Katolik sağlığı için bir teknoloji satıcısı olan Serviceaide, Inc.’de veri ihlali, yaklaşık 480.000 hastaya ait hassas bilgileri ortaya çıkarmıştır.
Yaklaşık yedi hafta boyunca uygunsuz bir şekilde güvenli bir elasticsearch veritabanı, sol isimler, sosyal güvenlik numaraları, tıbbi kayıtlar ve giriş kimlik bilgilerinin neden olduğu olay.
Adli analistler veri kötüye kullanımına dair doğrudan bir kanıt bulamasa da, maruziyet ölçeği üçüncü taraf sağlık BT sistemlerindeki sistemik güvenlik açıkları hakkında önemli endişeler doğurur.
.png
)
İhlal, Serviceaide tarafından yönetilen ve 19 Eylül 2024’te yanlışlıkla erişilebilir hale gelen yanlış yapılandırılmış bir Katolik Sağlık Elasticsearch veritabanından kaynaklandı.
Yetkisiz taraflar, Serviceaide’nin rutin bir denetim ve kısıtlı erişim sırasında güvenlik açığını keşfettiği 5 Kasım’a kadar hasta kayıtlarına teorik olarak erişebilir.
Gecikmeli tespit – 47 gün – potansiyel saldırganlara verilerden yararlanmaları için yeterli zamana izin verdi, ancak Serviceaide’nin araştırması veri açığa çıkmasının kesin bir kanıtı bulamadı.
Serviceaide, veritabanının etkinlik günlüklerini analiz etmek için üçüncü taraf bir adli firma ile uğraştı, ancak kapsamlı izleme araçlarının olmaması erişim girişimlerini izleme yeteneklerini sınırladı.
Katolik sağlığı, veritabanının olaydan önce kimlik doğrulama gerektirip gerektirmediğini veya şifreleme protokollerinin etkin olup olmadığını açıklamamıştır.
Buna karşılık, Serviceaide “ek güvenlik önlemleri” uyguladığını iddia ediyor, ancak ayrıntılar belirsiz kalıyor. ABD Sağlık ve İnsan Hizmetleri Bakanlığı (HHS), HIPAA’nın üçüncü taraf satıcı uyumluluk yönergeleri kapsamındaki ihlali gözden geçiriyor.
Geri ihlal edilen hasta bilgilerinin kapsamı
Maruz kalan veriler oldukça hassas tanımlayıcıların bir mozaiğini temsil eder: etkilenen bireylerin% 92’sinde sosyal güvenlik numaraları varken,% 100’ü tıbbi kayıt sayıları, tedavi geçmişleri ve sağlayıcı detaylarını kaybetmiştir.
31.000 hastanın bir alt kümesine de, karma şifreler de dahil olmak üzere e -posta kimlik bilgileri vardı – platformlar arasında sık sık şifre yeniden kullanımı verilen kritik bir risk.
Özellikle, veritabanı 42 CFR Bölüm 2 gibi daha katı düzenlemeler altında korunan psikiyatrik tedavi notları ve reçeteli kayıtlar içeriyordu.
Hukuk uzmanları, bunun standart HIPAA ihlallerinin ötesinde ayrı cezaları tetikleyebileceğini öne sürüyor.
Hızlı arama işlemleri için tasarlanmış bir araç olan Elasticsearch’teki verilerin yapılandırılmış formatı, ortalama saldırganlar, sistemi ihlal ettikleri takdirde kayıtları verimli bir şekilde sorgulayabilir ve dışa aktarabilir.
Katolik sağlığı, 2023 HHS’nin sağlık hizmetlerinde yükselen üçüncü taraf güvenlik açıkları hakkında uyarılmasına rağmen, Serviceaide’nin güvenlik uygulamalarını proaktif olarak denetlememek için inceleme ile karşı karşıya kaldı.
Ülke çapında 17 hastane ağına BT altyapısı sağlayan Serviceaide, diğer müşterilerin etkilenip etkilenmediği hakkında yorum yapmadı.
Azaltma önlemleri ve tüketici korumaları
Serviceaide Experian IdentityWorks aracılığıyla 24 aylık kredi izleme sunuyor, ancak eleştirmenler bunun tıbbi kimlik hırsızlığı risklerini ele alamadığını savunuyor. Hastalara şu tavsiye edilir:
- Faydaların Açıklaması (EOB) İfadeleri Sigorta sahtekarlığından önce gelen tanınmayan hizmetler için.
- Geliştirilmiş dolandırıcılık uyarıları yerleştirin Tıbbi kimlik hırsızlığı endişelerini belirleyen dil kullanan kredi büroları ile.
- Manuel Denetimler Talep Edin Kurcalamayı tespit etmek için Katolik Sağlık Gizlilik Ofisi aracılığıyla tıbbi kayıtlarından.
İhlal, sağlık satıcısı risk yönetiminde sistemik boşlukların altını çiziyor.
Önerilen çözümler, tüm üçüncü taraf veritabanları için zorunlu gerçek zamanlı izleme ve hastanelerin satıcıların güvenlik konfigürasyonlarını iki ayda bir doğrulamasını gerektiren revize edilmiş HIPAA kurallarını içerir.
Bu tür reformlar gerçekleşene kadar, hastalar güvensiz ortak sistemlerin teminat hasarına karşı savunmasız kalırlar.
Serviceaide’nin özel hafta içi çalışma saatleri çalıştırır, ancak kullanıcılar uzun süre bekleme süreleri rapor eder.
Sağlık hizmetleri ihlalleri ile yıllık% 72 artışla, bu olay, tıbbi tedarik zinciri boyunca uygulanabilir siber güvenlik standartlarına acil ihtiyacı güçlendirir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!