Dolandırıcılık Yönetimi ve Siber Suç, Sağlık, HIPAA/HITECH
Uzmanlar, Son Derece Hassas Sağlık Bilgilerini Ele Alan Kuruluşların Saldırı Hedefi Olduğunu Söylüyor
Marianne Kolbass McGee (SağlıkBilgiGüvenliği) •
5 Eylül 2024
Doğum kontrolü ve kürtaj da dahil olmak üzere üreme sağlığı hizmetleri sağlayan Montana Planned Parenthood, siber suç grubu RansomHub’ın örgütten çalındığı iddia edilen 93 gigabayt veriyi sızdırma tehdidine ve saldırı girişimine yanıt veriyor.
Ayrıca bakınız: Web Semineri | 2024 Kimlik Avı İçgörüleri: 11,9 Milyon Kullanıcı Davranışının Riskiniz Hakkında Gösterdikleri
Saldırı, Yüksek Mahkeme’nin 2022’de Roe v. Wade kararını bozmasından bu yana eyalet yasakları ve kürtajlara ilişkin yeni kısıtlamalar ışığında, üreme sağlığı gibi son derece hassas bilgileri işleyen kuruluşlara yönelik tehditleri gözler önüne seren son olaylardan biri.
Montana’daki Planned Parenthood, Perşembe günü Information Security Media Group’a yaptığı açıklamada, 28 Ağustos’ta BT sistemlerinde bir siber güvenlik olayı tespit ettiğini doğruladı. Ulusal Planned Parenthood örgütü, ABD genelinde 600 merkez işletiyor
Planned Parenthood of Montana Başkanı ve CEO’su Martha Fuller, “Proaktif bir güvenlik önlemi olarak ağımızın bazı bölümlerini çevrimdışı bırakmak da dahil olmak üzere olay yanıt protokollerimizi derhal uygulamaya koyduk” dedi.
“Etkilenen sistemleri mümkün olan en kısa sürede güvenli bir şekilde geri yüklemek için gece gündüz çalışan ve olayın nedenini ve kapsamını yorulmadan araştıran BT personelimize ve siber güvenlik ortaklarımıza minnettarız.”
Fuller ayrıca örgütün RansomHub’ın grubun karanlık web sitesindeki gönderisinden haberdar olduğunu ve olayı federal kolluk kuvvetlerine bildirdiğini söyledi. Olayla ilgili soruşturmanın devam ettiğini söyledi.
Montana, siber saldırıya uğrayan ilk Planned Parenthood merkezi değil. Los Angeles’taki Planned Parenthood da 2021’de yaklaşık 400.000 kişinin teşhisleri ve tıbbi prosedürleri de dahil olmak üzere hassas sağlık bilgilerini etkileyen bir fidye yazılımı ve veri sızdırma saldırısı yaşadı (bkz: Planned Parenthood Verileri Sızdırıldı, 400.000 Kişiye Bildirildi).
Bazı uzmanlar, siber suçluların sağlık sektöründeki potansiyel hedefleri daha seçici bir şekilde seçtiklerini, çünkü ele aldıkları bilgilerin hassasiyet düzeyinin yüksek olduğunu söylüyor.
Düzenleyici avukat Rachel Rose, “Üreme sağlığı, eyalet yasaları ve belirli prosedür türleri ile üreme sağlığı arasındaki aşırı farklılıklar da dahil olmak üzere çeşitli nedenlerle önemli bir endişe alanıdır” dedi.
“Siber suçlular, tıpkı çocuk hastanelerinde yaptıkları gibi bu alana da odaklandılar, çünkü bu alan dikkat çekiyor ve amaç, insanlardan fidye ödemelerini istemek ve/veya kritik bir altyapı sektörünü çökertmek; Change Healthcare’de olan da buydu,” dedi.
Change Healthcare’in ana şirketi UnitedHealth Group, olayında saldırganlara 22 milyon dolar fidye ödediğini kabul etti.
Polsinelli hukuk firmasından gizlilik avukatı Iliana Peters, gördüklerine dayanarak siber suçluların, ödeme yapabileceğini düşündükleri herhangi bir kuruluştan haraç parası koparmaya çalıştıklarını, ancak sağlık sektörü de dahil olmak üzere herhangi bir sektörün belirli bir segmentindeki kuruluşları hedef almadıklarını söyledi.
“Deneyimlerime göre, tehdit aktörleri, ödeme dolandırıcılığı veya kimlik hırsızlığı yapmalarına olanak sağlayan veya bizzat kuruluştan fidye ödemesi almalarına olanak sağlayan bilgiler dışında, herhangi bir kişisel olarak tanımlanabilir bilgi veya korunan sağlık bilgisiyle özellikle ilgilenmiyorlar,” dedi.
