Tesisler neden yaşlıların siber suç için ‘fırsat hedeflerine’ bakıyor?
Marianne Kolbasuk McGee (Healthinfosec) •
19 Mart 2025
Yarım düzineden fazla bakım evi ve rehabilitasyon merkezi, geçen ay 130.000’den fazla kişiyi etkileyen çeşitli büyük hack olaylarının çeşitliliğini bildirdi. Uzmanlar, yaşlı ve engelli bireylere bakan tesislerin siber suçlular için çekici ve savunmasız hedefler olduğunu söylüyor.
Ayrıca bakınız: 2024 Sahtekarlık Anlaşmaları Raporu
En büyük hack 2024 veri hırsızlığı içerir; Üç olay aynı isimsiz üçüncü taraf satıcısına odaklanmıştır; Ve iki yıl önce keşfedilen bir olayla ilgili üç ihlal daha ortaya çıkıyor – ancak sadece son zamanlarda düzenleyicilere bildirildi.
Tüm ihlallerin ortak bir yanı vardı – hassas sağlık ve savunmasız bir hasta popülasyonuna ait kişisel verilerin uzlaşması.
Optiv’in baş güvenlik danışmanı Keith Forrester, “Bu kuruluşlar, sosyal güvenlik numaraları, sürücülerin lisansları, doğum tarihleri, adresler, kart ödeme numaraları ve karaborsa üzerinde değeri olan hassas kişisel sağlık bilgileri gibi değerli verilerin hazinesine sahiptir.” Dedi.
“Bu verileri daha değerli kılan şey, yaşlı hastaların kredilerini veya kişisel bilgilerini aktif olarak izleme olasılığı daha az olmasıdır.” Dedi. Diyerek şöyle devam etti: “Bu, bilgisayar korsanlarına, toplu bilgi satmaktan banka hesaplarını açmaya ve sahte sigorta taleplerine kadar her türlü hileli faaliyette çalınan verileri kullanmaları için daha fazla zaman tanıyor.”
Huzurevleri, rehabilitasyon tesisleri ve benzeri sağlık uygulamaları mutlaka “siber suçlular için bir niyet hedefi” değil, “fırsat hedefi” değil, danışmanlık firması TW-Security’nin müdürü ve ortağı Keith Fricke.
Fricke, “Bu tür sağlık tesisleri genellikle ustura ince marjlarında faaliyet göstermektedir ve muhtemelen bir bilgi güvenliği programı oluşturmak ve sürdürmek için gerekli olan yetenekli personel ve bütçeden yoksundur.” Dedi. Diyerek şöyle devam etti: “Bu tür sağlık kuruluşlarından daha fazlası siber saldırıların kurbanı haline geldikçe, suçlular onları bir niyet hedefi olarak görebilir.”
En büyük son hack
Raleigh ve Durham’daki iki üst düzey bakım tesisinin Kuzey Carolina operatörü Hillcrest Convalescent Center, 4 Mart’ta federal düzenleyicilere hackleme olayının yaklaşık 106.200 kişiyi etkilediğini bildirdi.
Hillcrest, web sitesinde yayınlanan bir ihlal bildirisinde, 27 Haziran 2024’te ağında şüpheli etkinlik belirlediğini ve çevresini güvence altına almak için “hızlı bir şekilde hareket ettiğini” söyledi.
Üçüncü taraf siber güvenlik uzmanlarının yardımıyla yapılan bir soruşturma sayesinde Hillcrest, ağına bazı Hillcrest verilerini tehlikeye atan yetkisiz erişim keşfettiğini söyledi.
Hillcrest, “Daha sonra Hillcrest, potansiyel olarak etkilenen bireyleri ve bilgileri tanımlamak için verilerin kapsamlı ve ayrıntılı bir incelemesini gerçekleştirdi. Bu inceleme 13 Şubat’ta tamamlandı.” Dedi.
Potansiyel olarak tehlikeye atılan bilgi, isim, doğum tarihi, sosyal güvenlik numarası, hasta verileri, tıbbi bilgiler, tedavi bilgileri, sağlık sigortası bilgileri ve sağlık hizmeti sağlayıcı bilgilerini içerir.
Hillcrest, kişinin ikamet durumuna bağlı olarak 12 ila 24 aylık ücretsiz kredi ve kimlik hırsızlığı izlemesi sunmaktadır. Hillcrest ayrıca ölen hastaların ailesine üç büyük kredi bürosunu bilgilendirmelerini ve “ölen kredi dosyasını işaretlemelerini” talep etmelerini tavsiye ediyor.
