Sağlık, Olay ve İhlal Müdahalesi, Sektöre Özel
Güvenlik İhlali, Diğer Tıbbi Uzmanlık Kuruluşlarının Karşılaştığı Siber Sorunlara Işık Tutuyor
Marianne Sosis McGee (SağlıkBilgiGüvenliği) •
16 Ağustos 2024
Alabama’daki bir kardiyoloji kliniği, yaklaşık 281.000 mevcut ve eski hastaya, doktora ve çalışana hassas bilgilerinin bilgisayar korsanları tarafından çalındığını bildirdi.
Ayrıca bakınız: Bulut Analitiği ve Veri Maskeleme: Genel Bulutlarda Makine Öğrenmesinden En İyi Şekilde Yararlanma
Yaklaşık iki düzine doktoru bulunan ve kendisini “nispeten küçük” bir grup muayenehanesi olarak tanımlayan Alabama Cardiology Group, 2 Ağustos’ta federal düzenleyicilere, bir ağ sunucusunu içeren bir bilgisayar korsanlığı olayı olarak ihlali bildirdi.
ACG, çevrimiçi bir ihlal bildiriminde, “Eğer ACG’deki bir doktorun mevcut veya eski hastasıysanız ya da ACG’deki mevcut veya eski kefil, çalışan veya doktorsanız, kişisel bilgileriniz etkilenmiş olabilir” dedi.
Uygulama, 2 Temmuz’da yetkisiz tarafların bilgisayar ağına eriştiğinin farkına vardığını ve bunun da ağının internetten kesilmesine yol açtığını söyledi. Bir soruşturma, 6 Haziran ile 2 Temmuz arasında tehdit aktörlerinin elde edilen kişisel bilgileri elde ettiğini belirledi. ACG, kolluk kuvvetlerine haber verdiğini söyledi.
Olaydan etkilenen bilgiler bireyler arasında değişir. Tanımlayıcı bilgiler, Sosyal Güvenlik numaraları, sağlık sigortası bilgileri ve talepleri, kullanıcı adları ve parolalar içerir. Ödeme kartı ve banka hesap bilgileri gibi finansal bilgileri içerebilir.
Potansiyel olarak tehlikeye girebilecek tıbbi bilgiler arasında hizmet tarihleri, teşhisler, ilaçlar, görüntüler, laboratuvar sonuçları ve diğer tedavi bilgileri yer alır.
Güvenlik firması Critical Insight’ın kurucusu ve CISO’su Mike Hamilton, Alabama Cardiology Group tarafından sağlanan ayrıntıların, uygulamanın kimlik bilgisi suistimali yoluyla kurban edildiğini gösterdiğini söyledi.
“Bu, ister doldurma, ister kaba kuvvet, ister oturum soyma veya tekrar kullanılan bir parola bulma olsun, aynı zamanda çok faktörlü kimlik doğrulamanın eksikliğinin de göstergesi gibi görünüyor” dedi.
Şirket, Bilgi Güvenliği Medya Grubu’nun yorum talebine hemen yanıt vermedi.
Uzmanlık Alanındaki Tıbbi Uygulamalarda Bir Dizi İhlal
Federal düzenleyicilere gönderilen veri ihlali raporları, son aylarda ortopediden ruh sağlığına kadar uzanan uzmanlık gerektiren tıbbi uygulamalarda çok sayıda olay yaşandığını gösteriyor.
Hamilton, küçük muayenehanelerin genellikle özel siber güvenlik personeli olmadığını ve hekimler ile destek personelinin çoğunlukla yeterli kontrolleri uygulamak için gereken uzmanlıktan yoksun olduğunu söyledi. “Sakladıkları kayıtlar, daha büyük kurumlardaki kayıtlar kadar değerlidir, böylece risk/ödül hesaplaması suçlular için avantajlıdır,” dedi.
Gizlilik ve güvenlik danışmanlık şirketi The Marblehead Group’un başkanı Kate Borten da benzer bir değerlendirme sundu. Uzmanlık uygulamalarının, büyük miktarda bireysel olarak tanımlanabilir veriye sahip olmaları ve genellikle daha az sağlam güvenlik programlarına sahip olmaları nedeniyle diğer kuruluşlardan daha yüksek risklerle karşı karşıya olduğunu söyledi.
“Güvenlik zaafları bütçe kısıtlamalarından ve güvenlik ve mahremiyete öncelik verilmemesinden kaynaklanıyor olabilir” diye ekledi.
Borten’a göre önceliklendirme eksikliği onları rahatsız edebilir. Birçok uygulama, ihlal sonrası ciddi finansal baskılarla ve bazı durumlarda iflasla bile karşı karşıyadır (bkz: Saldırı Sıkıntıları Nedeniyle Kırsal Sağlık Hizmeti Sağlayıcısının Kapanması Bekleniyor).
Borten, “Eğer uygulama devam ederse, bundan sonra güvenlik programlarına daha fazla yatırım yapma eğiliminde olacaklardır” dedi.
Hamilton, bu tür senaryolardan kaçınmaya yardımcı olmak için daha küçük tıbbi muayenehanelerin ve uzman sağlık hizmeti sağlayıcılarının “risk çıtasını yükseltmek” için yönetilen ve profesyonel güvenlik hizmetlerini kullanmayı düşünebileceğini söyledi. Muayenehanelerin güvenlik uygulamalarını “en azından” HHS’nin siber güvenlik performans hedefleriyle uyumlu hale getirmeleri gerektiğini söyledi.