3. taraf risk yönetimi, veri ihlali bildirimi, veri güvenliği
Horizon Healthcare RCM, Veri hırsızlığı olayında fidye ödemeyi ima ediyor
Marianne Kolbasuk McGee (Healthinfosec) •
30 Haziran 2025
Horizon Healthcare RCM, fidye yazılımı ve veri hırsızlığı içeren bir sağlık veri ihlali bildiren en son gelir döngüsü yönetimi yazılım satıcısıdır. Firmanın ihlal bildirim ifadesi, şirketin çalınan bilgilerinin ifşa edilmesini önlemek için bir fidye ödediğini göstermektedir.
Ayrıca bakınız: Yeni Siber Güvenlik Raporlama Gereksinimlerine Hazırlık
Horizon Healthcare RCM, 27 Haziran’daki bir ihlal raporunda Maine Başsavcısı’na olayın bu devletin altı sakinini etkilediğini söyledi. Şirket, ihlal raporunda Maine düzenleyicilerine genel olarak etkilenen kişi sayısı için toplamı atladı. Pazartesi itibariyle, ABD Sağlık ve İnsan Hizmetleri Bakanlığı’nın Sivil Haklar Bürosu Ofisi’nin HIPAA İhlal Raporlama Aracı Web Sitesi 500 veya daha fazla kişiyi etkileyen büyük sağlık verileri ihlallerini listeleyen Horizon Healthcare RCM’den bir rapor göstermedi.
Ancak olay, Horizon Healthcare RCM müşterilerinin uzun bir listesini etkiliyor gibi görünüyor. Indiana merkezli şirketin web sitesi, gelir döngüsü yönetimi çözümlerini içeren yaklaşık bir düzine sağlık hizmeti RCM’nin “en ödüllendirici müşteri ortaklıkları” nı destekliyor.
Söz konusu müşteriler arasında büyük sağlık sistemleri, hastaneler, Ascension Health, Adfinitas Health, Bon Secours Sağlık Sistemi, Crook County Tıbbi Hizmetler Bölgesi, Topluluk Sağlık Ortakları, Franciscan Alliance, Guthrie Lourdes Hastanesi, Metodist Hastaneleri, Pinnacle Yaralı Bakım, Telecare Eczacılığı ve Podiary Care Center dahil.
Horizon Healthcare RCM, bilgi güvenliği medya grubunun, olaydan etkilenen müşteri ve bireysel hastaların sayısı ve Horizon Healthcare RCM’nin etkilenen tüm müşteriler adına hasta ihlali bildirimini ele alıp almayacağı da dahil olmak üzere veri güvenliği olayı hakkında ek ayrıntılar talebine hemen yanıt vermedi.
Pazartesi itibariyle Horizon Healthcare RCM’nin web sitesinde yer alan müşterilerin hiçbiri, şirketin fidye yazılımı olayını içeren federal veya eyalet düzenleyicileri ihlallerine henüz bildirilmedi.
Fidye ödemesi?
Horizon Healthcare RCM’nin web sitesinde yayınlanan bir ihlal bildiriminde ve sıkça sorulan sorularda şirket, 27 Aralık 2024’te “bilgisayar virüsünün bilgisayar ağımızda depolanan bazı dosyalara erişimi kilitlemek için kullanıldığını” öğrendiğini söyledi.
Yanıt olarak, Horizon Healthcare RCM, sistemlerini “güvenli bir şekilde restore ettiğini” söyledi ve neler olduğunu belirlemek için adımlar attı. Şirket, bazı dosyaların “geçici olarak kilitlendiğini” ve daha sonra “izinsiz kopyalandığı” dedi.
Şirket bir fidye ödemeyi kabul etmese de, “Bu konuyla ilgili sorumlu tarafın kopyalanan bilgileri silmesini ve mümkünse hastalara doğrudan bildirim gönderdiklerini ayarladık.” Dedi.
Potansiyel olarak tehlikeye atılan en yaygın bilgi türleri, genel sağlık sigortası talepleri işleme bilgileri ile birlikte bir dahili ufuk numarası, müşteri numarası veya diğer hasta tanımlayıcısıydı. Bazı durumlarda, tıbbi kayıt numarası da etkilenmiştir.
Horizon Healthcare RCM, “Az sayıda örnekte, adres olmayan iletişim bilgileri, doğum tarihi, sosyal güvenlik numarası, ehliyet numarası, pasaport numarası, ödeme kartı bilgileri veya çek veya finansal hesap bilgileri tanımlandı.” Dedi.
Şirket, “Horizon’un bu olay sonucunda doğrulanmış kimlik hırsızlığı veya sahtekarlık yaşayan bir bireyin göstergesi yok.” Dedi. Firma ayrıca olayı federal kolluk kuvvetlerine bildirdiğini söyledi.
