Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi
Büyüyen Etkilenen Bireylerin İhlal Sonrası Listesi; Daha Fazla Dava Açıldı
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
9 Ocak 2024
Etkiler artıyor ve birçok yüksek profilli sağlık verilerinin hacklenmesinde yeni gelişmeler ortaya çıkıyor. Tıbbi transkripsiyon tedarikçisi Perry Johnson and Associates, hastane zinciri Prospect Medical Holdings ve hukuk firması Orrick, Herrington & Sutcliffe LLP tarafından son haftalarda ve aylarda bildirilen veri ihlalleri, büyüyen müşteri ve birey listesini etkiliyor ve davaları tetikliyor.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditlerle Mücadelenin Sınırlamalarını Aşmak: Gerçek Güvenlik Sorunlarına Gerçek Çözümler
PJ&A, Kasım ayında bu olayın yaklaşık 9 milyon kişiyi etkilediğini federal düzenleyicilere bildirdi. O zamandan beri diğer PJ&A müşterileri hackle ilgili ihlalleri açıkladılar. Bunlardan en yenileri arasında, 3 Ocak’ta ABD Sağlık ve İnsan Hizmetleri Bakanlığı’na PJ&A saldırısının 502.000’den fazla hastayı etkilediğini bildiren Missouri merkezli North Kansas City Hastanesi ve onun bağlı kuruluşu Meritas Health Corp. yer alıyor.
Her ikisi de Ohio merkezli MercyHealth ve Salem Bölgesel Tıp Merkezi de dahil olmak üzere diğer birçok kuruluş da yakın zamanda web sitelerinde, Nevada merkezli tıbbi transkripsiyon firmasının 27 Mart ile 27 Mart tarihleri arasında gerçekleşen veri hırsızlığı saldırısından etkilenen PJ&A müşterileri arasında olduklarını belirten bildirimler yayınladı. 2 Mayıs 2023. Bu iki kurumdan hiçbiri, kaç hastasının etkilendiğini henüz kamuya açıklamadı.
Bu arada PJ&A aleyhine hackle ilgili davalar birikmeye devam ediyor. Salı günü itibarıyla şirket ve çoğu durumda ortak sanık olarak etkilenen müşterileri, ülke genelindeki çeşitli federal mahkemelerde yaklaşık üç düzine toplu dava önerisiyle karşı karşıya kaldı.
PJ&A, Bilgi Güvenliği Medya Grubu’nun olay ve davalara ilişkin yorum talebine hemen yanıt vermedi.
PJ&A ve müşterileri, artan veri ihlali sorunlarıyla mücadelede yalnız değiller.
Geçtiğimiz Ağustos ayında Kaliforniya merkezli hastane zinciri Prospect Medical Holdings’e yapılan fidye yazılımı saldırısının etkisi de genişlemeye devam ediyor.
Bir iş ortağı olarak Prospect, Eylül ayında hack olayını HHS OCR’ye 342.376 kişiyi etkileyen bir ihlal olarak bildirdi. Ancak o zamandan bu yana Prospect, web sitesinde yayınlanan ihlal bildirimlerini, olaydan etkilenen diğer kuruluşları da yansıtacak şekilde güncelledi.
Prospect’in web sitesindeki en son güncelleme, üyeleri hack’ten etkilenen yaklaşık üç düzine sağlık planını listeliyor.
Bu sağlık planları arasında AHMC Healthcare Inc., Astiva Sağlık Planı, Yepyeni Gün, CAL-Optima, Care First, Merkezi Sağlık Planı, Vatandaşın Seçimi Sağlık Planı, Akıllı Bakım, Toplum Sağlığı Planı, Connecticare, Kolay Seçim, Altın Böbrek Sağlığı Planı, Golden State Senior, Great West Healthcare, Health Net, Imperial Health Plan, Inland Empire, Intervalley, Keystone First, LA Care, MD Care Health Plan, Once Care, Pacificare, Prudential HMO, Secure Horizons, United Health Plan, United Healthcare, Universal Bakım ve Wellcare.
Güncellenen bu bildirimde Prospect, güvenlik olayının, Prospect Medical veya Prospect Medical Systems LLC dahil yan kuruluşlarının idari hizmetler sağladığı sağlık planı üyelerine ilişkin bilgileri etkilediğini söyledi.
Prospect, etkilenen sağlık planı üyelerini 28 Kasım’da bilgilendirmeye başladığını söyledi.
Kasım ayının ortasında Prospect, siber güvenlik olayının Connecticut’taki ECHN Tıp Grubunu ve Upland’deki Crozer-Chester Tıp Merkezi, Drexel Hill’deki Delaware County Memorial Hastanesi ve Taylor Hastanesi dahil olmak üzere kuzeydoğudaki birçok hastaneyi de etkilediğini belirten güncellenmiş bir ihlal bildirimi yayınladı. Ridley Park’ta, Springfield’daki Springfield Hastanesi’nde ve Chester’daki Devlet Hastanesi’nde.
Hizmet olarak Rhysida fidye yazılımı grubundaki bilgisayar korsanları, Prospect Medical’e yapılan ve hastane zincirinin BT sistemlerini, izinsiz girişin 1 Ağustos’ta keşfedilmesinin ardından birkaç hafta boyunca çevrimdışı kalmaya zorlayan saldırının sorumluluğunu üstlendi (bkz.: California Hastane Zinciri Fidye ve Hizmet Kesintisiyle Karşı Karşıya).
