını tavsiye etti.
New Jersey’deki Kean Üniversitesi Siber Güvenlik Merkezi’nin başkanı Stan Mierzwa, tıbbi uygulamalara dünyanın belirli yerlerinden erişimi engellemeyi düşünmelerini tavsiye etti.
“Siber saldırganların motivasyonları ve hedefleri gelişecek ve değişecek ve her ne kadar belirli sektörler yakın zamanda odak noktası olmasa da kuruluşların bu potansiyelin farkında olmaları ve uyanık kalmaları önemli” dedi.
ASPS’den Williams, meslek birliğinin siber riski azaltmaya yardımcı olacak kaynaklara sahip olduğunu ve üyelerini güncel tutmak için eğitim toplantıları ve web seminerlerine ev sahipliği yaptığını söyledi. Ayrıca üyelerin siber sigorta kapsamına girmeyi düşünmeleri gerektiğini söyledi.
“Bazıları sağduyuya dayanıyor. En önemli uygulamalar arasında, sistematik ve rutin olarak yedeklenen tüm kritik verilerin çevrimdışı olarak yedeklenmesi ve saklanan hassas veya hasta verilerinin şifrelenmesi yer alıyor” dedi. “Bir sonraki en önemli adım, ekibin eğitimidir, böylece tüm üyeler risklerin ve bu riskleri azaltmaya yönelik stratejilerin farkında olur.”