İhlal Bildirimi, Dolandırıcılık Yönetimi ve Siber Suç, Sağlık
İhlal, Bir Satıcının SharePoint’e Erişim Sağlamak İçin Tehlikeye Attığı Kimlik Bilgilerinin Sonucuydu
Marianne Sosis McGee (SağlıkBilgiGüvenliği) •
29 Temmuz 2024
Bu ayın başlarında ABD Menkul Kıymetler ve Borsa Komisyonu’na bir satıcının kimlik bilgilerinin ihlal edildiği bir bilgisayar korsanlığı olayını bildiren sağlık yardımları yöneticisi HealthEquity, eyalet düzenleyicilerine bu ihlalin 4,3 milyon kişinin bilgilerini etkilediğini bildirdi.
Ayrıca bakınız: Sağlık Hizmetlerinin Güvence Altına Alınması: Sürekli Değişen Bir Tehdit Ortamında Riski En Aza İndirmek
Draper, Utah merkezli HealthEquity, Cuma günü Maine başsavcısına, Mart ayında keşfedilen bir saldırıda, şirketin temel sistemlerinin dışında yapılandırılmamış bir veri deposunda saklanan korunan sağlık bilgilerine ve kişisel tanımlanabilir bilgilere yetkisiz erişim sağlandığını ve bunların potansiyel olarak ifşa edildiğini bildirdi.
HealthEquity, etkilenen 4,3 milyon kişiden 13.480’inin Maine sakini olduğunu söyledi.
HealthEquity, Maine başsavcısına yaptığı açıklamada, “25 Mart 2024’te bir uyarı aldıktan sonra HealthEquity, kapsamlı teknik inceleme gerektiren ve nihayetinde 10 Haziran’a kadar veri adli bilimleriyle sonuçlanacak bir sistem anormalliğinin farkına vardı” dedi.
HealthEquity, Information Security Media Group’a yaptığı açıklamada, üçüncü taraf satıcının SharePoint sunucusunda saklanan HealthEquity verilerine erişebildiğini belirtti (bkz: Sağlık Faydaları Yöneticisi SEC’ye Üçüncü Taraf Saldırısını Bildirdi).
Şirket, olayın HealthEquity’nin ve iki yan kuruluşunun – WageWorks, Inc. ve Further Operations LLC – verilerini tehlikeye attığını söyledi. HealthEquity, sağlık tasarruf hesaplarının koruyucusu ve esnek tasarruf hesapları, sağlık geri ödeme düzenlemeleri, işe gidip gelme, COBRA ve yaşam tarzı harcama hesabı faydaları programlarının yönlendirilmiş üçüncü taraf yöneticisidir.
HealthEquity’nin internet sitesinde 120 binden fazla kuruluşun ve 14 milyon üyenin fayda yönetimi hizmetlerinden yararlandığı belirtiliyor.
Uzlaşma, esas olarak HealthEquity’nin yönettiği hesaplar ve avantajlara ilişkin kayıt bilgilerini içeriyordu.
Etkilenen bilgiler arasında ad, adres, telefon numarası, çalışan kimliği, işveren, Sosyal Güvenlik numarası, genel iletişim için bakmakla yükümlü olunan kişi bilgileri ve ödeme kartı bilgileri yer alıyor. Şirket, etkilenen kart bilgilerinin ödeme kartı numarası veya HealthEquity banka kartı bilgilerini içermediğini söyledi.
HealthEquity, soruşturmanın sonucunda potansiyel olarak tehlikeye atılmış tüm satıcı hesaplarının devre dışı bırakılması, tüm etkin oturumların sonlandırılması, tehdit aktörlerinin faaliyetleriyle ilişkili tüm IP adreslerinin engellenmesi ve etkilenen satıcı için genel bir parola sıfırlama işleminin uygulanması dahil olmak üzere derhal harekete geçildiğini söyledi.
HealthEquity, “Ayrıca güvenlik ve izleme çabalarımızı, iç kontrollerimizi ve güvenlik duruşumuzu geliştirdik” dedi.
Şirket, etkilenen kişilere iki yıl boyunca ücretsiz kimlik ve kredi izleme hizmeti sunuyor.
HealthEquity, bu ayın başlarında SEC’e yaptığı başvuruda, olayın işletmesi, operasyonları veya finansal sonuçları üzerinde “maddi olumsuz bir etkiye” sahip olduğunu düşünmediğini söyledi. Ayrıca, bir siber sigorta sağlayıcısına bir talepte bulunduğunu ve poliçenin olay maliyetlerini karşılaması gerektiğine inandığını açıkladı.
HealthEquity, ISMG’nin olayla ilgili ek ayrıntı talebini reddetti.
Pazartesi itibarıyla HealthEquity olayı henüz ABD Sağlık ve İnsan Hizmetleri Bakanlığı’nın HIPAA İhlal Bildirim Aracı web sitesinde yayınlanmamıştı ve 500 veya daha fazla kişiyi etkileyen sağlık verisi ihlallerini listelemiyordu. Ancak yayınlandığında, HealthEquity olayı potansiyel olarak 2024’te şimdiye kadar bildirilen en büyük beş HIPAA ihlali arasında yer alacak.
