İhlal Bildirimi , Sağlık , Sektöre Özgü
Uzmanlar, Çoklu Zorlukların İhlal Müdahalesini ve Bildirimini Geciktirebileceğini Söyledi
Marianne Kolbasuk McGee (SağlıkBilgisi) •
14 Ağustos 2023
Bir Georgia sağlık sistemi, 180.000’den fazla kişiye, ilk olarak bir yıl önce tespit edilen bir bilgisayar korsanlığı olayını içeren bir veri gizliliği ihlali hakkında bilgi veriyor. Görünen Hive fidye yazılımı saldırısı, bilgisayar korsanlarının tıbbi ve banka hesabı bilgileri de dahil olmak üzere hasta bilgilerini içeren dosyalara erişmesini ve bunları kopyalamasını içeriyordu.
Ayrıca bakınız: İçeriden Gelen Tehditleri Durdurmak için Davranış Analitiği için Yapay Zeka ve Makine Öğrenmesi Nasıl Kullanılır?
Gecikmeli bildirim, özellikle sağlık sektörü ve diğer sektörlerde artan sayıda kuruluşun siber suçlular tarafından geniş kapsamlı veri ele geçirmelerinin kurbanı haline gelmesiyle birlikte, bazı kuruluşların karşı karşıya kaldığı, artan ihlal yanıtı ve bildirim zorluklarının kapsamına ışık tutuyor.
Düzenleyici avukat Rachel Rose, “Bu durum bazındadır. Bazı gecikmeler meşru, diğerleri değil” dedi.
Tift Bölgesel Sağlık Sistemi, Cuma günü yaptığı bir veri ihlali açıklamasında, 16 Ağustos 2022’de bir bilgisayar korsanlığı olayının tespit edildiğini ve 180.142 kişiyi etkilediğini söyledi.
Tifton, Georgia merkezli sağlık sistemi, bilgisayar korsanlığının 500 kişiyi etkilediğini ilk olarak 14 Ekim 2022’de ABD Sağlık ve İnsan Hizmetleri Bakanlığı Sivil Haklar Ofisine bildirdi.
Federal düzenleyiciler, kuruluşların 500 veya daha fazla kişiyi etkileyen HIPAA ihlallerini keşfinden sonraki 60 gün içinde HHS OCR’ye bildirmesini gerektirdiğinden, bazı kuruluşlar bu ihlalleri siber savunucular daha doğru bir sayı belirleyene kadar bir yer tutucu tahminiyle (genellikle 500 kişi) bildirir.
Southwell adıyla da anılan Tift Regional, Georgia’nın orta güneyindeki 12 ilçeye hizmet veren, kar amacı gütmeyen bir sağlık sistemidir. Kuruluşun yaklaşık 135 doktoru, birkaç özel bakım tesisi ve Tifton, Georgia’da bulunan 181 yataklı bir bölgesel sevk hastanesi olan Tift Regional Medical Center vardır.
DataBreaches.net geçen Eylül ayında Hive fidye yazılımı grubunun Temmuz 2022 saldırısında 1 terabayt Tift verisi indirdiğini iddia ettiğini ve Hive ile Tift arasındaki müzakerelerin bozulduğunu bildirdi.
Tift, Information Security Media Group’un yorum yapma ve bildirimin neden ertelendiği ve Hive’ın olaya karışıp karışmadığı da dahil olmak üzere olayla ilgili ek ayrıntılar talebine hemen yanıt vermedi.
Tift İhlal Ayrıntıları
Tift, 7 Ağustos’ta web sitesinde yayınlanan güncellenmiş bir ihlal bildiriminde, kuruluşun 16 Ağustos 2022’de veya ona yakın bir tarihte, ağındaki belirli sistemleri etkileyen şüpheli etkinliğin farkına vardığını söyledi.
Tift, sistemlerinde kötü amaçlı bir şifreleme olmadığını ve ağın hasta bakımı sağlamak için personele açık olduğunu söyledi. “Soruşturma, 11 Ağustos – 17 Ağustos 2022 tarihleri arasında TRHS sistemlerindeki bazı dosyalara izinsiz erişilmiş veya kopyalanmış olabileceğini belirledi.
Tift, etkilenen dosyalarda bulunan kişisel bilgileri belirlemek için bir inceleme yaptığını söyledi. Potansiyel olarak tehlikeye atılan veriler, belirli kişilerin Sosyal Güvenlik numaralarını, hasta kimlik numaralarını, ehliyet numaralarını, tıbbi bilgilerini, tedavi bilgilerini, teşhis bilgilerini, sağlık sigortası bilgilerini, finansal hesap bilgilerini ve doğum tarihlerini içerir.
