İhlal Bildirimi, Sağlık Hizmetleri, Sektöre Özel
2 Uzmanlık Uygulamasına İlişkin Hack’ler Giderek Hedeflenen Grup Türlerinde Son Gelişmeler
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
25 Kasım 2024
Illinois’teki bir gastroenteroloji muayenehanesi ve Kaliforniya’daki bir akciğer muayenehanesi, hastalarının hassas sağlık bilgilerine sahip olduğunu iddia eden siber suçluların hedef aldığı en son tıbbi uzmanlık grupları arasında yer alıyor.
Ayrıca bakınız: Fidye Yazılımı ve Gasp Saldırılarını Azaltmaya Yönelik Uzman Kılavuzu
Bu iki olay, yaklaşık 148 çalışanı ve iki düzineden fazla doktor ve Rockford, Illinois merkezli, sindirim ve ilgili tıbbi konularda uzmanlaşmış diğer klinisyenlerin çalıştığı bir muayenehane olan Rockford Gastroenterology Associates’i kapsamaktadır; ve solunum ve uyku bozuklukları konusunda uzmanlaşmış, Riverside, Kaliforniya merkezli bir muayenehane olan Pacific Pulmonary Medical Group.
Bu olaylar, 2024 yılında bugüne kadar diğer tıbbi uzmanlık muayenehanelerine yönelik düzinelerce benzer saldırı arasında yer alıyor.
Doktor muayenehanesi yönetim ekibinin gizlilik ve güvenlikten sorumlu danışmanlık hizmetleri direktörü Jaime Cifuentes, “Özel tıbbi muayenehaneler fidye yazılımı saldırılarının ana hedefleridir; son veriler, Ağustos ve Ekim ayları arasındaki bu tür olayların %46’sının bu kuruluşlara yönelik olduğunu gösteriyor” dedi. firması Clearwater.
“Tıbbi kayıtların yüksek değeri, özel tıbbi uygulamaları siber suçlular için çekici hedefler haline getiriyor. Daha küçük uygulamalar, sağlam siber güvenlik savunmalarından yoksun olabilir, bu da veri ihlali riskini ve başarılı saldırı potansiyelini artırabilir.”
Rockford, hackleme olayını 30 Ekim’de federal düzenleyicilere bildirdi. Olay, Aralık 2023’te meydana geldi ve 147.000’den fazla hastayı etkileyen bir ağ sunucusunu içeriyordu. Rockford’un raporu geçen hafta ABD Sağlık ve İnsani Hizmetler Bakanlığı’nın HIPAA İhlali Raporlama Aracı’nın halka açık web sitesinde 500 veya daha fazla kişiyi etkileyen büyük ihlalleri listeleyerek yayınlandı.
RA World olarak da bilinen fidye yazılımı grubu RA Group, karanlık web sitesinde, yaklaşık bir yıl önce tıbbi muayenehanenin fidye ödemeyi reddettiği iddiasının ardından saldırıda çalınan Rockford’un yaklaşık 56 gigabaytlık hasta verisini sızdırdığını iddia ediyor.
Rockford, ihlal bildiriminde ağ ortamının bir kısmının Aralık 2023’teki bir siber saldırıdan etkilendiğini söyledi.
Olayla ilgili soruşturmada, olayda Rockford’un elektronik sağlık kayıtları sisteminin güvenliğinin ihlal edilmediği ancak yetkisiz tarafın 16 Aralık 2023 veya civarında, etkilenen diğer sistemlerdeki bazı yapılandırılmamış veri dosyalarına ve klasörlerine eriştiği belirlendi.
Rockford’un ihlal bildiriminde fidye yazılımı grubundan veya iddialarından bahsedilmiyor. Rockford, Information Security Media Group’a yaptığı açıklamada, tıbbi grubun, fidye yazılımı sistemlerini ve verilerini şifrelemeden önce olayı kontrol altına alabildiğini ve saldırının Rockford’un normal iş operasyonlarını aksatmadığını söyledi.
