Ruh Sağlığı Verilerini İçeren 2 Hack, Yaklaşık 400.000 Kişiyi Etkiledi

İhlaller arasında, yaklaşık 184.000 kişiyi etkileyen Illinois Lutheran Sosyal Hizmetlerine yönelik 2022 fidye yazılımı saldırısı ve Kuzey Carolina merkezli Mindpath Health’i içeren yaklaşık 194.000 kişiyi etkileyen bir e-posta korsanlığı olayı yer alıyor.

Akıl sağlığı ve madde kullanım bozukluğu verileri, bilgisayar korsanları için özellikle çekici hedeflerdir ve ayrıca bazı eyaletlerde ekstra düzenleyici gerekliliklerin konusudur. Bu yüksek risk, ille de yüksek ihtiyatlılığa dönüşmek zorunda değil, en son iki bilgisayar korsanlığı da dahil olmak üzere kanıtlara atıfta bulunan güvenlik uzmanlarını uyarıyor.

Hukuk firması Reed Smith’in avukatı Brad Rostolsky, “Ne kadar süper hassas PHI’ya sahip olduğunuzu ve bir olay meydana geldiğinde olası tepkiyi göz önünde bulundurarak uygun şekilde korunup korunmadığını proaktif olarak değerlendirmeye değer,” diyor.

Moses Singer’ın Sağlık Hizmetleri ve Yaşam Bilimleri ile Sağlık Hizmetleri Gizliliği ve Siber Güvenlik gruplarının başkanı avukat Linda Malek, kuruluşların bu verileri ilk etapta ne kadar tutmaları gerektiğini düşünmeleri gerektiğini söylüyor. “Kuruluşlar, aslında bir bilgisayar korsanlığı olayı varsa, hassas verilerin açığa çıkmasına karşı mümkün olduğunca korumak için, kanunen gerekli olsun ya da olmasın, doğal olarak veri minimizasyonu uygulamalıdır.”

Aşırı hassas verileri içeren ihlallerle karşılaşan kuruluşlar, özellikle sert itibar geri tepmesi ile karşı karşıya kalabilir. The Marblehead Group gizlilik ve danışmanlık şirketi başkanı Kate Borten, “Davranışsal sağlığı çevreleyen damgalama ve incelik nedeniyle, sağlayıcılar hastaların güvenini ve olası yasal işlemleri kaybetmeye hazırdır” diyor.

LSSI Fidye Yazılımı Olayı

LSSI, kendisini Illinois’in eyalet çapındaki en büyük koruyucu bakım hizmetleri sağlayıcısı ve bir dizi başka hizmet sağlayıcısı olarak lanse ediyor. Bunlar, ruh sağlığı hizmetleri, alkol ve uyuşturucu tedavisi, yaşlılar için barınma ve gelişimsel engelli kişiler için yatılı programları içerir.

Çarşamba günü yayınlanan bir şirket ihlal raporu, yaklaşık 184.000 kişiyi etkileyen fidye yazılımı olayına maruz kaldığını söylüyor.

LSSI fidye yazılımı olayı, kuruluşun kendi ihlal bildirim bildirimine göre bir yıl önce, 27 Ocak 2022’de keşfedildi.

Etkilenen verilerin dahili araştırması ve incelemesi 28 Aralık’a kadar tamamlanmadı.

Lutheran, etkilenen sistemlerde yer alan bilgi türlerinin isimleri, doğum tarihlerini, Sosyal Güvenlik numaralarını, finansal hesap bilgilerini, ehliyet numaralarını, biyometrik bilgileri, tıbbi teşhis ve tedavi bilgilerini ve sağlık sigortası bilgilerini içerdiğini söylüyor.

Sağlık ve İnsan Hizmetleri Bakanlığı Sivil Haklar Ofisi’nin HIPAA İhlal Raporlama Aracı web sitesi, LSSI’nin 25 Mart 2022’de 1.000 kişiyi etkileyen bir bilgisayar korsanlığı/BT olayı ve ağ sunucusunu içeren bir HIPAA ihlali bildirdiğini gösteriyor.

LSSI’yi temsil eden bir avukat, LSSI’nin Mart 2022’de HHS OCR’ye bildirdiği ihlalin bu hafta bildirdiği fidye yazılımı ihlaliyle aynı bilgisayar korsanlığı olayı olup olmadığı da dahil olmak üzere, Information Security Media Group’un olayla ilgili ek bilgi talebine hemen yanıt vermedi.

Mindpath E-posta İhlali

Sekiz eyalette bağımsız bir ayakta tedavi davranışsal sağlık hizmetleri sağlayıcısı olan Mindpath, e-posta korsanlığı olayının yaklaşık 194.000 kişiyi etkilediğini 10 Ocak’ta HHS OCR’ye bildirdi.

Şirketin ihlal bildirimi, olayın biri Mart 2022’de ve ikincisi Haziran 2022’de olmak üzere iki çalışan e-posta hesabına yetkisiz erişim içerdiğini söylüyor.

Etkilenen veriler arasında hasta adları, adresler, Sosyal Güvenlik numaraları, doğum tarihleri, tıbbi teşhis ve tedavi bilgileri, sağlık sigortası bilgileri ve reçete bilgileri yer alır.

Bir Mindpath sözcüsü, Information Security Media Group’a “Gelecekte benzer olayların meydana gelmesini önlemeye yardımcı olmak için tüm bilgilerin güvenliğini artırmak için proaktif adımlar attık” dedi.