Pazartesi günü, birkaç hukuk firması, potansiyel sınıf eylem davaları için Horizon Healthcare RCM Hack’i araştırdıklarını belirten kamu beyanları yayınlamıştı.
Horizon Healthcare RCM, son birkaç ay içinde korsanlık olaylarını içeren sağlık veri ihlallerini bildiren diğer gelir döngüsü yönetimi yazılımlarının ve ilgili hizmet firmalarının en sonuncusudur.
Mayıs ayında Nebraska merkezli bir gelir döngüsü yönetim firması olan Aln Medical Management, Mayıs 2024’te bir yıl önce bir yıl önce HHS OCR’ye yapılan bir ihlal raporunu güncelledi. Başlangıçta Aln, etkilenen 501 kişinin yer tutucu tahmini ile hack bildirdi, ancak Mayıs ayında şirket HHS OCR’ye olayın 1.32 milyon kişiyi etkilediğini söyledi (bkz:: Gelir Döngüsü Yönetimi Firması’nın Veri İhlali Toplam Soars).
Geçen Ekim ayında, Teksas merkezli gelir döngüsü yönetim firması Gryphon Healthcare, düzenleyicilere yaklaşık 400.000 kişiyi etkileyen bir hack bildirdi (bakınız: Gelir döngüsü satıcısı 400.000 hastayı hack bildiriyor).
Daha yakın zamanlarda, benzer yazılım ve hizmetler sunan diğer birkaç satıcı da hack’lerle ilgili büyük sağlık veri ihlalleri bildirmiştir.
Bu, Kaliforniya merkezli tıbbi kodlama ve risk ayarlama hizmetleri firması Episource LLC’nin 6 Haziran’da HHS OCR’ye Şubat ayında keşfedilen bir fidye yazılımı hackinin yaklaşık 5.42 milyon kişinin korunan sağlık bilgilerini etkilediğini bildiren (bkz: bkz: bkz: Breach Roundup: Çinli Hackerlar Tuz Typhoon Hit Visasat).
Pazartesi günü, Episource Hack, 2025’te şu ana kadar HHS OCR web sitesinde yayınlanan en büyük ikinci sağlık veri ihlalidir.
‘Gerçek’ olmak
Bazı uzmanlar, gelir döngüsü yönetimi firmalarının ve sağlık sektörüne hizmet veren ilgili yazılım ve hizmet şirketlerinin genellikle bilgisayar korsanları için favori hedefler olduğunu söyledi.
Black Kite Siber Güvenlik Firması Baş Güvenlik Sorumlusu Bob Maley, “Açıkçası, sağlık alanında başka bir yazılım satıcısının vurulduğunu görmek için en azından şaşırmadım.” Dedi.
“Yıllardır gördüğümüz bir modeli takip ediyor. Saldırganlar tamamen verimlilikle ilgili ve bu RCM şirketleri bir altın madeni” dedi.
“Bunlardan birine vurmak, bir kasabanın su kaynağını zehirlemek gibidir, aniden aynı kuyudan içen düzinelerce hastaneyi ve kliniği etkilediniz. Büyük bir hasta verisi elde edersiniz ve tek bir temiz çekimde birden fazla kuruluş için kritik finansal işlemleri bozarsınız.” Dedi.
“Bir saldırgan için, bu tek çabanın geri dönüşü çok büyük.”
Bu olaylara katkıda bulunan en önemli sorunlardan biri, “bu şirketlerin çok fazla çoğunun hala dün savaşta mücadele etmesi” dedi. “Güvenliği bir uyum tatbikatı olarak ele alıyorlar, ancak bu sadece dama oynayarak bir satranç maçı kazanmaya çalışmak gibi. Sadece işe yaramıyor.”
Hayatta kalmak istiyorlarsa, “bir uyandırma çağrısına ihtiyaçları var” dedi. “İlk olarak, ‘kırmızı, sarı ve yeşil’ gibi belirsiz renklerde risk hakkında konuşmayı bırakmaları gerekiyor” dedi.
“Yönetim kurulu renklerle konuşmuyor; dolar ve sentler halinde konuşuyor. ‘Bu riskin olası finansal etkisi nedir?’ Sorusunu cevaplayabilmeleri gerekiyor? Daha azı sadece tahmin etmektir “dedi.
İkincisi, kendi tedarik zincirleri hakkında “gerçek olmak” gerektiğini söyledi.
“Bu satıcılar hastanelere kritik bir tedarikçidir, ancak tedarikçileri kimlerdir? Onları incelemek için bir ankete güvenmek, sadece bir sonraki şeride bakarak otoyoldan aşağı inmek gibidir. Kamyona tamamen kör ediyorsunuz. Kamyona tamamen kör ediyorsunuz. Güvenliği, sadece işin temel bir parçası olarak ele alana kadar, sadece bir BT satırı, sadece bir diğeri bu konuşmaya sahip olana kadar,” sadece bir sonraki konuşmaya sahip oluruz, “