İhlal Bildirimi, Siber Suç, Dolandırıcılık Yönetimi ve Siber Suç
Veriler Bir Yıl Önce Çalındı, Ancak WebTPA Hack’i Aralık Ayına Kadar Keşfetmedi
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
17 Mayıs 2024
Sağlık planı yönetim hizmetleri sağlayan Teksas merkezli bir firma, Aralık ayında tespit edilen, veri hırsızlığı içeren ve bir yıldan uzun süre önce meydana gelen bir bilgisayar korsanlığı olayı hakkında 2,4 milyondan fazla kişiye bildirimde bulunuyor.
Ayrıca bakınız: Dijital Risk Korumasını Benimsetmek: Tehdit İstihbaratınızı Bir Sonraki Seviyeye Taşıyın
Irving, Teksas merkezli WebTPA, 8 Mayıs’ta ABD Sağlık ve İnsani Hizmetler Bakanlığı’na, yaklaşık 2,43 milyon kişiyi etkilediğini ve bir ağ sunucusunu içerdiğini bildirdi.
Kendi kendine sigortalı işverenlere sosyal yardım yönetimi ve kar amacı gütmeyen hastanelere çeşitli idari hizmetler sunan WebTPA, sağlık hizmetleri verimliliği hizmetlerinde uzmanlaşmış Jacksonville, Florida merkezli bir şirket olan GuideWell’in bir birimidir.
WebTPA’ya yapılan saldırı, sağlık planlarına ve ilgili sağlık sektörü kuruluşlarına kritik idari hizmetler sunan iş ortaklarına yönelik son saldırılardan biri.
WebTPA, ihlal bildiriminde 28 Aralık’ta kendi ağında, şirketi soruşturma başlatmaya sevk eden şüpheli faaliyet kanıtları tespit ettiğini söyledi.
WebTPA, “Olayın tespit edilmesi üzerine derhal tehdidi azaltmak ve ağımızı daha da güvenli hale getirmek için önlemler başlattık” dedi. Şirket, olayı üçüncü taraf siber güvenlik uzmanlarının desteğiyle araştırdı ve federal kolluk kuvvetlerine bilgi verdi.
WebTPA’nın araştırması, “yetkisiz bir aktörün” 18 Nisan ile 23 Nisan 2023 tarihleri arasında kişisel bilgileri ele geçirmiş olabileceğini ortaya çıkardı.
“WebTPA, sosyal yardım planlarını ve sigorta şirketlerini olay ve kişisel bilgilerin potansiyel olarak açığa çıkması konusunda derhal bilgilendirdi.” Şirket daha sonra etkilenen verilerin kapsamını doğrulamak için çalıştığını ve bulguları 25 Mart’ta fayda planlarına ve sigorta şirketlerine bildirdiğini söyledi.
Potansiyel olarak ele geçirilen bilgiler arasında isim, iletişim bilgileri, doğum tarihi, ölüm tarihi, Sosyal Güvenlik numarası ve sigorta bilgileri yer alıyor. WebTPA, her veri öğesinin her birey için dahil edilmediğini söylüyor.
Şirket, finansal hesap bilgileri veya kredi kartı numaraları gibi finansal bilgilerin ve tedavi veya teşhis bilgilerinin olaydan etkilenmediğini söyledi.
WebTPA, etkilenen kişilere iki yıllık ücretsiz kimlik ve kredi izleme hizmetleri sunuyor. Şirket, ağının güvenliğini güçlendirmek için ek güvenlik önlemleri ve araçları kullandığını söyledi.
WebTPA, bu olay sonucunda fayda planı üye bilgilerinin herhangi bir şekilde kötüye kullanıldığının farkında olmadığını söyledi.
Ne WebTPA ne de ana şirketi GuideWell, Information Security Media Group’un olayla ilgili ek ayrıntı talebine hemen yanıt vermedi.
Bazı uzmanlar, WebTPA’nın ağında şüpheli aktiviteyi keşfetmesi ile üç ay sonra bilgilerin saldırganlar tarafından ele geçirildiği sonucuna varması arasındaki gecikme süresinin (saldırının gerçekleşmesinden yaklaşık bir yıl sonra), birçok kuruluşun olay müdahalesi ve ihlal analizi ile ilgili karşılaştığı zorlukların altını çizdiğini söyledi.
Dijital adli tıptan sorumlu başkan yardımcısı Max Henderson, “Kurbanlar ve etkilenen kuruluşlar, erişilen verilerle ilgili olarak hızlandırılmış bilgileri haklı olarak ararken, erişilen tüm verileri hesaba katmanız gereken tam zamanlı uzlaşma penceresini tanımlamak için bir durum tespiti süreci vardır” dedi. Pondurance güvenlik firmasında olay müdahalesi.