Olay aynı zamanda Prospect için başka zorluklara da yol açtı. Prospect’in Waterbury ve ECHN hastanelerini satın almayı planlayan Yale New Haven Health, saldırının ardından, Waterbury ve ECHN hastanelerindeki kötüleşen mali ve diğer koşulların daha da kötüleşmesi de dahil olmak üzere çeşitli nedenlerden dolayı satın almayı yeniden değerlendirdiğini söyledi. siber saldırı (bkz: Saldırı Sonrası Dire Eyaletindeki Bazı Prospect Tıp Hastaneleri).
Ancak Salı günü ISMG’ye yaptığı açıklamada Yale New Haven Health, hâlâ anlaşmayı kurtarmayı umduğunu söyledi.
Yale New Haven Health, “Sözleşmeyi başarılı bir sonuca ulaştırmak için Connecticut Sağlık Strateji Ofisi ve Prospect CT dahil tüm taraflarla görüşmeye devam ediyoruz” dedi.
Prospect, ISMG’nin yorum talebine hemen yanıt vermedi.
San Francisco merkezli hukuk firması Orrick, 29 Aralık’ta Mart ayında meydana gelen ve aralarında Delta Dental of California’nın da bulunduğu birçok müşterisini etkileyen bilgisayar korsanlığı olayından etkilenen kişi sayısını üçüncü kez güncelledi. Orrick, 2023 yılı sona ererken Maine başsavcısına bir ihlal raporu sundu ve saldırının 830 Maine sakini de dahil olmak üzere 637.620 kişiyi etkilediğini söyledi.
Orrick, hack olayını ilk olarak 30 Haziran’da HHS Sivil Haklar Bürosu’na yaklaşık 41.000 kişiyi etkileyen bir HIPAA ihlali olarak bildirdi. Firma daha sonra Temmuz ayında Maine düzenleyicilerine olayın toplam 152.818 kişiyi etkilediğini bildirdi ve daha sonra Ağustos ayında bu tahmini tekrar 461.100 olarak güncelledi, en son raporu ise sayıyı yaklaşık 177.000 kişi daha artırdı (bkz: Hukuk Bürosu Hack’i Daha Önceki Bir İhlalin Mağdurlarını Yeniden Etkiliyor).
21 Aralık’ta Orrick, ABD Kaliforniya Kuzey Bölgesi Bölge Mahkemesine, bilgisayar korsanlığı olayıyla ilgili davanın devam etmesi için “kalmak” için önerilen bir anlaşmaya ilişkin bildirimde bulundu.
Ayrıntıları kamuya açıklanmayan teklif edilen anlaşma, bilgisayar korsanlığı olayının ardından firmaya karşı açılan önerilen dört toplu davayı çözüme kavuşturuyor.
Orrick, Salı günü ISMG’ye anlaşmaya ilişkin yaptığı açıklamada, “Bu kötü niyetli olayın yol açtığı rahatsızlık ve dikkat dağınıklığından üzüntü duyuyoruz.” dedi.
“Müşterilerimiz, verileri etkilenen kişiler ve ekibimiz için sorunu mümkün olan en kısa sürede çözmeyi önceliğimiz haline getirdik. Olayın üzerinden bir yıl geçmeden bir anlaşmaya vardığımız için mutluyuz, bu da meseleyi sona erdiriyor , sistemlerimizi ve müşterilerimizin ve firmamızın bilgilerini korumaya devam etmeye devam edeceğiz.”
Peki neden etkilenen bireylerin ve müşterilerin kayıtları, vakaların ilk kez rapor edilmesinden çok sonra bile büyük sağlık verisi ihlallerinde sıklıkla artıyor? Uzmanlar, birçok faktörün devreye girdiğini söylüyor.
Danışmanlık firması tw-Security’nin ortaklarından Wendell Bobst, “Bir kuruluş ihlal edildiğini keşfettiğinde derhal bir sınırlama ve yok etme sürecine başlar” dedi. “Geliri ve imajı eski haline getirmek için sistemleri tekrar çevrimiçi hale getirmek genellikle üst düzey yöneticilerin en önemli hedefleridir. Hangi kanıtların korunacağını ve muhafaza edileceğini bilmek şu anda ikinci planda kalabilir” dedi.
Bobst, diğer bir faktörün genellikle etkinin boyutu ve zararın belirlenmesi hakkında yapılan varsayımlarla ilgili olduğunu söyledi. “Bazı kayıtlarda sadece isim ve adres yer alırken, bazılarında SGK numarası, doğum tarihi vb. bilgiler yer alıyor. Yasal ve bildirim süreçleri başlıyor. Bu arada adli tıp uzmanları, ek veri tabanlarının keşfedilmesini de içerebilecek ipuçları aramaya devam ediyor. önceki yıllara ait raporlar/özetler ve elektronik tablo raporları.”
Son olarak, şüpheli faaliyet bildiren kuruluşların sıklıkla yanıtlar için üçüncü taraflara bakmaya başladığını söyledi.
Bobst, “Soruşturma devam ettikçe ihlalin kapsamı büyüyebilir. Örneğin, başlangıçta yalnızca bir veya birkaç sisteme yetkisiz bir şekilde erişildiği düşünülebilir, daha sonra daha fazlasına erişildiği keşfedilebilir” dedi.
“Bu, özellikle kuruluşların sağlam bir denetim günlüğüne sahip olmadığı veya günlük tutma sürelerinin kısa olduğu ve etkili soruşturmayı engellediği durumlarda geçerlidir.”