Dolandırıcılık Yönetimi ve Siber Suçlar , Sağlık Hizmetleri , HIPAA/HITECH
UnitedHealth Grubu Çevrimiçi SSS’ye Düşük Anahtarlı Kabul Yapıyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
18 Nisan 2024
UnitedHealthGroup ilk kez, Change Healthcare’e Şubat ayında düzenlenen fidye yazılımı saldırısının arkasındaki bilgisayar korsanlarının hassas sağlık bilgilerini ihlal ettiğini söyledi; bu, kamuya yapılan açıklamalar ve bireysel bildirim için düzenleyici bir geri sayım saatini tetikleyen bir itiraftı.
Ayrıca bakınız: Panel Tartışması | Daha hızlı pazara sunma süresi ve gelişmiş yatırım getirisi için HITRUST sertifikasyonunu hızlandırın
UnitedHealth Group, web sitesinin sık sorulan sorular bölümünde Pazartesi günü yayınlanan bir güncellemede, 21 Şubat saldırısından etkilenen verilerin “önde gelen” bir adli tıp uzmanı tarafından incelenmekte olduğunu söyledi.
Şirket, “Şu anda verilerin bir miktar kişisel sağlık bilgisi ve kişisel olarak tanımlanabilir bilgiler içerdiğini biliyoruz” dedi. “Etkilenen verilerin miktarını belirlemek için çalışıyoruz ve tespitler yapılabildiğinde etkilenen bireylere bildirim sağlamaya tamamen kararlıyız.” Change Healthcare, hasta bakıcılar ile sigorta şirketleri arasında, hasar ödemelerinin bir parçası olarak hassas bilgileri işleyen bir aracıdır. Ne yan kuruluş ne de ana şirket, yorum talebine hemen yanıt vermedi.
Şirketten gelen sade itiraf, siber suç grubu RansomHub’un bu hafta UnitedHealth Group verilerini karanlık web sitesinde satışa sunması ve başka bir fidye yazılımı grubunun (BlackCat/Alphv) bir bağlı kuruluşunun sızdırdığı veri örneklerini gösteren birkaç ekran görüntüsünü göstermesiyle geldi. saldırı (bkz: İkinci Çete, UnitedHealth Grubunu Fidye İçin Salladı).
Change Healthcare’in, fidye yazılımı korsanlarının Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası kapsamındaki hassas bilgileri ihlal edip etmediğini söyleme konusundaki tereddütü iyice derinleşti. HIPAA verilerinin ihlali, şirketin federal düzenleyicilere bildirimde bulunmasını ve ihlalin tespit edilmesinden sonraki 60 gün içinde gönderilen potansiyel olarak maliyetli bireysel bildirim gerekliliklerini gerektirmektedir.
Yasal olarak, bildirim yükü, taleplerin işlenmesi için Change Healthcare’e güvenen bireysel hastaneler, klinikler ve doktor muayenehaneleri tarafından karşılanabilir, ancak UnitedHealth Group, ihlal bildirimi yükünü üstleneceğini belirtti. Bilgisayar korsanlarının bir veritabanındaki belirli bir kayda erişip erişmediğini, bunları görüntüleyip ifşa etmediğini kesin olarak söylemek genellikle mümkün olmadığından, olayla ilgili bildirimlerin miktarı milyonlarca kişiye ulaşabilir. Bir veritabanına herhangi bir izinsiz giriş, orada bilgileri toplanan tüm kişilerin bir ihlal bildirimi alması gerektiği anlamına gelir.
Salı günü Change Healthcare saldırısıyla ilgili bir kongre duruşmasında ifade veren uzman tanıklar, siber suçluların iddialarına rağmen UnitedHealth Group’un bugüne kadar saldırıda PII ve PHI’nın tehlikeye atılıp atılmadığını kamuya açık bir şekilde doğrulamadığını söyledi (bkz: Kongre, Sağlık Hizmeti Saldırısını Değiştirmede Neyin Yanlış Gittiğini Sordu).
Ayın başlarında UnitedHealth Group, saldırıda verilerin “alındığını” doğruladı ancak saldırı sırasında potansiyel olarak tehlikeye atılan hassas kişisel, finansal ve sağlık bilgileri türlerini yalnızca analiz etmeye başladığını söyledi (bkz: UnitedHealth Grubu Büyük Saldırıda Hasta Verilerinin ‘Alındığını’ Kabul Etti).
UnitedHealth Group Pazartesi günkü güncellemesinde, etkilenen verilerin analizinin zor olduğunu söyledi. Şirket, “Change Healthcare’in kendi sistemleri olaydan etkilendiğinden ve bunlara erişim zor olduğundan bu işlem zaman alıyor, dolayısıyla verileri doğrudan Change sistemlerinden hemen almak güvenli değildi” dedi. “Yakın zamanda erişmemiz ve analiz etmemiz için güvenli bir veri seti elde ettik. İlk adım olarak ihtiyaç duyulan montaj ve sıkıştırmayı açma prosedürleri nedeniyle, verileri analiz etmeye ancak yakın zamanda başlayabilecek bir konuma ulaştık.”
“Tikkatli olmaya devam ediyoruz ve verilerinin tehlikeye girdiği tespit edilen kişilere uygun desteği sağlamaya kararlıyız” diye ekledi.