Sağlık Hizmetini Değiştir Yaklaşık 100 milyon Amerikalıya kişisel, mali ve sağlık hizmetleri kayıtlarının Şubat 2024’te, korunan sağlık bilgilerine yönelik şimdiye kadar bilinen en büyük veri ihlaline neden olan bir fidye yazılımı saldırısında çalınmış olabileceğini bildirdiğini söylüyor.
Resim: Tamer Tuncay, Shutterstock.com.
Şubat ayının üçüncü haftasında Change Healthcare’e yapılan bir fidye yazılımı saldırısı, şirketin binlerce kuruluş adına ödemeleri ve reçeteleri işleme koymadaki merkezi rolü sayesinde, ABD sağlık sistemi genelinde aylarca yankılanan aksaklıklara hızla yol açtı.
Nisan ayında Change, ihlalin “Amerika’daki insanların önemli bir kısmını” etkileyeceğini tahmin ediyordu. Sağlık devi 22 Ekim’de durumu bildirdi ABD Sağlık ve İnsan Kaynakları Bakanlığı (HHS), “bu ihlalle ilgili olarak yaklaşık 100 milyon bildirim gönderildi.”
Change Healthcare’den gelen bir bildirim mektubunda, ihlalin aşağıdakilerin çalınmasını içerdiği belirtildi:
-Sağlık Verileri: Tıbbi kayıt numaraları, doktorlar, teşhisler, ilaçlar, test sonuçları, görüntüler, bakım ve tedavi;
-Fatura Kayıtları: Ödeme kartlarını, mali ve banka kayıtlarını içeren kayıtlar;
-Kişisel Veriler: Sosyal Güvenlik numarası; sürücü belgesi veya eyalet kimlik numarası;
-Sigorta Verileri: Sağlık planları/poliçeleri, sigorta şirketleri, üye/grup kimlik numaraları ve Medicaid-Medicare-devlet ödeyen kimlik numaraları.
HIPAA Dergisi Change’in ana firmasının 30 Eylül 2024’te sona eren dokuz ayda Birleşik Sağlık Grubu Doğrudan ihlal müdahale maliyetlerinde 1,521 milyar dolar ve toplam siber saldırı etkilerinde 2,457 milyar dolar oluştu.
Bu maliyetler arasında şirketin şantajcılara ödeme yaptığını kabul ettiği 22 milyon dolar da bulunuyor. Kara Kedi Ve ALPHV – çalınan sağlık hizmeti verilerini yok etme sözü karşılığında.
BlackCat’in Change’in ağına erişimini sağlayan bağlı kuruluş, suç çetesinin kendilerini fidye payından aldattığını söylediğinde fidye ödemesi ters gitti. Bundan sonra BlackCat fidye yazılımı operasyonunun tamamı kapandı ve fidye yazılımlarını yüklemek için tutulan bağlı kuruluşlara borçlu olunan tüm parayla birlikte kaçtı.
Change Healthcare’den bir ihlal bildirimi.
BlackCat’in patlamasından birkaç gün sonra, aynı çalınan sağlık verileri, rakip bir fidye yazılımı bağlı grubu tarafından satışa sunuldu. RansomHub.
“Etkilenen sigorta sağlayıcıları kendi verilerinin sızmasını önlemek için bizimle iletişime geçebilir ve [remove it] RansomHub’un mağdurları utandıran blogu 16 Nisan’da şunları duyurdu: “Change Health ve United Health’in tüm bu şirketler için hassas verileri işlemesi inanılmaz bir şey. Bizden şüphe eden çoğu ABD’li için muhtemelen kişisel verileriniz elimizdedir.”
RansomHub’un çalınan sağlık hizmeti verilerini satıp satmadığı henüz belli değil. İhlalden etkilenen büyük bir akademik sağlık sisteminin baş bilgi güvenliği yetkilisi, KrebsOnSecurity’ye FBI ile bir görüşmeye katıldıklarını ve üçüncü taraf bir ortağın, siber suçlu grubu tarafından Change’den sızdırılan en az dört terabaytlık veriyi kurtarmayı başardığı söylendiğini söyledi. . FBI yorum talebine yanıt vermedi.
Change Healthcare’in ihlal bildirim mektubu, alıcılara, adı verilen bir şirketten iki yıl boyunca kredi izleme ve kimlik hırsızlığına karşı koruma hizmetleri sunuyor. IDX. Change, mektubun “Bu neden oldu?” başlıklı bölümünde yalnızca “bir siber suçlunun iznimiz olmadan bilgisayar sistemimize eriştiği” bilgisini paylaştı.
