Elektronik Sağlık Kayıtları, Dolandırıcılık Yönetimi ve Siber Suçlar, Yönetişim ve Risk Yönetimi
Bir Ay Sonra, Lurie Çocuk Hastanesi Fidye Yazılımı Saldırısından Kurtulmaya Devam Ediyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
29 Şubat 2024
Fidye yazılımı grubu Rhysida, Chicago’daki bir pediatri hastanesinden çalınan “özel verileri” karanlık ağda 3,4 milyon dolara satmayı teklif ederken, hastane, saldırıdan bir ay sonra elektronik sağlık kayıtları ve hasta portalı da dahil olmak üzere BT sistemlerini kurtarmaya çalışıyor.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditlerle Mücadelenin Sınırlamalarını Aşmak: Gerçek Güvenlik Sorunlarına Gerçek Çözümler
Yılda 220.000’den fazla hastaya bakım sağlayan Chicago Ann & Robert H. Lurie Çocuk Hastanesi, Perşembe günü yaptığı açıklamada, Rhysida’nın karanlık ağ iddialarından haberdar olduğunu ancak olayla ilgili ayrıntıları paylaşmayı reddettiğini söyledi (bkz: Chicago Çocuk Hastanesi’nde Sistemler ve Telefonlar Hala Çevrimdışı).
Bilgi Güvenliği Medya Grubu’na yapılan açıklamada, “Soruşturmamız devam ediyor ve aktif. Ayrıca kolluk kuvvetleri ve önde gelen güvenlik uzmanlarıyla yakın işbirliği içinde çalışmaya devam ediyoruz” deniyor.
Rhysida Çarşamba günü karanlık web sitesinde söz konusu 312 yataklı pediatrik araştırma hastanesinden elde edilen veriler, bir haftadan kısa bir süre içinde 60 Bitcoin (veya yaklaşık 3,4 milyon dolar) karşılığında satın alınabilecek.
Perşembe günü itibarıyla, karanlık web izleme sitesi Darkfeed 79 Rhysida kurbanını saydı. İlk olarak 2023 baharında ortaya çıkan hizmet olarak fidye yazılımı grubu, hastanelere ve sağlık sistemlerine yönelik çok sayıda saldırının ortasında, geçtiğimiz Ağustos ayında Sağlık ve İnsani Hizmetler Bakanlığı tarafından sağlık sektörüne yönelik bir uyarıya maruz kalmıştı (bkz: Yetkililer Sağlık Sektörünü Rhysida Group’un Saldırıları Konusunda Uyardı).
Kaliforniya merkezli Prospect Medical Holdings ve Mississippi merkezli Singing River Sağlık Sistemi geçen yıl Rhysida kurbanları arasındaydı.
Güvenlik firması Critical Insight’ın kurucusu ve CISO’su Mike Hamilton, “Bu bir terörist grup. Araçları Rhysida sağladı, ancak saldırıyı gerçekte kimin başlattığı konusunda elimizde güvenilir bilgi yok” dedi. “Çalınan veriler Rhysida sızıntı sitesinde görünecek, ancak Rhysida suç altyapısını kullanan başka bir grup da işin içinde olabilir” dedi.
GuidePoint Security’nin kıdemli tehdit istihbarat danışmanı Jason Baker, Rhysida’nın en “üretken” fidye yazılımı gruplarından biri olarak görülmemesine rağmen çetenin köklü bir RaaS grubu olduğunu söyledi.
“2023’te tüm sektörlerde gözlemlediğimiz saldırıların 4.519’unun 74’ünden, yani kabaca %2’sinden Rhysida sorumluydu. Bu rakam küçük gibi görünse de, grubu hâlâ incelediğimiz 63 farklı fidye yazılımı grubu arasında ilk %25’lik dilime yerleştiriyor. 2023 yılında mağdur hacmi açısından takip ediliyor” dedi.
“Sağlık hizmetlerindeki mağdurlara ayrıntılı olarak bakıldığında, Rhysida gözlemlediğimiz 292 saldırının 4’ünü veya gözlemlenen tüm sağlık hizmeti fidye yazılımı saldırılarının %4’ünü oluşturdu” dedi.
