İhlal Bildirimi, Dolandırıcılık Yönetimi ve Siber Suçlar, Sağlık Hizmetleri
İhlal Bildirimi Sav-Rx’in Fidye Ödeyip Ödemediği Sorusunu Gündeme Getiriyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
29 Mayıs 2024
İlaç yardımları yönetimi ve eczane hizmetleri sağlayan bir Nebraska firması, 2,8 milyondan fazla kişiye, Sosyal Güvenlik numaraları da dahil olmak üzere kişisel bilgilerinin potansiyel olarak çalınmasını içeren Ekim 2023’teki bir bilgisayar korsanlığı olayı hakkında bilgi veriyor.
Ayrıca bakınız: Küçük İşletme Güvenlik Duvarı Kılavuzu
Merkezi Fremont, Nebraska’da bulunan ve Sav-Rx adıyla faaliyet gösteren A&S Services, olaydan ilk olarak 8 Ekim 2023 Pazar günü bilgisayar ağında bir kesinti tespit edildiğinde haberdar olduğunu söyledi.
Şirket, üçüncü taraf siber güvenlik uzmanlarının yardımıyla ağını güvence altına almak için acil adımlar attığını ve olayı derhal kolluk kuvvetlerine bildirdiğini söyledi.
Sav-Rx, “BT sistemlerimizi ertesi iş günü geri yüklemeyi başardık. BT sistemlerimizdeki kesinti, katılımcı bakımında herhangi bir maddi kesintiye yol açmadı” dedi. “Reçeteler gecikme olmaksızın zamanında gönderildi. Karar verme sistemimiz etkilenmedi, dolayısıyla eczane ağı talepleri hiçbir etki veya gecikme olmadan sürekli olarak karara bağlandı.”
Şirket, olayda ele geçirilen verilerin Sav-Rx’in bireylerin mevcut veya önceki sağlık planlarına ilaç yardım yönetimi hizmetleri sağlamak için sakladığı bilgileri içerdiğini söyledi.
Saldırganların potansiyel olarak eriştiği veya edindiği bilgiler arasında isim, doğum tarihi, Sosyal Güvenlik numarası, e-posta adresi, adres, telefon numarası, uygunluk verileri ve sigorta kimlik numarası yer alıyor.
Sav-Rx, web sitesinde yayınlanan bildirimde olay hakkında şunları söyledi: “Olayı kontrol altına aldık ve BT sistemimizden elde edilen tüm verilerin imha edildiğini ve daha fazla dağıtılmadığını doğruladık.”
Sav-Rx, Bilgi Güvenliği Medya Grubu’nun, siber suçluların olayda sızdırılan verileri “yok etme” ve daha fazla “yaymama” sözü karşılığında şirketin bilgisayar korsanlarına fidye ödeyip ödemediği de dahil olmak üzere ek ayrıntı ve açıklama taleplerine hemen yanıt vermedi .
Güvenlik firması Emsisoft’ta tehdit analisti olan Brett Callow, “Sav-Rx’in, çalınan verilerin yok edildiğini ve daha fazla yayılmadığını doğruladığını söylediğinde ne anlama geldiğinden emin değilim” dedi.
“Şirket, suçluların fidye ödendiğinde verdikleri serçe parmağı vaadinden bahsediyorsa, bu gerçekten onay sayılmaz” dedi. “Şirketler bu gibi noktalarda net olmalı ki insanlar hangi riskle karşı karşıya olduklarını anlamalı ve yanlış bir güvenlik duygusuna kapılmamalı.”
Clearwater danışmanlık firmasının güvenlik hizmetlerinden sorumlu başkan yardımcısı Dave Bailey, Sav-Rx’in fidye ödediğinden şüphelendiğini söyledi.
“Sav-RX’in açıklaması, verileri yok etmesi için bir tehdit aktörüyle pazarlık yapan ve ona para ödeyen bir kuruluşla tutarlıdır” dedi. “Kötü aktörün ‘fikrini değiştirmediği’ sürece, yalnızca verinin ‘yok edildiğini’ teyit edecekler ve ödemeyle birlikte daha fazla dağıtılmayacaklardır” dedi.
Bailey, genel olarak minimum BT kesintisinin sonucunun Sav-RX için olumlu olduğunu söyledi. Ancak hızlı restorasyon, fidyenin ödenip ödenmediği sorusunu gündeme getiriyor.
“Onların asgari düzeydeki kesintilerinin nedeni yalnızca fidyeyi ödemekten ve verileri geri almak için anahtarları kullanmaktan kaynaklanıyorsa, bunu şanslı sayarım” dedi.
“Bir saldırıdan minimum etkiyle kurtulmayı sağlamak için etkili müdahale ve kurtarma planlarına ve geçerli veri yedeklemelerine sahip olmak önemlidir. İşinizi tekrar çalışır duruma getirmek için bir siber suçluya güvenmek risklidir.”
