Sağlık Hizmetleri, Olay ve İhlallere Müdahale, Sektöre Özel
Kaliforniya Firması Ağustos Saldırısının Müşteri Verilerini Etkilediğini Söyledi
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
29 Ocak 2024
Çalışanlara sağlanan sosyal yardımlar, işçi tazminatları ve mülkiyet sorumluluğuyla ilgilenen Kaliforniyalı bir sigorta komisyoncusu, geçen Ağustos ayında sağlık sigortası bilgilerinin, pasaport numaralarının ve Sosyal Güvenlik numaralarının ele geçirildiği bir fidye yazılımı ve veri sızıntısı saldırısı hakkında 1,5 milyondan fazla kişiyi bilgilendiriyor.
Ayrıca bakınız: İsteğe Bağlı Panel | Operasyonel Mükemmelliği Güvenceye Alma: CISO’ları Engelleme 5 En Önemli Güvenlik Sorunu
Torrance, Kaliforniya merkezli Keenan & Associates, Pazartesi günü yapılan hackleme olayının yaklaşık 1,51 milyon kişiyi etkilediğini bildirdi.
Keenan & Associates, Bilgi Güvenliği Medya Grubu’na yaptığı açıklamada, olaydan etkilenen verilerin “belirli müşterilere ve sınırlı sayıda çalışana” ait olduğunu söyledi.
Olayda ele geçirilmesi muhtemel bilgiler arasında bireylerin isimleri; doğum tarihleri; Sosyal Güvenlik, pasaport numarası ve ehliyet gibi sayısal tanımlayıcılar; sağlık sigortası bilgileri; ve genel sağlık bilgileri.
Komisyoncu, 27 Ağustos’ta bazı Keenan & Associates ağ sunucularında bazı kesintilerin meydana geldiğini keşfettiğini söyledi. Şirket ISMG’ye “Siber güvenlik olayını belirledikten birkaç saat sonra onu kontrol altına aldık” dedi.
Keenan & Associates ayrıca FBI’a da bilgi verdi.
Yapılan soruşturmada, yetkisiz bir tarafın 21 Ağustos ile 27 Ağustos arasında yaklaşık bir hafta boyunca çeşitli zamanlarda belirli dahili sistemlere erişim sağladığı belirlendi.
Keenan & Associates, ISMG’nin saldırıdan etkilenen müşterilerin türü ve firmanın ihlali federal düzenleyicilere HIPAA ihlali olarak bildirip bildirmeyeceği de dahil olmak üzere olayla ilgili ek ayrıntı talebini reddetti.
Verileri etkilenen kuruluşun türüne bağlı olarak Keenan olayı, korunan sağlık bilgilerinin tehlikeye atılmasını içeren raporlanabilir bir HIPAA ihlali olarak kabul edilebilir veya edilmeyebilir. İsminin açıklanmasını istemeyen bir avukat, çalışanların sağlık planına ilişkin bilgilerin muhtemelen HIPAA kapsamına gireceğini, ancak işçi tazminatları veya diğer kaza sigortası türlerinin bu kapsama girmeyebileceğini söyledi.
Üçüncü Taraf Riskleri
Bazı uzmanlar, Keenan & Associates’e yönelik saldırının, sağlık sektörü ve ilgili kuruluşlara kritik hizmetler sağlayan diğer birçok firmayı rahatsız eden bir eğilimin parçası gibi göründüğünü söyledi.
Gizlilik ve güvenlik danışmanlığı Clearwater’ın CEO’su Steve Cagle, “Sigorta şirketleri, gelir döngüsü yönetimi firmaları, üçüncü taraf yöneticiler, faturalandırma şirketleri ve diğer iş ortakları yüksek oranda hedef alınıyor” dedi.
Bu tür üçüncü taraf hizmet firmalarının, sağlık hizmeti sağlayıcılarını ve ilgili kuruluşları doğrudan hedef alan aynı tür saldırıların kurbanı olduğunu söyledi. “Bu, tüm endüstrilerde gördüğümüz tekniklere çok benzer.”
Cagle, tekniklerin fidye yazılımı, veri sızıntısı, sosyal mühendislik ve BT güvenlik açıklarından yararlanmayı içeren saldırıları içerdiğini söyledi. “Bu, birçok saldırının kaynağı olmaya devam ediyor. Çok sayıda güvenlik açığı açığa çıktı” dedi.
Sorunları daha da riskli hale getiren, birçok üçüncü tarafın, özellikle de küçük firmaların “aynı olgunluk düzeyinde olmayabileceği ve dolayısıyla daha fazla güvenlik açığına sahip olabileceği” dedi. “Daha fazla maruziyete sahip olabilirler, ayrıca çok fazla veriye sahipler.”
Cagle, “Bütün bu firmaların güvenlik programlarını gerçekten desteklemeleri gerekiyor” dedi.
Gelecekte benzer türde bir olayın meydana gelmesini önlemeye yardımcı olmak için Keenan & Associates, ağının, dahili sistemlerinin ve uygulamalarının güvenliğini artırmak için tasarlanmış ek güvenlik protokolleri uygulamaya koyduğunu söyledi. “Keenan ayrıca savunmamızı daha da artırmak için atılabilecek ek adımları değerlendirmeye devam edecek.”