“Başka bir deyişle, öncelikle ağa en erken giriş tarihini belirleyerek sınırlama ve yok etme önlemlerini uygulamalısınız. İlk olarak yetkisiz erişimin gerçekleştiği tam zaman aralığını sağlayamazsanız, erişilen verilerin bütünlüğüne ilişkin güven sağlayamazsınız. “dedi.
Cuma günü itibarıyla olay, HHS Sivil Haklar Ofisi’nin HIPAA İhlali Raporlama Aracı web sitesinde 500 veya daha fazla kişiyi etkileyen korumalı sağlık bilgisi ihlallerini listeleyen 2024 yılında şimdiye kadar yayınlanan üçüncü en büyük ihlaldir.
WebTPA olayı, sağlık planlarına ve diğer sağlık sektörü kuruluşlarına idari hizmetler sağlayan iş ortaklarını kapsayan bu yıl şu ana kadarki en son büyük ihlaller arasında yer alıyor.
Bu yıl HHS OCR web sitesinde şu ana kadar yayınlanan en büyük beş ihlal arasında, American Vision Partners olarak faaliyet gösteren ve bir yönetim sistemi sağlayan Arizona merkezli Medical Management Resource Group tarafından 6 Şubat’ta bildirilen 2,35 milyon kişiyi etkileyen bir bilgisayar korsanlığı olayı da yer alıyor. 12 göz doktoru muayenehanesine BT ve altyapı hizmetleri (bkz.: Hack at Services Firması 2,4 Milyon Göz Doktoru Hastasına Ulaştı).
Önümüzdeki aylarda HHS OCR web sitesinde gerçekleşmesi beklenen en büyük sağlık verisi ihlali, UnitedHealth Group’un Change Healthcare birimine yapılan siber saldırıdır. BlackCat/Alphv’nin Şubat ayındaki saldırısı, Change Healthcare’in binlerce hastaneye, doktor muayenehanesine ve diğer sağlık sektörü kuruluşlarına sağladığı talep işleme ve hasta uygunluğu da dahil olmak üzere kritik BT hizmetlerini kesintiye uğrattı. UnitedHealth Group, olayın potansiyel olarak ABD nüfusunun yaklaşık üçte birini etkilediğini söyledi.
Henderson, “Suç örgütleri genellikle belirli bir güvenlik açığına odaklanır ve seçeneklerini, geçerli bir hedef olan tüm savunmasız kuruluşlar genelinde değerlendirir” dedi.
“Kritik hizmetlere yönelik gasp tedbirleri, hizmetlerin hızlı bir şekilde onarılması ve düzenlemelerden etkilenen verilerin hızlı bir şekilde değerlendirilmesi ihtiyacı nedeniyle suçlular için genellikle daha başarılı bir sonuçtur” dedi.
Güvenlik firması Critical Insight’ın kurucusu ve CISO’su Mike Hamilton, aslında birden fazla kapsam dahilindeki kuruluşun kayıtlarını işleyen iş ortaklarının iki ana nedenden dolayı kayıt hırsızlığının olgun hedefi olduğunu söyledi.
Birincisi, bu üçüncü tarafların birçok kuruluş için çok sayıda kayda sahip olması, ikincisi ise bu tür saldırıların suçlulara muazzam miktarda avantaj sağlamasıdır.
“Kayıt hırsızlığının sonuçları yeterince kötü, düzenleyici işlemlere, para cezalarına vb. neden oluyor. Ancak kayıtlar kamuya açıklanırsa, toplu dava ve Yanlış İddialar Yasası’nın uygulanma potansiyeli artar ve mağdur, tazminatı ödemeye teşvik edilir. Gasp talebi” dedi Hamilton.
Kapsanan kuruluşların, iş ortaklarından ödün verme eğilimini dikkate alması ve yedekleme hizmetlerinin, BT sağlayıcılarının ve üçüncü bir tarafın tehlikeye atılması durumunda operasyonları değiştirecek yöntemlerin mevcut olduğundan emin olması gerektiğini söyledi.
“Bildirimin zorunlu olması ve iş ortaklığı sözleşmesinde belirtilmesi gerekiyor. Üçüncü şahıslar tarafından sağlanan hizmetlerin tamamı hızlı bir şekilde diğer iş ortaklarına devredilemez ancak bu planlama operasyonların sürekliliğinin sağlanmasına yardımcı olacaktır” dedi.