Büyüyen Zorluklar
Tift’in ihlal bildiriminin neden bir yıl geciktiğiyle ilgili çeşitli faktörler olabilir.
Rose, “Hive FBI tarafından kaldırıldı ve duyuru Ocak 2023’te yapıldı” dedi. Tift, saldırısıyla ilgili olarak FBI ile temasa geçtiyse, örgütün Hive’ı devirmek için uluslararası düzeyde koordinasyon sağlayan federal kolluk kuvvetleri nedeniyle bildirimi kısmen geciktirmiş olabileceğini söyledi (bkz.: Hive, FBI Altyapısını Bozduktan Sonra Kaput Olarak Kalacak mı?).
Rose’a göre gecikmenin başka nedenleri de olabilir. “Saldırının türüne ve karmaşıklığına meşru olarak bağlı olabilir. Ayrıca bir kuruluş tüm verilerinin nerede olduğunu bilmiyor olabilir.”
Bazı uzmanlar ayrıca, Tift olayının tespit edilmesi ile etkilenen bireylerin tespit edilmesi arasındaki bir yıllık sürenin, diğer birçok kuruluşun karşılaştığı ihlal müdahalesi ve bildirimindeki zorlukların kapsamının bir göstergesi olduğunu söylüyor.
Yetersiz günlük kayıtlarını içeren zorluklar vardır; erişilen veya çalınan bilgilerin kapsamını belirlemek için uzun, karmaşık ve zaman alan incelemeler; ve hızlı incelemelerin yürütülmesine yardımcı olabilecek mevcut yetenekli profesyonellerin azlığı.
CISO ve güvenlik şirketi Critical Insight’ın kurucusu Michael Hamilton, “Sızdırıldığı görülen veri miktarı, kaynak dosyalardaki veri türü ve her dosyadaki hastanın kimliği gibi şeyler arasında ilişki kurulmalıdır” dedi. Hastane kayıtları dinamiktir, bu nedenle olayın meydana geldiği günler veya haftalar boyunca kayıtlarda bulunan kişilerin doğru bir sayımını ve kimlik listesini elde etmenin zor olabileceğini söyledi.
Siber sigorta şirketlerinin dahil olması ve olası toplu dava açma tehdidi gibi diğer sorunlar da ihlal müdahalesi ve bildirim süreçlerini etkileyebilir.
Rose, “Veri ihlalleri, davalar için sıcak bir alandır” dedi.
Hamilton, sağlık sektöründeki ve dışındaki pek çok kuruluşun bilgisayar korsanlığı olayları ve diğer ihlallerle karşılaştığı için, bazı durumlarda soruşturmaları tamamlamak için bekleme sürelerinin uzadığını söyledi.
“Bu soruşturmaların uzunluğu kısmen kalifiye adli tıp müfettişlerinin azlığının bir fonksiyonudur. Olay müdahalesi ve adli tıp şirketleri tam da bu nedenle rutin olarak ortaktır – bu kişilere olan talep açıkça arzı aşıyor” dedi.
Hamilton, “Erişilmiş olabilecek kayıtların doğru bir muhasebesini belirlemek için, günlükleri ve diğer kanıtları incelemeleri için adli tıp müfettişlerini getirmek gerekir.” Dedi. “Nitelikli pratisyen eksikliği nedeniyle, bu hız sınırlayıcı bir adım olabilir.”
Rose, meşru adli tıp şirketlerinin yanıt verdiğini söyledi. Gecikmeler olsa da, danışmanın devlet kurumuyla birlikte çalışarak tespit edilen kişi sayısını onlara bildirmesi ve aksi belirtilmediği sürece tebligat göndermesi çok önemlidir. “Ayrıca, etkilenenlere bildirimlerin geldiğini ve daha fazla bilgi öğrenildikçe dilimler halinde verilebileceğini kamuoyuna bildirmek ihtiyatlı olacaktır” dedi.
Hamilton ayrıca, gerekli günlüklerin ve diğer kayıtların tam olarak kimin verilerinin ve hangi bilgilerin ele geçirildiğini belirlemek için yetersiz kaldığı durumlarda, ihlallerde bildirilen etkilenen kişilerin sayısının bazen arttığını söyledi.
Bu durumlarda, kuruluşlar “herkesin etkilendiğini iddia etmelidir” dedi.
Tift, ihlal bildiriminde, mevcut siber güvenlik politikalarını ve prosedürlerini gözden geçirdiğini ve gelecekte bu tür olaylara karşı korunmak için ek önlemler ve korumaları değerlendirdiğini söyledi.