Açıklamada, “RGA, 4 Eylül’de ele geçirilen dosyaların sınırlı sayıda kişiye ait kişisel bilgiler içerdiğini belirledi. Daha sonra RGA, olayla ilgili bildirimi web sitemizde yayınladı ve etkilenen kişilere mümkün olan en kısa sürede bildirim sağlamak için çalıştı.” .
Açıklamada, Rockford’un olay sonucunda kimlik hırsızlığı veya dolandırıcılık meydana geldiğine dair hiçbir kanıt bulunmadığı belirtildi. “Gelecekte benzer bir ihlalin meydana gelmesini önlemek için atılan adımlar, bunlarla sınırlı olmamak üzere, mevcut güvenlik operasyonları merkezi platformumuza yönetimli tespit ve yanıtın uygulanmasını, şifre değişikliklerini, şifreleme teknolojilerinin benimsenmesini, yeni teknik önlemlerin uygulanmasını, politikaların gözden geçirilmesini ve Bildiride, prosedürler ve işgücü üyelerinin eğitiminin ilerletilmesi” ifadeleri kullanıldı.
Pazartesi günü itibariyle, birçok hukuk firması olası toplu davalar için olayı araştırdıklarına dair kamuya duyurular yayınlayarak olası davalar için Rockford’u kuşatmaya başlamıştı.
Hukuk firması Console & Associates tarafından yayınlanan bir bildiride, “Veri ihlali avukatlarımız, Rockford Gastroenterology Associates veri ihlali mağdurlarıyla, ne tür zararlara maruz kaldıklarını ve onlara ne tür tazminat sağlanabileceğini belirlemek için konuşmaya isteklidir” denildi.
Rockford bilgisayar korsanlığı ihlaliyle uğraşırken, başka bir fidye yazılımı grubu Everest, veri sızıntısı web sitesinde başka bir tıbbi uzmanlık grubunu – Pacific Pulmonary – çetenin en son veri hırsızlığı kurbanlarından biri olarak listeledi.
Diğer Saldırılar
Databreaches.net, Everest’in Ekim ayı başlarında gerçekleşen bir saldırının ardından 25 Ekim’de Pacific Pulmonary’yi karanlık web sitesine eklediğini bildirdi. Sızan veriler arasında, sigorta kartları ve sürücü ehliyetlerinin görüntülerinin yanı sıra demografik ve ilgili bilgileri içeren dosyalar da dahil olmak üzere 2021 ile 2024 yılları arasına tarihlenen çeşitli hasta bilgileri yer alıyor.
Pazartesi itibarıyla Pacific Pulmonary, düzenleyicilere bir veri güvenliği olayı bildirmiş gibi görünmüyor ve web sitesinde bir ihlal bildirimi yayınlamadı. Pacific Pulmonary, ISMG’nin Everest’in iddiaları ve görünürdeki veri güvenliği olayıyla ilgili ayrıntılar hakkında yorum yapma talebine hemen yanıt vermedi.
HHS’nin Sivil Haklar Ofisi ihlal raporlama web sitesi, onkoloji, ortopedik göz bakımı, üreme sağlığı ve diğer birçok uzman gibi tıbbi uzmanlık uygulamaları tarafından 2024’te şimdiye kadar bildirilen düzinelerce dahil olmak üzere, tıbbi özel grupları içeren yüzlerce büyük bilgisayar korsanlığı olayıyla doludur. .
Bazı uzmanlar, tıbbi uzmanlık uygulamalarının siber suçlular için genellikle çekici ve kolay ulaşılan hedefler olduğunu söylüyor. The Marblehead Group’un gizlilik ve güvenlik danışmanlığı başkanı Kate Borten, son derece hassas hasta bilgilerini işleyen ve saklayan bu tür pek çok tıbbi uygulamanın, şirket içi siber güvenlik uzmanlığının eksikliğiyle birleştiğinde, onları genellikle savunmasız kurbanlar haline getirdiğini söyledi.