Sav-Rx, şu anda ele geçirilen verileri herhangi bir üçüncü tarafın kullandığından habersiz olmasına rağmen, şirketin etkilenen kişilere 24 ay boyunca ücretsiz kimlik ve kredi izleme olanağı sunduğunu söyledi.
Uzun Süreli İhlal Analizi
Şirket, Sav-Rx’in sistemlerini hızlı bir şekilde güvence altına aldığını söylemesine rağmen, etkilenen kişilerin yanı sıra olaydan etkilenen her bireyin kişisel bilgilerinin belirli unsurlarını belirlemeye yönelik soruşturmanın aylar sürdüğünü söyledi.
“Etkilenen bireylere mümkün olduğunca doğru bilgi verebilmek için bu teknolojik araştırmaya öncelik verdik. Bu araştırmanın sonuçlarını 30 Nisan’da aldık ve katılımcı verileri etkilenen sağlık planı müşterilerimize 48 saat içinde derhal bildirim gönderdik. ” dedi Sav-Rx.
Cuma günü Maine başsavcılığına sunulan bir raporda Sav-Rx, olayın yaklaşık 6.000 Maine sakini de dahil olmak üzere 2,81 milyondan fazla kişiyi etkilediğini söyledi.
Çarşamba günü itibarıyla Sav-Rx olayı, ABD Sağlık ve İnsani Hizmetler Bakanlığı Sivil Haklar Dairesi’nin HIPAA İhlali Raporlama Aracı web sitesinde 500 veya daha fazla kişiyi etkileyen sağlık verileri ihlallerini listeleyen web sitesinde henüz görünmedi. Ancak Sav-Rx hackleme olayı bu siteye eklendiğinde, bu yıl şimdiye kadar düzenleyicilere bildirilen en büyük beş sağlık verisi ihlali arasında yer alma potansiyeline sahip olacak.
Sav-Rx olayı aynı zamanda sağlık sektöründe önemli hizmetlerin üçüncü taraf sağlayıcısının dahil olduğu en son büyük sağlık verileri ihlalidir.
UnitedHealth Group’un Change Healthcare BT hizmetleri ve ürünleri birimine yapılan son siber saldırıda olduğu gibi, çok sayıda sağlık sektörü müşterisinin verilerini işleyen kritik satıcıları hedef alan bilgisayar korsanlığı olayları, milyonlarca hastanın korunan sağlık bilgilerini etkileme potansiyeline sahiptir (bkz.: 100 Grup, Federallere İhlal Bildirimleri Nedeniyle UHG’yi Askıya Alma Çağrısında Bulundu).
Bailey, “Bu olaylar, siber saldırıların etkisini en aza indirebilecek makul ve etkili siber güvenlik uygulamalarının uygulanması ihtiyacını vurguluyor” dedi.
“Kuruluşlar, güvenlik programlarını NIST Siber Güvenlik Çerçevesi gibi tanınmış çerçevelerle uyumlu hale getirmeli ve 405(d) Sağlık Sektörü Siber Güvenlik Uygulamalarında özetlenen siber güvenlik uygulamalarını uygulamalıdır” dedi (bkz.: HSCC, Sağlık Sektörüne Yönelik Siber ‘Eylem Çağrısı’ Planı Yayımladı).
“Riskinizi en aza indirmek için ne yapmanız gerektiğine ilişkin öneriler bugün mevcut. Uygulamaya geçme ve iyileştirme zamanı.”
Sav-Rx, hack olayının ardından güvenlik protokollerini ve kontrollerini, teknolojisini, politikalarını ve eğitimini desteklemek için adımlar attığını söyledi.
“7/24 güvenlik operasyon merkezi, Microsoft Defender antivirüs ve güvenlik duvarı, çok faktörlü kimlik doğrulama, BitLocker, Zabbix, yeni güvenlik duvarı ve anahtarlar, yama döngüsü uygulaması, ağ bölümlendirme, Linux sistem güçlendirme, gelişmiş coğrafi engelleme, LAPS kurulumu, SSL sertifika döngüsü, web sitesi/portal geliştirmeleri ve politika ve prosedür geliştirme.” dedi.
“Güvenlik duruşumuzu geliştirmek için ek fırsatları analiz etmeye devam ediyoruz.”
50 yılı aşkın bir süre önce perakende eczane olarak kurulan ve bir aile şirketi olan Sav-Rx, web sitesinde 1.000’den fazla müşteriye hizmet verdiğini belirtti. İlaç faydaları yönetimi hizmetlerine ek olarak şirket, ABD genelinde 74.000’den fazla perakende eczaneden ve postayla sipariş edilen bir reçeteli eczaneden oluşan tamamı kendisine ait bir ağ işletmektedir.