Satıcı Riski Artıyor
Uzmanlar, HealthEquity saldırısının, sağlık sektöründe tedarik zinciri ortakları ve satıcıları ilgilendiren büyük veri ihlallerinin uzun listesine eklendiğini söyledi.
Güvenlik Kritik İçgörüsü’nün kurucusu ve CISO’su Mike Hamilton, “Üçüncü tarafların ilk erişim vektörü olarak kullanılması giderek artan bir tehdit oluşturuyor ve bu durum üçüncü taraf risk yönetimini doğrudan odak noktasına getiriyor” dedi.
“Üçüncü taraf risk yönetiminin iyileştirilmesi ve sadece kontrolleri hakkında dokümantasyon toplamaktan uzaklaşması ve tedarikçi seçiminden önce belirli kontrollerin yerinde olmasını gerektirmeye başlaması gerekiyor,” dedi. Hamilton, böyle bir piyasa gücünün kullanılmasının -özellikle tedarik sürecinin bir parçası olarak- bugün tedarikçileri değerlendirmek için kullandığımız tekniklerden daha etkili olma ihtimalinin yüksek olduğunu söyledi.
Güvenlik firması Pondurance’ın CISO’su ve hizmetler kıdemli başkan yardımcısı Dustin Hutchison, “İş yapmak için üçüncü tarafların verilere erişmesi gerekli olmaya devam edecek, ancak erişim yöntemlerinin ihtiyaca ve tehdit ortamına göre uygunluğunun sürekli olarak değerlendirilmesi gerekiyor” dedi.
“Belirli kullanıcılar ve roller için gereken asgari erişim her zaman takip edilmeli ve verilere uzaktan erişim için benzersiz kullanıcı hesapları ve çok faktörlü kimlik doğrulamanın kullanılması gereklidir” dedi.
Hutchison, kuruluşların beklenen kullanıcı davranışlarını ve her iki tarafın da kullanımına açık tespit mekanizmalarını anlamak için üçüncü taraf tedarikçilerle birlikte çalışmaları gerektiğini söyledi.
“Çok faktörlü kimlik doğrulaması kullanıldığında, tehlikeye atılmış bir hesabın ek verilere erişimi genellikle durdurulabilir ancak kuruluş, bilinen bir tehlikeye atılma durumunda hesapları devre dışı bırakmak için raporlama süreçleri oluşturmak üzere satıcılarla da çalışmalıdır. Üçüncü taraf satıcı hesapları, parolaların yeniden kullanılmasına izin vermemek de dahil olmak üzere güçlü parola gereksinimleriyle istemci sistemine özgü olmalıdır.”
Hamilton, iş ortaklarının SharePoint gibi internete bakan dosya paylaşım sistemlerini kullanmaktan vazgeçirilebileceğini söyledi. “Ya da bu mümkün değilse, iş ortağının PHI barındıran sistemlerin sürekli değerlendirilmesi için bulut güvenlik duruşu yönetimini kullandığından ve güvenlik zayıflıklarına ve belirlenen güvenlik açıklarına yanıt vermek için bir süreç olduğundan emin olun.”
“PHI’nin internete bağlı bir sistemde saklanması gerekiyorsa, bu durum kapsam dahilindeki kuruluş tarafından bilinmeli ve söz konusu bilginin gizliliğiyle ilgili kontroller belirlenmeli ve sürekli olmasa bile periyodik olarak test edilmelidir” dedi.
Hamilton, HIPAA kapsamındaki kuruluşların, özellikle kuruluş adına PHI’ye erişebilen veya bunları saklayan iş ortaklarına yönelik denetimlerini genişletmeleri ve iyileştirmeleri gerektiğini söyledi.
Davranış etrafında iyi izleme ve tespit analitiği, kimlik bilgisi kötüye kullanımını tespit etmenin en iyi yoludur, dedi. Kullanıcılar dahil olmak üzere ağdaki her varlık için istatistiksel davranışın bir temel çizgisi oluşturulabilir.
“Anormal davranış daha sonra araştırma için bir uyarı oluşturabilir. Bu anormallikler, örneğin coğrafi olarak mümkün olamayacak kadar dağıtılmış oturum açma davranışlarını içerebilir,” dedi.
“Üçüncü taraf ihlallerindeki artış nedeniyle, kapsam dahilindeki kuruluşlar, iş ortaklarının bu tür izlemeleri yapmasını ve belirli olayların zorunlu olarak bildirilmesini içeren iş ortağı anlaşmaları yapmasını isteyebilir.”
Hamilton, sağlık sektörü kuruluşlarının ayrıca iş ortakları için koşullu erişim politikalarının uygulanmasını isteyebileceğini, “böylece uluslararası oturum açmalara hiçbir şekilde izin verilmeyeceğini” söyledi.