İhlal Bildirimi, Siber Suç, Dolandırıcılık Yönetimi ve Siber Suç
İhlal, Tıbbi Görüntüleme Sağlayıcısının Bildirdiği Son Büyük Siber Olaydır
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
19 Haziran 2024
Minnesota merkezli özel bir radyoloji muayenehanesi, 500.000’den fazla kişiye, bu yılın başlarında hassas bilgilerine erişildiğini ve potansiyel olarak bilgisayar korsanları tarafından ele geçirildiğini bildiriyor.
Ayrıca bakınız: Küçük İşletme Güvenlik Duvarı Kılavuzu
Olay, radyologların son aylarda yüz binlerce hastayı etkilediğini düzenleyici kurumlara bildirdiği çok sayıda önemli sağlık verisi ihlalinden biri.
Minnesota merkezli Consulting Radiologist Ltd. Eden Prairie, 14 Haziran’da Maine başsavcısına sunduğu bir raporda, 47 Maine sakini de dahil olmak üzere yaklaşık 512.000 kişinin son “harici sistem” hackleme ihlalinden etkilendiğini söyledi.
Minnesota ve çevre bölgelerdeki 100’den fazla sağlık tesisi için teleradyoloji tabanlı tercüme hizmetleri sağlayan, doktorların sahibi olduğu bir muayenehane olan CRL, olayı, muayenehanenin 12 Şubat’ta ağ ortamında olağandışı bir aktivite tespit etmesi üzerine keşfettiğini söyledi.
CRL, ağının güvenliğini sağlamak için derhal gerekli adımları attığını ve olayın niteliğini ve kapsamını araştırmak için uzman bir siber güvenlik firmasıyla iletişime geçtiğini söyledi.
“Soruşturma sonucunda CRL, ağımızda depolanan belirli dosya ve verilere yetkisiz bir aktörün eriştiğini öğrendi. Bunu öğrenmesinin ardından CRL, olay sırasında sunucuda depolanan veriler üzerinde zaman alıcı ve ayrıntılı bir yeniden yapılandırma ve inceleme işlemine başladı. Bu olaydan kimin bilgilerinin etkilendiğini anlamak için.”
17 Nisan’da CRL, olaydan verileri etkilenen kişileri tespit etti. “Potansiyel olarak erişilen veya edinilen” bilgiler arasında isim, doğum tarihi, adres, sağlık sigortası bilgileri ve tıbbi bilgiler yer alıyor.
CRL, hastaların küçük bir alt kümesinin Sosyal Güvenlik numaralarının veya sürücü belgesi numaralarının da etkilendiğini ve başka bir küçük alt grubun da yüz sayfaları ve görüntüleme raporlarını içerdiğini söyledi. CRL, ele geçirilen bilgilerin türünün bireyler arasında değiştiğini söyledi.
Uygulama, web sitesinde yayınlanan bir ihlal bildiriminde “Şu anda herhangi bir bilginin üçüncü bir tarafça kötüye kullanıldığına dair hiçbir kanıtımız yok” dedi. CRL, etkilenen kişilere 12 ay boyunca ücretsiz kimlik ve kredi izleme hizmeti sunuyor.
Gelecekte benzer olayların önlenmesine yardımcı olmak için CRL, ek izleme araçları kullandığını ve sistemlerinin güvenliğini artırmaya devam edeceğini söyledi.
Maine başsavcısına yaptığı bildirimde CRL’yi temsil eden bir avukat, Information Security Media Group’un, olayın fidye yazılımı veya gasp talepleri içerip içermediği de dahil olmak üzere ihlalle ilgili ek ayrıntılara ilişkin talebine hemen yanıt vermedi.
CRL olayı, radyoloji uygulamaları tarafından bu yıl şu ana kadar düzenleyicilere bildirilen en son büyük hack saldırısıdır.
Çarşamba itibarıyla, ABD Sağlık ve İnsani Hizmetler Bakanlığı’nın HIPAA İhlali Raporlama Aracı, 2024’te şu ana kadar bu tür radyoloji ihlallerinin en büyüğünün, Kuzey Carolina merkezli Eastern Radiology Inc. tarafından 29 Şubat’ta bildirilen, veri hırsızlığını içeren bir bilgisayar korsanlığı olayı olduğunu gösteriyor. Yaklaşık 887.000 kişiyi etkiliyor.