Çocukların bilgileri de bir hedef gibi görünüyor. Ocak ayında, fidye yazılımı hizmeti grubu Rhysida, Chicago Ann & Robert H. Lurie Çocuk Hastanesi’ne düzenlenen ve pediatrik tıp merkezinin BT sistemlerini haftalarca çevrimdışı bırakan ve 800.000 kişinin verilerini tehlikeye atan bir saldırının sorumluluğunu üstlendi.
Rhysida, söz konusu saldırıda çalınan veriler için 3,4 milyon dolar fidye talep etmişti ancak hastane bu talebi karşılamadığını söyledi (bkz: Çocuk Hastanesi, Saldırıda 800.000 Kişiye Veri Hırsızlığı Bildiriminde Bulundu).
Güvenlik firması Veeam Software’in ürün stratejisi başkan yardımcısı Rick Vanover, “Bir tehdit aktörünün bir kuruluşu hedef almasının tam olarak ne anlama geldiğini bilmek zor olsa da, etki veya tartışma yaratabilecek güncel konular gibi faktörlerin yanıt davranışını etkileyebileceğini beklemenin makul olduğunu düşünüyorum” dedi.
“Veriler ne kadar özel veya hassas olursa, tehdit aktörü ve karanlık ağ için o kadar çekici olabilir. Ancak siber tehditler ayrımcılık yapmaz,” dedi. “Hedeflenen mutlaka sektör değildir; siber saldırı veya fidye yazılımı olayından en kötü zararı alanlar, hazırlıksız veya veriye dayanıklı olmayan kuruluşlardır.”
RansomHub, geçen hafta FBI, CISA, Sağlık ve İnsan Hizmetleri Bakanlığı ve Çok Eyaletli Bilgi Paylaşımı ve Analiz Merkezi tarafından yayınlanan ortak bir uyarının konusu oldu.
Yetkililer, RansomHub’ın Şubat ayında kurulduğundan bu yana sağlık ve halk sağlığı, finansal hizmetler ve hükümet de dahil olmak üzere birçok sektörde en az 210 mağdurun verilerini şifreleyip sızdırdığını söylüyor.
RansomHub, son zamanlardaki birkaç yüksek profilli sağlık sektörü saldırısının merkezinde olduğunu iddia etti. Şubat ayındaki Change Healthcare saldırısında başka bir çetenin -BlackCat- iştiraki tarafından çalınan 4 terabayt verinin kendisinde olduğunu söyledi. Grup ayrıca Rite Aid eczane zinciri ve Florida Sağlık Bakanlığı’na yönelik son veri hırsızlığı saldırılarının da sorumluluğunu üstlendi.
ABD hükümet yetkilileri geçen hafta yayınladıkları ortak uyarıda, RansomHub iştiraklerinin, kurbanları gasp etmek için bilişim sistemlerini şifrelemek ve verileri sızdırmak gibi çift yönlü gasp yöntemleri kullandığını bildirdi.
“Veri sızdırma yöntemlerinin ağ ihlalini gerçekleştiren iştirake bağlı olduğu unutulmamalıdır. Şifreleme sırasında bırakılan fidye notu genellikle ilk fidye talebini veya ödeme talimatlarını içermez,” uyarısı belirtiliyor.
“Bunun yerine, not kurbanlara bir istemci kimliği sağlıyor ve onlara fidye yazılımı grubuyla benzersiz bir .onion URL’si aracılığıyla iletişim kurmaları talimatını veriyor – Tor tarayıcısı üzerinden erişilebilir. Fidye notu genellikle kurbanlara fidyeyi ödemeleri için üç ila 90 gün arasında bir süre veriyor – iştirake bağlı olarak – fidye yazılımı grubu verilerini RansomHub Tor veri sızıntısı sitesinde yayınlamadan önce.”
Çetenin internet sitesinde, “Kâr amacı gütmeyen hastanelerin ve bazı kâr amacı gütmeyen örgütlerin hedef alınmasına izin vermiyoruz” ifadesi yer alıyor.
Vanover, olası saldırılara karşı verileri dayanıklı tutmak için en önemli önerilerinin sağlık hizmetleri veya diğer hassas bilgiler için farklı olmadığını ancak genel olarak iyi çalıştığını söyledi. “3-2-1 kuralını birkaç yıldır modern bir dokunuşla ve isteğe bağlı bir adım daha ileri giderek tavsiye ediyorum: Üç veri kopyası, iki farklı medya ve bunlardan birinin site dışında olması harika bir başlangıç,” dedi.
“Ancak 3-2-1-1-0 bir adım daha ileri gidiyor ve en azından bir kopyası değiştirilemez olduğundan kötü amaçlı yazılım algılama ve kurtarma doğrulamasında sürprizler olmuyor,” dedi. “Ayrıca kuruluşlara iki farklı değiştirilemez kopya bulundurmayı düşünmelerini tavsiye ediyorum; bu, bugün bu kritik verileri korumak için en yüksek düzeyde dayanıklılık sağlayacaktır.”