Rehabilitasyon Hastanesi Zinciri Hack’i 101.000’i Etkiledi; 6 Davayla Karşı Karşıyayız

ABD Sağlık ve İnsani Hizmetler Bakanlığı Sivil Haklar Ofisi HIPAA İhlali Raporlama Aracı Perşembe günü web sitesi, 12 eyaletteki rehabilitasyon ve uzun süreli bakım hastanelerindeki bilgisayar korsanlığı olaylarıyla ilgili olarak 29 Mart’ta sunulan en az 33 ayrı ihlal raporunu gösteriyor. Ernest Health, Mesquite, Teksas’ta bulunmaktadır.

Her ihlal, bir ağ sunucusu ve bir HIPAA iş ortağının dahil olduğu bir bilgisayar korsanlığı olayı olarak rapor edildi. 848 kişiyi etkileyen Ernest Health ihlallerinin en küçüğü Colorado’daki Denver Bölge Rehabilitasyon Hastanesi tarafından rapor edilirken, en büyüğü Teksas Lubbock’taki Trustpoint Rehabilitasyon Hastanesi tarafından 9.014 kişiyi etkilediği bildirildi.

Yaralanmalar veya hastalıklar ya da kronik veya karmaşık tıbbi durumlardan kaynaklanan engellilik durumlarından kurtulan hastaları tedavi eden Ernest Health, halihazırda siber saldırı ve veri ihlallerini içeren önerilen en az altı toplu davayla karşı karşıya bulunuyor ve bunların tamamı 10 Nisan’dan bu yana Teksas ABD Bölgesi’nde açıldı. Mahkeme.

Şikayetlerden biri 26 Nisan’da, Ernest’in Arizona’daki Mountain Valley Bölge Rehabilitasyon Hastanesi’nin eski bir hastası olan davacılar Marie Snow ve Ernest’in Indiana’daki Lafayette Bölgesel Rehabilitasyon Hastanesi’nin eski bir çalışanı olan Gail Ledgerwood tarafından kendileri ve diğer kişiler adına sunuldu. benzer şekilde etkilenmiştir. Bu dava, diğer iddiaların yanı sıra, Ernest’in davacıların ve sınıf üyelerinin hassas kişisel bilgilerini korumadaki ihmalinin, onları yakın kimlik hırsızlığı ve diğer suçlarla karşı karşıya bıraktığını iddia ediyor.

Önerilen diğer toplu dava davaları da Ernest’e karşı benzer iddialarda bulunuyor ve hepsi mali tazminat da dahil olmak üzere tazminat talep ediyor ve Ernest’in veri güvenliği uygulamalarını iyileştirmesi için ihtiyati tedbir kararı talep ediyor.

DataBreaches.net blog sitesine göre Ernest Health, Şubat ve Mart aylarında LockBit3.0’ın sızıntı sitesinde iki kez kısa süreliğine listelendi, ancak her iki listenin de kaldırıldığı görülüyor.

Çoklu İhlal Raporları

Ernest Health’in adı, halka açık HHS OCR web sitesinde yayınlanan bireysel hastanelerin ihlal raporu girişlerinin hiçbirinde geçmiyor. Ancak etkilenen Ernest Health hastanelerinin her biri, kendi web sitelerinde esasen aynı ihlal bildirimini yayınlıyor.

Bildirimlerde, kuruluşun 1 Şubat’ta BT ortamındaki olağandışı faaliyetler konusunda uyarıldığı belirtiliyor. “Cevap olarak BT sistemlerimizi derhal güvence altına aldık ve izole ettik. Ayrıca üçüncü taraf bir siber güvenlik firmasının yardımıyla bir soruşturma başlattık ve kolluk kuvvetleriyle iletişim halindeyiz.”

Devam eden Ernest Health ihlal soruşturması, 16 Ocak ile 4 Şubat tarihleri ​​arasında yetkisiz bir tarafın kuruluşun BT ağına erişim sağladığını belirledi. “Yetkisiz taraf, BT ağımızdayken belirli bilgilere ilişkin bilgileri içeren dosyalara erişti ve/veya bunları satın aldı. hastalar.”

Bu potansiyel olarak ele geçirilen bilgiler arasında isimler, adresler, doğum tarihleri, tıbbi kayıt numaraları, sağlık sigortası planı üye kimlikleri, talep verileri, teşhis ve/veya reçete bilgileri yer alıyor.

Bazı hastaların Sosyal Güvenlik numaraları ve ehliyet numaraları da etkilendi.

Kuruluş, Sosyal Güvenlik veya ehliyet numaraları etkilenen hastalara ücretsiz kredi izleme ve kimlik koruma hizmetleri sunuyor.

Olayın ardından kuruluş, sistemlerini daha fazla korumak ve izlemek için ek korumalar ve teknik güvenlik önlemlerini uygulamaya koyduğunu ve uygulamaya devam edeceğini söyledi.

Web sitelerinde yayınlanan ihlal bildirimlerine ek olarak, etkilenen Ernest Health tesislerinin bazılarında sahte telefon görüşmelerine ilişkin uyarılar da yayınlanıyor.

Uyarıda, “Failler, bir sağlık kuruluşuna ait olduklarını iddia ederek yerel telefon numaralarından arıyorlar. Dolandırıcı arayanlar, mağdurları meşru oldukları konusunda ikna etmek için çalıntı ve internetten ve sosyal medyadan kolayca erişilebilen bilgileri kullanıyor.” “Bu dolandırıcılık çağrıları genellikle hastalardan ve aile üyelerinden kredi kartı numaralarını, sosyal güvenlik numaralarını ve diğer kişisel bilgileri istiyor.”

