Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar , Sağlık Hizmetleri
Son Sızma ve Bilgisayar Korsanlığı Olayları Sağlık Sektörünün Siber Sorunlarını Vurguluyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
4 Nisan 2024
Kaliforniya kanser araştırma merkezi ne işe yarar; Indiana'da bir kulak, burun ve boğaz uygulaması; bir Oklahoma ambulans şirketi; ve New York'taki bir faturalandırma firmasının hepsinin ortak noktası nedir? Bu yıl şimdiye kadar milyonlarca ABD'li hastayı etkileyen veri sızıntısı ihlallerini bildiren son firmalar arasında yer alıyorlar.
Ayrıca bakınız: Dijital Risk Korumasını Benimsetmek: Tehdit İstihbaratınızı Bir Sonraki Seviyeye Taşıyın
Yalnızca bu dört ihlal, 2 milyondan fazla kişinin korunan sağlık bilgilerini etkiledi ve sağlık kuruluşları ve satıcılarının raporladığı son sızıntı olaylarının yalnızca küçük bir örneği.
Kurucu ve kurucu Mike Hamilton şöyle konuştu: “Kayıt hırsızlığı, bunları karanlık ağda satmaktan, onları bir gasp aracı olarak alıkoymaya, toplu dava tehdidini kullanmaya, FTC'nin Yanlış İddialar Yasası'nı uygulamaya koymaya ve para cezaları da dahil olmak üzere düzenleyici incelemeleri artırmaya dönüştü.” Güvenlik firması Critical Insight'ın CISO'su.
“Bu muhtemelen satışa sunulan plakların bolluğunun ve bunların satın alınmasına yönelik aşağı yönlü fiyatlandırma baskısının bir eseridir” dedi. “Kendi düzenleyici ve yasal dayanaklarımız suç çetelerine bu etkiyi sağladığı sürece, bu muhtemelen birincil taktik olarak devam edecek.”
Perşembe günü itibarıyla, ABD Sağlık ve İnsani Hizmetler Bakanlığı'nın HIPAA İhlali Raporlama Aracı web sitesi, yılın ilk çeyreğinde bildirilen 16,6 milyondan fazla kişiyi etkileyen toplam 174 büyük sağlık verisi ihlalini gösteriyor.
Bunlardan 134 ihlalin, 16,3 milyon kişiyi etkileyen BT/hack olayı olduğu bildirildi; yani 2024'te şu ana kadar büyük sağlık verisi ihlallerinden etkilenen bireylerin yaklaşık %98'i.
HHS web sitesi bilgisayar korsanlığı olaylarını türüne göre ayırmasa da, son haftalarda düzenleyicilere bildirilen en büyük ihlallerin çoğu, bu kuruluşların ihlal bildirimlerinde sağlanan açıklamalara dayanarak veri hırsızlığıyla ilgiliydi.
Bu türden en büyük olaylar arasında Salı günü Kaliforniya merkezli kanser araştırma merkezi City of Hope tarafından Maine eyaleti başsavcılığına 166 Maine sakini de dahil olmak üzere yaklaşık 830.000 kişiyi etkileyen bir ihlal bildirildi.
City of Hope, bir ihlal bildiriminde, 13 Ekim 2023'te sistemlerinin bir alt kümesinde şüpheli faaliyetten haberdar olduğunu ve operasyonlarındaki herhangi bir kesintiyi en aza indirmek ve kontrol altına almak için derhal önlemler aldığını söyledi.
City of Hope'un soruşturması, yetkisiz bir üçüncü tarafın sistemlerinin bir alt kümesine eriştiğini ve bazı dosyaların kopyalarını ele geçirdiğini belirledi.
25 Mart'ta kanser merkezi olaydan etkilenen kişileri tespit etti. Potansiyel olarak ele geçirilen bilgiler kişiden kişiye değişir ancak ad, e-posta adresi, telefon numarası, doğum tarihi, Sosyal Güvenlik numarası, sürücü belgesi veya diğer resmi kimlik bilgileri, banka hesap numarası veya kredi kartı bilgileri gibi mali ayrıntılar, sağlık sigortası bilgileri, tıbbi kayıtlar, tıbbi geçmişi içerir ve/veya ilgili durumlar ve tıbbi kayıt numarası.
Diğer büyük sağlık verilerinin sızma olayları şunları içerir:
- Indiana'da bir kulak, burun ve boğaz muayenehanesi olan Otolaryngology Associates LLC, Pazartesi günü HHS'ye bir veri sızıntısı ihlalinin yaklaşık 317.000 kişiyi etkilediğini bildirdi;
- Oklahoma'da bir ambulans şirketi olan Acil Sağlık Hizmetleri Otoritesi, 22 Mart'ta yaklaşık 612.000 kişiyi etkileyen bir veri hırsızlığı ihlalini HHS'ye bildirdi;
- New York merkezli bir tıbbi faturalandırma firması olan M&D Capital Premier Billing LLC, 21 Mart'ta HHS'ye 284.000'den fazla kişiyi etkileyen bir veri sızıntısı hack'i bildirdi.
