Yeni kanıtlar, ABD nüfusunun yarısından fazlasının UnitedHealth iştiraki değişimi sağlık hizmetlerine karşı fidye yazılımı saldırılarından etkilendiğini göstermektedir.
Geçen yılki Bu Health Healthcare Stroch Change Hizmetleri’ne kaydedilen en büyük veri ihlallerinden biri. Change’in teknoloji hizmeti yüzlerce satıcıya ve laboratuvara, binlerce hastaneye, on binlerce eczaneye ve yüz binlerce doktor ve diş hekimine ulaşıyor “Neredeyse tüm hükümet ve ticari ödeme yapanlar“Şirket belgelerine göre. Bu hizmetler, hastaların kişisel olarak tanımlayıcı bilgilerini (PII) zorunlu olarak süpüren Birden fazla fidye yazılımı aktörünün eline geçti.
Geçen yılın ilerleyen saatlerinde olayın yaklaşık 100 milyon Amerikalıyı etkilediği bildirildi. Şimdi, UnitedHealth bu sayıyı yaklaşık 190 milyona güncelledi. Bir şirket sözcüsü bunu Dark Reading’e e -postayla ifade eden bir açıklamada, “Bu insanların büyük çoğunluğuna zaten bireysel veya ikame bildirimi verildi” diye ekledi.
Değişen Değişen Siber Saldırı Hikayesi
Geçen Şubat, konserde, ABD çevresindeki eczaneler yaşandı reçete siparişlerinde önemli gecikmeler. Her şeyin arkasında, her yıl milyarlarca işlemi işleyen ve trilyonlarca dolar değerinde tıbbi iddiayı temsil eden Change Healthcare vardı.
Şirket ilk olarak ulus devlet siber bir müdahaleye maruz kaldığını belirtti. Aslında, düzenli bir eski fidye yazılımı saldırısıydı (daha sonra 22 milyon dolarlık bir fidye ödeyin). Ve bu yanlış yaptığı tek önemli ayrıntı değildi.
Haziran ayında, Change Healthcare nihayet veri uzlaşma bildirimleri gönderdi ve etkilenen müşterilerin yaklaşık 100 milyon civarında olduğunu ortaya koydu. Ancak Cuma günü, UnitedHealth Group bu rakamı 90 milyon daha içerecek şekilde ayarladı.
Güncellenmiş çevrimiçi veri ihlali bildiriminde, şirket bunu kabul etti Bilgisayar korsanları, kişisel olarak tanımlayıcı çeşitli bilgiler elde etmiş olabilir (PII) Hastalar ve garantörler, isimleri ve soyadları, doğum tarihleri, telefon numaraları, ev adresleri ve e -posta adresleri dahil. Sosyal güvenlik numaralarının sadece “nadir durumlarda” kaybolduğunu ve karanlık okuma e -postasında kaybolduğunu kaydetti, bir sözcü sağlık hizmetlerinin “analiz sırasında verilerde elektronik tıbbi kayıt veritabanlarının göründüğünü görmediğini” iddia etti.
Sözcü ayrıca “sağlık hizmetlerinin değişimini, bu olay sonucunda bireylerin bilgilerinin herhangi bir kötüye kullanılmasının farkında olmadığını” vurguladı.
Bununla birlikte, ComputeTech’in tüketici gizliliği savunucusu Paul Bischoff, “bir veri sürümü hakkında gördüğüm her basın açıklaması ‘Bilgilerinizin herhangi bir şekilde istismar edildiğine veya kötüye kullanıldığına dair bir kanıt yok’ diyor. Ancak, açıkça, bu istismar örnekleri için aramıyorlar ve aslında olup olmadığını asla bilemezler. Buna neden olan veri ihlali. “
Veri ihlali açıklamaları yanlış gittiğinde
Menkul Kıymetler ve Borsa Komisyonu (SEC) Veri ihlali açıklama kuralları halka açık şirketlerin kendilerine uyarı yapıldıktan sonraki dört gün içinde “maddi” siber güvenlik olaylarını açıklamasını gerektirir. Aynı kural, bir saldırının bir zamanlar düşündüğünün neredeyse iki katı kurbanı etkilediği gibi, ihlal açıklamaları için maddi güncellemeler için de geçerlidir.
Bu kurallara rağmen, şirketler ihlallerinin kritik yönlerini araştırmaya ve ele almada kapsamlı zaman ayırmayı başardılar. Örneğin, müşterilere olayını bildirmek dört ay, 100 milyon insanın etkilendiğini itiraf etmek için dokuz ay ve bu rakamı 190 milyona güncellemek için yaklaşık bir yıl sürdü.
Bischoff, ihtiyaç duyulan şeyin daha katı düzenleme olduğunu öne sürmeden önce tereddüt ediyor. “Bu karmaşık bir konu, çünkü şirketlere böyle bir yük koyduğunuz bir noktaya geliyor. Şirketler de bu durumlarda kurbanlar, bu yüzden onları yanlış bildirmek için cezalandırmak istemiyorum” diyor.
Aynı zamanda, “Çok gördüğümüz şey, bu şirketlerin soruşturmalarını bitirmek ve kurbanları bilgilendirmek için çok uzun sürmesidir. Bazen insanların verilerinin orada olduğu bildirilmeden önce bir yıl veya daha fazla Karanlık Web, kimin bildiği için kullanılır ve bu, kimlik sahtekarlığı ve diğer sahtekarlıklarla vurulduktan sonra, bu bilgiyi mümkün olduğunca taze olduğunda ister. Bu yüzden bu bildirimlerin zamanında daha katı standartlara ihtiyacımız olduğunu düşünüyorum. “