Bu uygulamaların genellikle son derece uzmanlaşmış verilere ve daha az sağlam güvenlik ve gizlilik programlarına sahip olduğunu söyledi. “Bu saldırıların çoğu kimlik avı ile başlıyor ve içerideki biri yemi yutuyor” dedi. “İşgücü eğitimi yalnızca HIPAA tarafından gerekli değildir, aynı zamanda saldırıları engellemede de önemli bir faktördür.”
Diğer uzmanlar da aynı fikirde. Cifuentes, “Sağlık ekosistemindeki diğer uygulamalar gibi tıbbi uygulamalar da dijital dönüşümü benimsiyor, buluta daha fazla veri aktarıyor ve bakımın sürekliliğini artırmak için verileri başkalarıyla paylaşıyor.” dedi.
“Bu yenilikler hizmet sunumunu geliştiriyor, ancak aynı zamanda yeni siber güvenlik risklerini de beraberinde getiriyor. Birçok küçük uygulama, tüm varlıklarını takip edip yönetecek, verilerin nerede ve nasıl kullanıldığını ve neyin en kritik olduğunu anlayacak yetenekli personele, araçlara veya kaynaklara sahip değil. Operasyonlara katılıyorlar ve tüm potansiyel güvenlik sorunlarını belirlemek ve en önemli olanları düzeltmek için çabalıyorlar” dedi.
Güvenlik firması Lumifi’nin saha CISO’su Mike Hamilton, bu arada siber suç çeteleri arasındaki rekabetin de bu tür saldırıları körüklediğini söyledi.
“Görünüşe göre bazı fidye yazılımı grupları ‘piyasayı aşağı çekiyor’ ve özel tıbbi uygulamalara saldırıyor” dedi. “Daha küçük olmaları ve güvenlik kontrollerine daha az kaynak ayırabilmeleri nedeniyle bunlar muhtemelen daha yumuşak hedeflerdir. Aynı zamanda suç örgütleri arasında rekabet de olabilir; kurbanların farklılaşması, ICP’ye benzemez, ideal müşteri profilidir.”
Hamilton, bu çetelerin aynı zamanda kayıtları çalınan hastalarla doğrudan temasa geçip onları doğrudan gasp ettiklerinin de bilindiğini ve “bunun da başka bir kayıp yol olabileceğini” söyledi. “Bu suçlular, faaliyetlerinden ellerinden geldiğince para kazanacak ve doğrudan temas hala mümkün.”
Ancak elbette bu tür saldırılar açısından risk altında olan yalnızca daha küçük uzmanlık gerektiren tıbbi uygulamalar değildir. Cifuentes, “Daha büyük uygulamalarda da güvenlik boşlukları mevcut. Siber güvenlik finansmanı ve araçları mevcut olsa da, yetenekli güvenlik profesyonellerini, özellikle de artan bulut güvenliği riskleri hakkında bilgi sahibi olanları bulmak ve elde tutmak, devam eden bir mücadeledir” dedi.
Cifuentes, tıbbi uzmanlık sağlayıcı alanında meydana gelen yoğun birleşme ve satın alma faaliyetlerinin de işleri karmaşık hale getirdiğini söyledi.
“Birleşmeler ve satın almalar, bir saldırganın bunları istismar etmesini bekleyerek güvenlik açıklarının gizlenebileceği çatlaklar oluşturabilir. Bu çatlaklardan bazıları, genellikle birden fazla konum ve çeşitli bilgi sistemleri, programlar ve dijital varlıklar içeren yeni uygulamalar eklemenin zorluklarından oluşuyor” dedi. . “Bu sistemlerin temel siber güvenlik kontrollerinden yoksun olması ve bilinmeyen riskler yaratması yaygındır.”