Washington eyaleti merkezli Yakima Vadisi Radyolojisi, 1 Mart’ta HHS Sivil Haklar Bürosu’na 235.000’den fazla kişiyi etkileyen bir bilgisayar korsanlığı olayını bildirdi.
Bugüne kadar, bir tıbbi görüntüleme sağlayıcısına yönelik en büyük saldırının 2022 yılında Massachusetts merkezli Shields Health Care Group tarafından 2 milyondan fazla hastayı etkilediği HHS OCR’ye bildirildi (bkz.: Tıbbi Görüntüleme Sağlayıcısının Hacklenmesi 2 Milyon Veriyi Etkiliyor).
Shields, bu olayla ilgili olarak Massachusetts federal mahkemesinde önerilen yedi toplu davanın birleştirilmesiyle karşı karşıya.
İçeren faktörler
Uzmanlar, radyoloji uygulamalarının ve tıbbi görüntüleme merkezlerinin siber suçluların ana hedefi olmasının çeşitli nedenlerini öne sürüyor.
Gizlilik ve güvenlik firmasının başkanı Kate Borten, “Sağlık hizmetlerinin, bankacılık gibi düzenlemeye tabi diğer sektörlere göre daha gevşek bir güvenliğe sahip olduğu biliniyor. Ve bu sektörde ayakta tedavi kliniklerinin, sağlık planlarından ve daha büyük tesislerden daha zayıf güvenliğe sahip olduğu algılanıyor” dedi. Marblehead Grubu.
“Radyoloji öne çıkabilir çünkü bu siteler her zamanki sağlık bilgilerinin yanı sıra yüksek miktarda görüntüye de sahiptir” dedi. “Saldırganların ana hedefi genellikle hızlı ve kolay para kazanmak olsa da, yaratıcı kötü adamlar görüntüleri sabırlı şantaj ve sahte faturalandırma gibi daha hain amaçlar için kullanabilirler” dedi.
tw-Security gizlilik ve güvenlik danışmanlığı başkanı Tom Walsh, tıbbi görüntüleme ve diğer radyoloji merkezlerinin başka nedenlerden dolayı da bilgisayar korsanları için çekici bir hedef olduğunu söyledi.
“Görüntüleri şifrelemenin kolay bir yolu yok. Radyoloji görüntülerinde genellikle hasta adı, tıbbi kayıt numarası, yaş, cinsiyet vb. gibi sınırlı hasta tanımlayıcı bilgiler bulunur” dedi.
“Belirli amaçlar için ‘iyi’ bir imaja ihtiyaç duyan insanlara yardım etmek için karaborsada ‘iyi’ bir imajın satıldığı durumlar oldu” dedi. Bunun, bir işe hak kazanmak veya başka bir ülkede çalışmak veya yaşamak için vize başvurusunda bulunmak amacıyla tıbbi görüntüleri içeren fiziksel bir sınavı geçmeyi de içerdiğini söyledi.
“Umutsuz insanlar sistemi kandırmak için para ödeyecekler. Bu arz ve talep meselesi” dedi.
Görüntüler için şifreleme mümkün olmasa da, “dikte edilen raporların saklandığı ve en gizli tutulduğu yer olan” bir resim arşivleme ve iletişim sistemine veya bir radyoloji bilgi sistemine erişim sağlamak için çok faktörlü kimlik doğrulama gibi diğer telafi edici kontroller uygulamaya konulmalıdır. bilgi,” dedi Walsh.
“Radyoloji bir hastanedeki en yoğun bölümlerden biridir. Bazen meşgul radyologun işini kolaylaştırmak ve işini kolaylaştırmak için güvenlikten ödün verilir” dedi. “Fakat kullanıcılar için uygun olan şey bazen saldırgan için de uygun olabilir.”
Borten, radyoloji ihlalleriyle ilgili ciddi veri gizliliği ve güvenlik endişelerinin yanı sıra, hasta güvenliğinin de bu tür saldırılarda en önemli endişelerden biri olduğunu söyledi.
Borten, “Ağa yapılacak bir saldırı, cihazın kurcalanmasına yol açabilir ve potansiyel olarak sonuçların bir kısmını veya tamamını etkileyebilir” dedi.
“Yakalanmadığı sürece hasta bakımını doğrudan etkileyebileceği için bu gerçekten kötü bir şey olur” dedi. “Böyle bir sonuçtan duyulan korku, bir organizasyonun ağır bir fidye ödemesine neden olabilir.”