Ancak Haziran 2024’te Senato Finans Komitesi’ne verilen ifadede, davetsiz misafirlerin uzaktan erişim için kullanılan bir Citrix portalının kimlik bilgilerini çaldığı veya satın aldığı ve bu hesap için çok faktörlü kimlik doğrulamaya gerek olmadığı ortaya çıktı.
Geçen ay, Sens. Mark Warner (D-Va.) ve Ron Wyden (D-Ore.), HHS’nin sağlık hizmeti sağlayıcıları, sağlık planları, takas odaları ve iş ortakları için bir dizi zorlu minimum siber güvenlik standardı geliştirmesini ve uygulamasını gerektiren bir yasa tasarısı sundu. Tedbir ayrıca, HHS’nin sağlayıcılara karşı verebileceği mali cezaları ciddi şekilde sınırlayan Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası kapsamındaki mevcut para cezaları sınırını da kaldıracak.
HIPAA Journal’a göre, HIPPA ihlali nedeniyle bugüne kadar verilen en büyük ceza, sigorta şirketine verilen 16 milyon dolarlık önemsiz para cezasıydı. Marşı A.Ş.2015 yılında 78,8 milyon kişiyi etkileyen bir veri ihlali yaşadı. Anthem, 2015 yılında yaklaşık 80 milyar dolar gelir bildirdi.
8 Nisan 2024’te RansomHub’dan Değişiklik ihlaliyle ilgili bir gönderi. Resim: Darkbeast, ke-la.com.
Bu ihlalin mağdurlarının sağlık kayıtlarının ele geçirilmesi konusunda yapabileceği çok az şey var. Bununla birlikte, ifşa edilen veriler kimlik hırsızlarının işlerini yapmaları için fazlasıyla yeterli bilgi içerdiğinden, henüz yapmadıysanız, sizin ve aile üyelerinizin kredi dosyasına güvenlik dondurması uygulamak akıllıca olacaktır.
Kimlik hırsızlarının adınıza yeni hesap oluşturmasını engellemenin en iyi mekanizması kredi dosyanızı dondurmaktır. Equifax, Experian, Ve TransSendika. Bu süreç artık tüm Amerikalılar için ücretsizdir ve potansiyel alacaklıların kredi dosyanızı görüntülemesini engeller. Ebeveynler ve veliler artık çocukları veya bakmakla yükümlü oldukları kişilerin kredi dosyalarını da dondurabilirler.
Çok az alacaklı, bunun ne kadar riskli olduğunu belirleyemeden yeni kredi limitleri vermeye istekli olduğundan, Üç Büyük ile kredi dosyanızı dondurmak, her türlü kimlik hırsızlığı saçmalıklarını engellemenin harika bir yoludur. Dondurmanın mevcut olması, kredi kartları, ipotek ve banka hesapları gibi halihazırda sahip olduğunuz kredi limitlerini kullanmanızı engellemez. Kredi dosyanıza erişime izin vermeniz gerektiğinde ve gerekirse (örneğin, bir kredi veya yeni kredi kartı başvurusunda bulunurken), bir veya daha fazla büroyla önceden dondurmayı kaldırmanız veya geçici olarak çözmeniz gerekecektir.
Her üç büro da kullanıcıların bir hesap oluşturduktan sonra elektronik olarak dondurma işlemi yapmasına izin veriyor, ancak hepsi tüketicileri dondurma işlemi yapmaktan uzaklaştırmaya çalışıyor. Bunun yerine bürolar, tüketicilerin kafa karıştırıcı bir şekilde adlandırılan, aynı sonucu veren ancak büroların dosyanıza erişimi seçilmiş ortaklara satmaya devam etmesine olanak tanıyan “kredi kilidi” hizmetlerini tercih edeceklerini umuyor.
Bir süredir bunu yapmadıysanız, kredi dosyanızı herhangi bir yaramazlık veya hata açısından gözden geçirmek için şimdi mükemmel bir zaman olabilir. Yasaya göre herkes, üç kredi raporlama kuruluşunun her birinden her 12 ayda bir ücretsiz kredi raporu alma hakkına sahiptir. Ancak Federal Ticaret Komisyonu, üç büyük büronun 2020’de yürürlüğe giren ve her bir kurumdaki kredi raporunuzu haftada bir kez ücretsiz olarak kontrol etmenize olanak tanıyan bir programı kalıcı olarak uzattığını belirtiyor.