Umut Şehri Salı günü Maine eyaletine hackleme olayının yaklaşık 830.000 kişiyi etkilediğini bildirirken, kanser merkezinin 12 Aralık 2023'te HHS'ye sunduğu ihlal raporunda yalnızca 501 kişinin etkilendiğine dair yer tutucu bir tahmin yer alıyor.
HIPAA İhlali Bildirim Kuralı uyarınca, 500 veya daha fazla kişiyi etkileyen PHI ihlallerinin, keşfedilmesinden itibaren 60 gün içinde HHS'ye bildirilmesi gerekir.
Pek çok kuruluş, 60 günlük raporlama süresi dolduğunda büyük olaylardan etkilenen bireylerin kesin sayısından emin olmadığından, genellikle başlangıçta HHS'ye ihlallerin 500 veya 501 kişiyi etkilediğini bildiriyorlar, görünüşe göre City of Hope'un yaptığı gibi.
Federal ve eyalet düzenleyicilerine bildirilen veri sızıntısı, fidye yazılımı ve diğer bilgisayar korsanlığı olaylarının sayısı yalnızca önümüzdeki haftalarda ve aylarda artacak. UnitedHealth Group'un Change Healthcare BT hizmetleri birimine yapılan ve şirketin sağlık sektörü müşterilerinin çok sayıdasını etkileyen son siber saldırıdan kaynaklanan ihlaller, düzenleyici kurumlara henüz bildirilmedi.
UnitedHealth Group geçen hafta saldırı sırasında verilerin “alındığını” kabul etti ve şirketin potansiyel olarak tehlikeye atılan bilgileri analiz ettiğini söyledi (bkz: UnitedHealth, Mega Saldırıda Hasta Verilerinin 'Alındığını' Kabul Etti).
Change Healthcare, yılda 15 milyar işlem gerçekleştirdiğini ve her 3 hastadan 1'ine dokunduğunu söylüyor. Bu arada, hizmet olarak fidye yazılımı çetesi BlackCat/Alphv, saldırıda 6 terabayt veri çaldığını iddia etti. Yani tek bir olaydaki potansiyel mağdur sayısı milyonlarca kişiye ulaşabilir.
2023, HHS'ye bildirilen olay sayısı (737) ve etkilenen toplam insan sayısı (yaklaşık 144,6 milyon) açısından sağlık verileri ihlalleri açısından rekor kıran bir yıl oldu (bkz.: 2023, Sağlık Verileri İhlallerinde Uzun Süreli Rekorları Nasıl Kırdı?).
Ancak Hamilton, 2024'ün potansiyel olarak geçen yılın rekorlarını kırabileceğini öngördü.
“2024, yalnızca ifşa edilen kayıt sayısı açısından değil, aynı zamanda ele geçirilen kapsam dahilindeki kuruluşların ve iş ortaklarının sayısı açısından da kayıt hırsızlığı açısından rekor bir yıl olma yolunda ilerliyor” dedi.
Güvenlik firması Emsisoft'tan tehdit analisti Brett Callow, ihlallerin ve bunlardan etkilenen insan sayısının bu yıl oldukça sabit kalacağından şüphelendiğini söyledi. Ancak “Kısa vadede önemli bir düşüş için kesinlikle bir neden göremiyorum. Bunu başarmak muhtemelen önemli bir politika değişikliği gerektirecektir” diye ekliyor.
Callow, “Tehdit aktörlerinin ve özellikle de fidye yazılımı operatörlerinin geçmişte olduğundan daha fazla sızdırılan yazılımdan yararlanacağını göreceğimizi düşünüyorum. Bununla, kurbanları ödemeye zorlamak için bundan daha fazla yararlanmayı kastediyorum” dedi. Örneğin fidye yazılımı çeteleri, bir hastaneden çalınan bilgileri hastalarına saldırmak için kullanmakla tehdit ediyor. “Maalesef bu taktikleri giderek daha fazla göreceğimizi düşünüyorum.”
Hamilton, yüksek kaynaklara sahip, yetenekli ve motive olmuş suç örgütlerine karşı savunmada, bu örgütlerin sektör tarafından benimsenmesi önerilen düzenleyici çerçevelere ve uygulama standartlarına rağmen esasen hiçbir savunmaya sahip olmadığını söyledi.
Hamilton, federal hükümetin kendi mantıksal sınırlarımızı korumaya yönelik çok daha agresif eylemlerinin ve uluslararası işbirliğinin yokluğunda bu eğilimin duracak gibi görünmediği konusunda uyardı. “Bu eylemlerin kamuya verdiği zarar ile bunların gerçekleşmemesini sağlamaya yönelik özel sorumluluk arasındaki uçurumun kapatılması gerekiyor.”
Hamilton, bu arada sağlık sektörü kuruluşlarının siber suçluların veri hırsızlığının kurbanı olmalarını önlemeye yardımcı olmak için belirli kritik güvenlik kontrolleri ve uygulamalarını uygulamaları gerektiğini söyledi.
“İyi ağ izleme, büyük miktarda giden veri iletimleri konusunda uyarıyı, anormal derecede büyük şifreleme anahtarlarının ve davranışsal anormalliklerin tespitini içermeli ve yanıt otomasyon taktik kitaplarıyla birlikte insan analistleriyle birlikte 7/24/365 yerinde olmalıdır” dedi.