Hillcrest ayrıca, “üç ulusal kredi raporlama ajansının her birinin ilişkili bir kredi raporu olup olmadığını belirlemek için bir küçük sosyal güvenlik numarasını manuel olarak arama yapmasını talep etmesini talep etmek” için etkilenmiş olabilecek küçüklerin ebeveynlerine ve velilere tavsiyelerde bulunuyor.
Hillcrest, Bilgi Güvenliği Medya Grubu’nun, ihlalin etkilenmediği ve hastalara ek olarak bağımlıları gibi diğerlerinin de dahil olmak üzere olayla ilgili ek ayrıntılar talebine hemen yanıt vermedi.
Satıcı hack
3 Mart’ta ABD Sağlık ve İnsan Hizmetleri Bakanlığı’na bildirilen en az üç huzurevi ve rehabilitasyon merkezi ihlali, aynı isimsiz üçüncü taraf satıcısına bir hack ve elektronik tıbbi kayıtların uzlaşmasını içeriyor gibi görünüyor.
Bu üç uygulama:
- New York’ta Phoenix Rehabilitasyon ve Hemşirelik Merkezi olarak faaliyet gösteren Atlantis Operation LLC, 6.459 kişiyi etkileyen bir EMR hack;
- New York’taki Valhalla Rehabilitasyon ve Hemşirelik Merkezi’ndeki Grove olarak iş yapan HHH Acquisition, LLC de 4.196 kişiyi etkileyen bir EMR hackini bildirdi;
- Florida’daki Palmetto subakut bakım merkezi, 2.746 kişinin EMR’leri de içeren “yetkisiz erişim/açıklama” ihlalinde etkilendiğini bildirdi.
Bu üç kuruluşun her biri, 19 Eylül 2024’te “üçüncü taraf bir satıcı” veri güvenliği olayının potansiyel olarak mevcut ve geçmiş hastalarının kişisel bilgilerini etkilediğini öğrendiklerini söyleyerek aynı kamu bildirimlerini yayınladı. Bu, isimleri, adresleri, tıbbi bilgileri ve bazı durumlarda sosyal güvenlik numaralarını içerir.
Breach bildirimleri, “Ne yazık ki, bu tür olaylar giderek yaygınlaşıyor ve mevcut en sofistike BT altyapısına sahip kuruluşlar etkilenmeye devam ediyor.” Dedi.
Üç sağlık kuruluşunun hiçbiri, ihlallerinin merkezindeki üçüncü taraf satıcısı kimliği ve türü de dahil olmak üzere, ISMG’nin olayla ilgili ek ayrıntılar taleplerine hemen yanıt vermedi.
2023 Hacking olayı
Aynı ana şirket Atlas Healthcare tarafından işletilen en az üç bakım evi ve rehabilitasyon merkezi de ihlal bildirdi. Atlas Healthcare New Jersey’de bulunuyor, ancak çeşitli eyaletlerde tesisler işletiyor.
Üç ihlal, Connecticut’taki Atlas Healthcare tesisleri tarafından bildirildi. Bu, 3 Mart’ta HHS OCR’ye 5.416 kişinin ağ sunucusunu içeren bir hack/BT olayından etkilendiğini bildiren Vernon Rehabilitasyon ve Sağlık Merkezi; ve aynı gün bir ağ sunucusunu içeren bir hackten etkilenen 5.415 kişiyi bildiren Manchester Rehabilitasyon ve Sağlık Merkezi.
Üçüncü Connecticut merkezli Atlas tesisi olan Hop Brook’un Arbors’u, web sitesinde Vernon Rehab ve Manchester Rehab’ın olaylarını tanımladığı gibi bir ihlal hakkında bir bildirim yayınladı. Ancak Çarşamba günü, Arbors’tan bir ihlal raporu HHS OCR’nin ihlal raporlama web sitesinde yayınlanmamıştı, bu nedenle Arbor’da etkilenen kişi sayısı henüz açıklanmadı.
Connecticut’taki Atlas Sağlık Hizmetleri Huzurevleri ve Rehabilitasyon Merkezleri, tesislerin Atlas Ağı’ndaki bazı BT sistemlerinin 20 Ocak 2023’te meydana gelen bir veri güvenliği olayından etkilendiğini öğrendiklerini söyledi.