Baker, sağlık hizmetlerini hedef alan en etkili fidye yazılımı gruplarının, gözlemlenen saldırıların sırasıyla %16 ve %13’ünü oluşturan LockBit ve BlackCat/Alphv olduğunu söyledi. “Bu, genel olarak en üretken fidye yazılımı grupları olma konumlarıyla uyumludur ve bireysel düzeyde etkilerini ölçmek zordur. Her ikisi de gasp çabalarının bir parçası olarak hassas tıbbi kayıtları ve hasta bilgilerini yayınlamakla tehdit etti.”
Diğer fidye yazılımı gruplarının sağlık hizmetlerine yönelik son saldırılarının yanı sıra Lurie Çocukları olayı, siber suçluların ısrarla sağlık kuruluşlarını hedef aldığını gösteriyor (bkz.: BlackCat, Federal Kapatmanın Ardından Sağlık Sektörüne Saldırıyor).
Hamilton, “Tehdit artıyor gibi görünüyor ve bu olaylar, dünyanın şu anda içinde bulunduğu jeopolitik durumdan kolaylıkla ayrılamaz” dedi. “Bu RaaS ve bağlı kuruluş modelleri, herhangi bir grubun suç gibi görünen ancak ulus devletin katılımı, desteği, gizli anlaşma veya işbirliği hakkında soruları gündeme getirecek kadar istikrarsızlaştırıcı olan şeyin arkasına ‘saklanmasına’ olanak tanıyor.”
Perşembe günü Optum, BlackCat’in Çarşamba günü siber suçlu grubunun şirketin BT ürünleri ve hizmetleri birimi Change Healthcare’i hacklediği yönündeki iddialarını doğrulayan bir bildiri yayınladı.
Bu arada Lurie Çocukları’nın BT operasyonlarına yapılan saldırının yol açtığı aksama devam ediyor. Hastane, olayla ilgili 22 Şubat’ta yayınlanan son kamuya açık güncellemesinde, elektronik sağlık kayıt sistemlerinin ve MyChart hasta portalının hala olaydan etkilendiğini söyledi.
Lurie Children’s, “Ayrıca sistemlerimizin çevrimdışı olması nedeniyle, talep ile reçete taleplerinin tamamlanması arasında daha uzun bekleme sürelerine yol açacak manuel işlemler kullanıyoruz” dedi.
Kesinti Planlaması
Hamilton, hastanelerin kesintilerle başa çıkmaya hazırlanmaları gerektiğini söyledi. “Bu savunmayla değil dayanıklılıkla ilgili. Bu, iyi finanse edilen ve iyi kaynaklara sahip suç örgütlerinin hastanelere saldırdığı adil bir mücadele değil” dedi.
“Maalesef hastaneler kaybetmeye devam edecek. Artık olay müdahale planlarını güncellemenin ve saldırının etkisini en aza indirmek için iletişim ve karşılıklı yardım planlaması da dahil olmak üzere bunları düzenli olarak uygulamanın zamanıdır” dedi.
“Dayanıklılık kontrollerinize yönelik yaptığınız hazırlık, kaçınılmaz siber olay meydana geldiğinde meyvesini verecektir. Öngörülebilir bir olayın etkisini en aza indirmek için şimdi adımlar atın.”
Hamilton, ABD federal hükümetinin sağlık sektörüne siber güvenliği artırmak için “gerçek dolarlarla” yardım etme konusunda daha iyi bir iş yapması gerektiğini söyledi.
“Birçok hastane aşırı kârlı değil. Onların da bir bankayla aynı türde para harcayacakları yönünde bir yanlış kanı var. Yok” dedi. Ayrıca hastanelerin daha karmaşık saldırı yüzeylerine sahip olduğunu ve onları savunmak için daha az paraya sahip olduğunu da sözlerine ekledi.
Hamilton, “HHS tarafından az önce açıklanan siber güvenlik performans hedeflerinin sektör genelinde tutarlı bir şekilde karşılanacağı beklentisiyle, eyalet ve yerel siber güvenlik hibe programına benzer bir hibe programına ihtiyaç var” dedi (bkz: HHS, Sağlık Sektörüne Yönelik Yeni Siber Güvenlik Performans Hedeflerini Detaylandırıyor).