Ernest Health, Bilgi Güvenliği Medya Grubu’nun ihlalle ilgili yorum yapma ve ek ayrıntılar ve telefon dolandırıcılığı uyarısının hackle ilgili olup olmadığı yönündeki talebine hemen yanıt vermedi.

Ernest Health’in, etkilenen hastanelerinin her biri için neden HHS OCR’ye bireysel ihlal raporları sunduğu belirsizdir; çünkü benzer durumlardaki sağlık kuruluşlarının çoğu, bir olaydan etkilenen tüm tesisleri kapsayacak şekilde genellikle düzenleyici kurumlara tek bir ihlal raporu sunar.

Güvenlik danışmanlığı firması First Health Advisory’nin yönetişim, risk ve uyumluluktan sorumlu başkan yardımcısı David Finn, “Bu yaklaşımın gerçekten de artıları ve eksileri var ve biz yalnızca Ernest’in yönteme yönelik motivasyonu hakkında spekülasyon yapabiliriz” dedi.

Birden fazla tesis için ayrı ayrı daha küçük ihlal raporlarına sahip olmak, “ihlallerin yükünü hafifletiyor gibi görünüyor – ve zihinlerimiz bu şekilde çalışır – etkilenen 9.000 kayıt, etkilenen 9.000 kişiden biri olmadığınız sürece çok büyük bir sayı değildir” dedi. Ancak altı haneli bir ihlal raporunun – örneğin 101.000 kişinin etkilendiğini belirten bir rapor – “dikkatimizi çektiğini” söyledi.

Finn, “Her halükarda bir ‘sistem’ olarak rapor edilmesi gerekirken, her hastanenin adının kullanılması hastaların Ernest Health ile bağlantı kurmasını zorlaştırıyor” dedi. “Ancak kötü adamlar bağlantı bulma konusunda çok iyiler, bu da muhtemelen ‘sistem’in diğer üyelerine erişim sağlamayı kolaylaştırıyor.”

“Olayların etkisini değiştirmiyor ama suları biraz bulandırıyor gibi görünüyor.”

Harekete geçmek

Bazı uzmanlar, özel sağlık kuruluşlarının, özellikle de küçük olanların genellikle güvenlik kaynakları ve uzmanlıktan yoksun olduğunu ve bu durumun onları Ernest Health’teki gibi olaylara karşı özellikle savunmasız hale getirebileceğini söyledi.

Finn, “Bu hastanelerin özellikle hedef alındığını bilmiyorum” dedi. “Fakat otoparkta dolaşan araba hırsızı gibi, kilidi açılmış aracı alarm olmadan alacaklar: Bu daha kolay ve daha hızlı. Burada da muhtemelen olan budur. Verilerin değeri küçük sağlayıcılarda da daha az değildir. Orada Daha az veri olabilir, ancak elde edilmesi daha kolaydır.”

Finn, her büyüklük ve türdeki sağlık kuruluşunun, Sağlık Sektörü Koordinasyon Konseyi tarafından geliştirilen gönüllü Sağlık Endüstrisi Siber Güvenlik Uygulamalarını – veya HICP – taktik kitabını veya HHS tarafından Ocak ayında yayınlanan son Siber Güvenlik Performans Hedeflerini benimsemeyi çok ciddi şekilde düşünmesi gerektiğini söyledi.

“Siber Performans Hedefleri, yasal veya düzenleyici bir gereklilik olmasa da, sağlık kuruluşlarının yapması gerekenlere ilişkin hem temel hem de gelişmiş hedefler açısından açıktır” dedi.

Bu, “güvenlik açığı yönetimi, e-posta güvenliği, çok faktörlü kimlik doğrulama, tüm işgücü için eğitim ve farkındalık, kuruluştan ayrılan kişilerin hesaplarının sonlandırılması da dahil olmak üzere erişim yönetimi, üçüncü taraf yönetimi, olay müdahale planlaması ve hazırlığı gibi temel önlemleri ve şifreleme” dedi.

“Kanunen zorunlu olsun ya da olmasın, sektördeki bir devlet kurumunun bunları ‘tamir etmiş’ olması, sektörün bir üyesi olarak Ernest Health’in yapması gereken şeylerdir.”

Ernest Health gibi birçok yerde birden fazla tesise sahip kuruluşların, BT ortamlarının bir bölümüne birçok ilgili kuruluşu etkileyen izinsiz giriş riskini azaltmaya yardımcı olmak için atmayı düşünmesi gereken başka adımlar da vardır.

tw-Security’nin kıdemli gizlilik ve güvenlik danışmanı Joe Gillespie, “Ağ bölümlendirmesi, ağ içindeki yanal hareketi azaltmada kesinlikle faydalıdır” dedi.

“Ağ etkinliğine ilişkin 7×24 izleme ve uyarı verilmesi çok önemli” dedi. “Bir davetsiz misafir ne kadar erken tespit edilirse, olay müdahale ekibi yetkisiz erişimi o kadar hızlı kontrol altına alabilir ve ihlalin kapsamını azaltabilir. Ağ çok düzse, ağın bir kısmındaki bir ihlal, tüm alan boyunca sınırsız erişime izin verebilir. “