Sağlık Hizmetleri, HIPAA/HITECH, Olay ve İhlallere Müdahale
Veri Hırsızlığı Olayı da Yaklaşık Bir Ay Boyunca BT Sistemlerini aksattı
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
6 Ocak 2025
New York Staten Island’da bulunan 440 yataklı bir eğitim hastanesi olan Richmond Üniversitesi Tıp Merkezi, 18 ay önce meydana gelen bir veri hırsızlığı konusunda 674.000 kişiyi bilgilendiriyor. İhlal, 2023 baharında kuruluşun BT sistemlerini birkaç hafta boyunca kesintiye uğratan bir fidye yazılımı saldırısının parçasıydı.
Ayrıca bakınız: Panel Tartışması | Daha hızlı pazara sunma süresi ve gelişmiş yatırım getirisi için HITRUST sertifikasyonunu hızlandırın
Merkez, veri ihlalini 19 Aralık 2024’te bildirdi ve federal düzenleyicilere gönderdiği bir bildirimde, üçüncü taraf siber güvenlik uzmanlarının olaya müdahale edilmesine ve ihlalin soruşturulmasına yardımcı olduğunu belirtti.
RUMC, “İlk adli soruşturma, elektronik sağlık kayıt sistemimizin olaydan etkilenmediğini belirlemesine rağmen, daha sonra soruşturma, 6 Mayıs 2023 veya civarında başka bazı dosyalara ağımızdan erişilmiş veya ağımızdan kaldırılmış olabileceğini belirledi.” dedi.
Hastane, etkilenen dosyaları “herhangi bir hassas kişisel bilgi veya kişisel sağlık bilgisi içerip içermediğini belirlemek için” manuel olarak inceledi.
RUMC’nin inceleme süreci, ele geçirilen dosyalardan en az birinin, tam adlar ve diğer tanımlayıcılardan biri de dahil olmak üzere hasta bilgilerini içerdiğini belirledi. Buna Sosyal Güvenlik numaraları, doğum tarihleri, ehliyet numaraları veya devlet kimlik numaraları, diğer resmi kimlik numaraları, mali hesap bilgileri, kredi veya banka kartı bilgileri, biyometrik bilgiler, kullanıcı kimlik bilgileri, tıbbi tedavi ve teşhis bilgileri ve sağlık sigortası poliçesi bilgileri dahildir. .
Yerel medya kuruluşu Staten Island Live’a göre olay, yaklaşık bir ay boyunca RUMC’nin hastanesi ve ayakta tedavi tesislerinde bağlantı ve kayıtlara erişimi kesintiye uğratan yaygın bir BT kesintisine neden oldu.
Merkez, Bilgi Güvenliği Medya Grubu’nun yorum talebine ve saldırının ardından kişileri bilgilendirmeye başlamanın neden 18 aydan fazla sürdüğü de dahil olmak üzere ihlalle ilgili ek ayrıntılara hemen yanıt vermedi.
Bazı uzmanlar, birçok sağlık sektörü kuruluşunun olaylara müdahale konusunda zorluk yaşadığını ve bir ihlalin tespit edilmesi ile etkilenen kişilere bildirimde bulunulması arasında uzun gecikmeler yaşandığını söyledi.
HIPAA ihlal bildirimi kuralı, kapsam dahilindeki kuruluşların, korunan sağlık bilgilerinin tehlikeye girdiğini keşfettikten sonra etkilenen bireyleri 60 gün içinde bilgilendirmesini ve ayrıca 500 veya daha fazla kişiyi etkileyen bu tür olayları aynı zaman dilimi içinde federal düzenleyicilere raporlamasını gerektirir.
Yönetilen bulut ve siber güvenlik hizmetleri sağlayıcısı Neovera’nın güvenlikten sorumlu başkan yardımcısı Paul Underwood, “Birçok kuruluş, bir ihlal sırasında meydana gelen şeyin sonucunu belirleme becerisine sahip değil” dedi.
“Hastaneler gibi kritik altyapı kuruluşları için bu beceri ve bütçe eksikliği, kötü niyetli bir olay sırasında ne olduğunu belirleme sürecinin yavaş olmasına yol açıyor” dedi.
Sigorta şirketlerinin bu maliyetlerin çoğunu karşılamadığını da sözlerine ekledi, “Dolayısıyla kötü niyetli bir aktörün yaptıklarını araştıracak bütçeleri yok. Bazen, ne yaptığını tespit edene kadar haftalarca, aylarca, hatta yıllarca sistemleri inceleyerek harcamak zorunda kalıyorlar.” Kötü niyetli bir aktör dokunmuş olabilir.”
Diğer uzmanlar, sağlık kuruluşlarının bir veri hırsızlığı olayına veya başka bir ihlale daha iyi yanıt verilmesine yardımcı olmak için önleyici adımlar atabileceğini, böylece etkilenen bireylerin daha zamanında bilgilendirilebileceğini söyledi.
Güvenlik firması Semperis’in olay müdahale direktörü Jeff Wichman, “İlk olarak, sağlık kuruluşları depolanan veri miktarını en aza indirmeli ve ikinci olarak gerçekten hassas bilgileri kolay erişimden izole etmelidir” dedi.
Altyapılarının ve verilerinin “kademeli modelinin” en hassas verileri izole etmelerine olanak sağlayacağını önerdi.
“Ayrıca sağlık kuruluşlarının, saldırganların saldırı sırasında aradıkları kolay erişimi azaltmak için sağlam bir Active Directory modeli oluşturması gerekiyor” dedi. “Fidye yazılımı saldırılarının %90’ının kimlik sisteminin tehlikeye girmesine yol açtığı göz önüne alındığında, kuruluşların kimlik sistemi güvenliğine öncelik vermesi çok önemlidir.”
RUMC, hastaları bilgilendirmenin yanı sıra, son haftalarda açılan birkaç dava da dahil olmak üzere, olayla bağlantılı önerilen federal toplu davalarla karşı karşıya bulunuyor. Tamamı mali tazminat talep eden ve benzer iddialarda bulunan davalar, RUMC’nin bireylerin hassas sağlık ve kişisel bilgilerini koruma konusunda ihmalkar davrandığını iddia ediyor.