İhlal Bildirimi, Sağlık, HIPAA/HITECH
Tennessee Merkezli Özel Ağlar Olayı İş Ortaklarına Yönelik Son Saldırı
Marianne Kolbass McGee (SağlıkBilgiGüvenliği) •
3 Eylül 2024
Radyoloji uygulamalarına bilgi sistemleri ve transkripsiyon hizmetleri sağlayan bir satıcı, geçen Aralık ayında keşfedilen hassas verilerin çalınmasıyla ilgili bir saldırı hakkında 411.037 kişiyi uyarıyor. Şirket, saldırıyla ilgili olarak halihazırda en az dört önerilen federal toplu dava ile karşı karşıya.
Ayrıca bakınız: 2024 Dolandırıcılık İçgörüleri Raporu
Chattanooga, Tennessee merkezli Specialty Networks tarafından 15 Ağustos’ta federal düzenleyicilere bildirilen ihlal, HIPAA tarafından düzenlenen iş ortaklarına yönelik bir dizi saldırının sonuncusu. Specialty Networks, bir ihlal bildirisinde, olayın Prime Imaging; Diagnostic Radiology Consultants, PA; Allied Mobile; ve Videre Diagnostics dahil olmak üzere birkaç müşteriyi de etkilediğini söyledi.
Specialty Networks, 18 Aralık 2023’te ağında olağandışı bir aktivite tespit ettiğini ve derhal ağı güvence altına almak ve bir soruşturma yürütmek üzere dijital adli tıp ve olay müdahale firmasıyla iletişime geçmek için adımlar attığını söyledi.
Soruşturmada, keşiften bir hafta önce, 11 Aralık civarında bir tehdit grubunun Specialty Networks sistemlerinde saklanan bazı verileri ele geçirdiği ortaya çıktı.
Specialty Networks daha sonra potansiyel olarak etkilenen verilerin kapsamlı bir incelemesini gerçekleştirdi ve 31 Mayıs’ta bazı kişisel ve korunan sağlık bilgilerinin etkilenmiş olabileceğini tespit etti.
Specialty Networks, etkilenen sağlık hizmeti sağlayıcılarını bilgilendirdiğini ve 24 Haziran civarında bildirim çalışmalarını onlarla koordine ettiğini ve ihlalden etkilenen kişilerin bilgilerini ve posta adreslerini doğruladığını söyledi.
Olayda potansiyel olarak tehlikeye girebilecek bilgiler arasında isim, doğum tarihi, ehliyet numarası, Sosyal Güvenlik numarası, tıbbi kayıt numarası, tedavi ve durum bilgileri, teşhisler, ilaçlar ve sağlık sigortası bilgileri yer alıyor.
Şirket, etkilenenlere 12 ay boyunca ücretsiz kimlik ve kredi izleme hizmeti sunuyor.
Specialty Networks, olayı FBI’a bildirdiğini ve “gelecekte benzer bir olayın yaşanmasını önlemek için ek adımlar attığını” söyledi.
Son iki haftada, Tennessee eyalet mahkemesinde Specialty Networks’e karşı en az dört toplu dava önerisi sunuldu.
Davaların hepsinde benzer iddialar yer alıyor; bunlar arasında Specialty Networks’ün, küçüklere ait veriler de dahil olmak üzere hastaların hassas bilgilerini korumada ihmalkar davrandığı ve bu nedenle onları kimlik hırsızlığı ve dolandırıcılık suçlarına karşı riske attığı iddiaları da yer alıyor.
Davaların hepsi, Specialty Networks’ün veri güvenliği uygulamalarını iyileştirmesi için maddi tazminat ve mahkeme emirleri de dahil olmak üzere benzer tazminatlar talep ediyor.
Specialty Networks, Information Security Media Group’un davalarla ilgili yorum talebine ve siber saldırının türü de dahil olmak üzere saldırı hakkında ek ayrıntılara ilişkin talebine hemen yanıt vermedi.
Specialty Networks’e karşı açılan davalardan birinin baş davacısı olan Daniel Smith tarafından 20 Ağustos’ta yapılan şikâyette, kendisinin Tennessee, Chattanooga merkezli tıbbi görüntüleme hizmetleri sağlayıcısı Prime Imaging’in hastası olduğu belirtiliyor.
Prime Imaging, ISMG’nin olayla ilgili yorum talebine hemen yanıt vermedi. Prime Imaging’in bir personeli ISMG’ye, Specialty Networks’ün BT sistemlerini “işlettiğini” söyledi.
Specialty Networks, veri ihlali bildiriminde radyoloji bilgi sistemleri ve transkripsiyon hizmetlerinin yanı sıra tıbbi tesislere kurumsal uygulama yönetimi çözümleri de sağladığını belirtti.
Salı günü itibarıyla Specialty Networks saldırısı, bu yıl ABD Sağlık ve İnsan Hizmetleri Bakanlığı’na bildirilen en büyük 25 sağlık verisi ihlali arasında yer alıyor. Bu yıl HHS Sivil Haklar Ofisi’ne bildirilen 471 büyük ihlal, 54,1 milyondan fazla kişiyi etkiledi.
Bunlardan 159 ihlal – Specialty Networks saldırısı da dahil – HHS OCR’nin HIPAA İhlal Bildirim Aracı web sitesine göre iş ortaklarıyla bağlantılıydı. Bu iş ortağı ihlalleri yaklaşık 22,8 milyon kişiyi etkiledi.