Bildirimler, “Konunun öğrenildikten sonra derhal ve kapsamlı bir soruşturmaya başladık ve kolluk kuvvetlerini uyardık.” Dedi. 16 Ağustos 2023 tarihinde, olayda yer alan belirli dosyaların isimler, adresler, doğum tarihleri, sosyal güvenlik numaraları, tıbbi bilgiler, sağlık sigortası bilgileri, ehliyet ve finansal bilgiler dahil olmak üzere bireylerin bilgilerini içerdiği belirlenen soruşturma ve “kapsamlı manuel dosya incelemesi”.
Tesisler, “uygun” bireylere ücretsiz kredi ve kimlik izleme hizmetleri sunmaktadır.
“Etkinliğin öğrendikten sonra, sürdürdüğümüz kişisel bilgileri korumak için derhal harekete geçtik. Kişisel bilgilerin güvenliğini ve gizliliğini artırmak için uygulamalarımızı sürekli olarak değerlendiriyoruz ve değiştiriyoruz ve mevcut siber güvenliğimizi artırmak için önlemler alıyoruz.”
Atlas Healthcare, ISMG’nin ihlallerle ilgili ek ayrıntılar için taleplerine hemen yanıt vermedi, bu da tesislerin olayı düzenleyicilere bildirmesinin yaklaşık iki yıl sürmesi de dahil.
Diğer Hacks
Huzurevi ihlallerinin bu döküntüsü, son aylarda diğer rehabilitasyon ve uzun vadeli hemşirelik tesisleri tarafından bildirilen en son olaylardır.
Şubat ayında, Fidye yazılımı Gang Embargo, karanlık web sitesinde Gürcistan merkezli bir hastane ve huzurevinde Memorial Hastanesi ve Manor’dan çalınan 1.15 terabayt veri yayınladığını iddia etti.
Ocak ayında, Buckeye Eyaleti ve Pennsylvania’da sağlık ve huzurevi tesislerini işleten Lima, Ohio merkezli bir şirket ailesi olan HCF Management, yaklaşık 70.000 kişiyi etkileyen bir hack ile ilgili federal ve eyalet düzenleyicilerine en az 25 veri ihlali raporu sundu. Siber suçlu çetesi Ransomhub, bu hackte 250 gbytes HCF verisini çaldığını iddia etti.
Ve geçen Ekim ayında, Ransomware Group Rhysida, karanlık web sitesindeki Ransomware grubu, Mississippi’deki Golden Age huzurevinde olduğu iddia edilen bir hackte çalınan 102-Gbytes’ten veri yayınladığını iddia etti.
Forrester, “Huzurevleri, uzun süreli bakım ve rehabilitasyon tesislerinin muazzam bütçe kısıtlamaları altında olduğunu ve genellikle sistemleri izlemek ve siber risk ve uyumluluğu değerlendirmek için personel konusunda siber güvenlik kaynaklarına ve uzmanlığına sahip olmadığını biliyoruz.” Dedi.
Forrester, bu tesisler genellikle daha küçüktür ve bakım sağlamak ve tesisin işleyişini sağlamak için yeterli personele sahip olmalarını sağlamaya odaklanarak yalın çalışır. Diyerek şöyle devam etti: “Büyük sağlık hizmeti sağlayıcılarının, hastane ve kliniklerin PHI’yi korumak ve olaylara cevap vermek için sahip oldukları siber güvenlik kontrolleri ve süreçleri yok.”
Fricke, bakım evleri ve benzer uygulamalar, “bu bize olmayacak” zihniyeti varsa, risklerini yeniden düşünmeleri gerektiğini belirtmelidir.
“Daha fazla suçlu ağlardan ve bu tür kuruluşların bilgilerini başarıyla tehlikeye attıkça, bu varlıklar niyet hedefleri olacak” dedi.
“Korunan sağlık bilgilerini ve hastalarının kişisel olarak tanımlanabilir bilgilerini korumak için güvenlik duruşlarını güçlendirmelidirler” dedi. İhlaller genellikle para cezaları ve düzeltici eylem planları ile sonuçlanan OCR araştırmalarına neden olur. Bu planlar genellikle “başlamak için sahip olması gereken güvenlik kontrollerine yatırım yapmayı” gerektirir.