3. Taraf Risk Yönetimi, Yönetim ve Risk Yönetimi, Sağlık
HealthEquity, Bir Satıcının Tehlikeye Atılan Kimlik Bilgilerinin Veri Hırsızlığı İhlaline Yol Açtığını Söyledi
Marianne Sosis McGee (SağlıkBilgiGüvenliği) •
5 Temmuz 2024
Sağlık hizmetleri faydaları planı yöneticisi HealthEquity, bilgisayar korsanlarının üçüncü taraf bir satıcının elinde bulunan tehlikeye atılmış kimlik bilgilerini içeren bir ihlalde hassas verileri elde ettiğini söyledi. Olay, şirketin BT sistemlerini aksatmadı.
Ayrıca bakınız: Sağlık Hizmetlerinin Güvence Altına Alınması: Sürekli Değişen Bir Tehdit Ortamında Riski En Aza İndirmek
Salı günü ABD federal düzenleyicilerine yapılan başvuruda, şirketin “rutin izleme yoluyla, bir iş ortağına ait kişisel kullanım amaçlı bir cihazda anormal davranışlardan haberdar olduğu” belirtildi.
Şirket, üçüncü taraf satıcının kullanıcı hesabının yetkisiz bir kişi tarafından ele geçirildiği ve bu kişinin bu hesabı kullanarak bilgilere eriştiği sonucuna vardı.
Bazı verilerin “ortakların sistemlerinden aktarıldığı” da belirlendi. Etkilenen bilgiler arasında, belirli HealthEquity faydaları üyelerine ait kişisel olarak tanımlanabilir bilgiler ve korunan sağlık bilgileri yer alıyor.
Şirket, olayın HealthEquity’nin BT sistemlerinde, hizmetlerinde veya iş operasyonlarında kesintiye yol açmadığını ve HealthEquity’nin sistemlerinde herhangi bir kötü amaçlı kod bulunmadığını belirtti.
HealthEquity, etkilenen ortakları ve müşterileri bilgilendirmenin yanı sıra, olaydan bilgileri etkilenen bireysel üyeleri belirleyip bilgilendirme sürecindedir.
ABD Menkul Kıymetler ve Borsa Komisyonu’na olayın işletmesi, operasyonları veya finansal sonuçları üzerinde “maddi olumsuz bir etkiye” sahip olduğunu düşünmediğini söyledi. Ayrıca bir siber sigorta sağlayıcısına bir talepte bulunduğunu ve poliçenin olay maliyetlerini karşılaması gerektiğine inandığını açıkladı.
Draper, Utah merkezli HealthEquity’nin internet sitesinde 120.000’den fazla kuruluşun ve 14 milyon üyenin fayda yönetimi hizmetlerinden yararlandığı belirtiliyor.
HealthEquity, Information Security Media Group’a yaptığı açıklamada, üçüncü taraf tedarikçinin SharePoint sunucusunda saklanan HealthEquity verilerine erişebildiğini belirtti.
Cuma günü itibarıyla, HealthEquity olayı, 500 veya daha fazla kişiyi etkileyen sağlık verisi ihlallerini listeleyen ABD Sağlık ve Sosyal Hizmetler Bakanlığı’nın HIPAA İhlal Bildirim Aracı web sitesinde yayınlanmış olarak görünmüyordu.
Kentucky’de Bir Başka HealthEquity Olayı
Ayrı ve alakasız bir HealthEquity olayında, Kentucky Valisi Andy Beshear’ın personel kabine ofisi 21 Haziran’da yaptığı açıklamada, firmanın 14 Mayıs’ta Kentucky çalışanlarının sağlık planına katılan 449 kişinin şirketteki bir veri güvenliği olayından etkilendiği yönünde bildirim aldığını belirtti.
HealthEquity, Kentucky çalışanlarının sağlık planı adına esnek harcama hesapları ve sağlık geri ödeme düzenlemelerini yönetir. Kentucky’nin açıklamasında, HealthEquity’nin “potansiyel dolandırıcılık olayının” üyelerin hesaplarına talep geri ödemelerinden para almak amacıyla erişen “kötü niyetli kişileri” içerdiği varsayıldığı belirtildi.
Açıklamada, “Sosyal Güvenlik numaraları veya banka hesap numaraları da dahil olmak üzere hiçbir kişisel tanımlama bilgisinin tehlikeye atıldığı bilinmemektedir” denildi.
Kentucky hükümetinin açıklamasında, “HealthEquity üye portalı kişisel olarak tanımlanabilir bilgileri ve mevcut banka hesap bilgilerini gizlese de, PHI ve/veya PII içerebilen daha önce gönderilmiş geri ödeme taleplerini görüntüleme olanağı sağlıyor” denildi.
“Ancak kötü niyetli kişilerin etkilenen hesaptaki önceki talep belgelerini görüntülediğine dair hiçbir kanıt yok.”
Kentucky açıklamasında, HealthEquity’nin herhangi bir tazminat talebinin hileli olarak sunulup sunulmadığını veya yönlendirilip yönlendirilmediğini araştırdığı ve firmanın herhangi bir HRA veya FSA üye fonunun etkilendiğini tespit etmesi halinde herhangi bir üye hesabını önceki bakiyeye geri yükleme sözü verdiği belirtildi.
Kentucky’nin açıklamasında, olayda eyaletin insan kaynakları bilişim sistemlerinin veya verilerinin tehlikeye girdiğine dair bir kanıt bulunmadığı belirtildi.
HealthEquity, ISMG’ye SEC’e bildirilen üçüncü taraf ihlalinin HealthEquity ile ilgili olduğunu ve “izole bir olay” olduğunu ve Kentucky olayıyla ilgisi olmadığını söyledi.