3. Taraf Risk Yönetimi, İhlal Bildirimi, Siber Suçlar
Concentra Health Services, Transcriber’ın Veri İhlalinden Etkilenenler Listesine Katıldı
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
26 Ocak 2024
Teksas merkezli bir fiziksel ve mesleki terapi sağlayıcısı, yaklaşık 4 milyon hastaya, geçen yıl Nevada’daki bir tıbbi transkripsiyon satıcısında meydana gelen veri hırsızlığı olayının artan mağdurları listesine katıldıklarını bildiriyor.
Ayrıca bakınız: İsteğe Bağlı Panel | Operasyonel Mükemmelliği Güvenceye Alma: CISO’ları Engelleme 5 En Önemli Güvenlik Sorunu
Concentra Health Services, 9 Ocak’ta ABD Sağlık ve İnsani Hizmetler Bakanlığı’na, Perry Johnson & Associates’in 2023’teki hacklenmesinin 3,9 milyon hastayı etkilediğini bildirdi. Tıbbi transkriptçinin ele geçirilmesi, en az 14 milyon hastanın kişisel verilerini açığa çıkarmış gibi görünüyor ve bu sayı giderek artıyor (bkz.: Medical Transcriber’ın Hack İhlali En Az 9 Milyon Kişiyi Etkiledi).
PJ&A, Kasım ayında HHS Sivil Haklar Ofisi’ne bilgisayar korsanlığı olayının yaklaşık 9 milyon kişiyi etkilediğini bildirdi. Şimdiye kadar giderek artan sayıda kuruluş, etkilenen PJ&A müşterileri arasında olduklarını açıkladı.
PJ&A, saldırıdan etkilenen tüm müşterilerinin isimlerini kamuya açıklamamış olsa da, etkilenen diğer bazı kuruluşlar gibi Concentra da PJ&A tarafından sunulandan ayrı olarak HHS OCR’a kendi ihlal raporunu sundu. Tıbbi metin yazarı, çeşitli müşterilerin HHS OCR’ye kendi başlarına sundukları ayrı ihlal raporları göz önüne alındığında, saldırıdan etkilenen toplam kişi sayısını açıklamadı. Ancak bu toplamın şu ana kadar en az 14 milyon kişi olduğu görülüyor.
New York’un en büyük sağlık hizmeti kuruluşu olan Northwell Health de geçen sonbaharda birkaç PJ&A müşterisi arasında yer aldı ve kendisinin de olaydan etkilendiğini, yaklaşık 3,9 milyon hastanın etkilendiğini açıkladı; bu ihlal, Concentra’nın PJ&A uzlaşmasıyla neredeyse bağlantılıydı. çok sayıda hasta etkilendi.
New York’taki bir diğer büyük sağlık hizmeti sağlayıcısı Crouse Health, açıklanmayan sayıda hastasının PJ&A olayından etkilendiğini bildirdi.
PJ&A saldırısı, Kasım ayında New York başsavcısını, olayın ardından etkilenen hastaların karşılaşabileceği potansiyel kimlik hırsızlığı ve dolandırıcılık riskleri hakkında kamuya açık bir uyarı yayınlamaya yöneltti (bkz: NY AG, Tıbbi Transkripsiyon Hackinde Kimlik Hırsızlığı Riski Konusunda Uyardı).
Bu arada, PJ&A’ye karşı hacklemeyle ilgili davalar birikmeye devam ediyor. Cuma günü itibarıyla federal mahkeme kayıtları, son aylarda PJ&A aleyhine 40’tan fazla toplu dava önerildiğini ve bazılarının şirketin çeşitli müşterilerini ortak davalı olarak gösterdiğini gösteriyor.
Geçtiğimiz hafta Nevada’da PJ&A ve Ohio merkezli Mercy Health’e (olaydan etkilenen başka bir tıbbi transkripsiyon müşterisi) karşı açılan böyle bir önerilen federal toplu dava şikayeti, hastaların hassas bilgilerini korumadaki başarısızlıklarından dolayı kuruluşlara karşı ihmal ve diğer iddiaları iddia ediyor.
PJ&A, düzinelerce başka davada da benzer iddialarla karşı karşıya; bu davaların çoğu, şirketin veri güvenliğini artırmak için mali tazminat ve ihtiyati tedbir kararları talep ediyor.
Concentra, PJ&A olayıyla ilgili web sitesinde yayınlanan bir ihlal bildiriminde, etkilenen bireyleri “olağandışı faaliyetler için hesap özetlerini, kredi raporlarını ve yardım formlarının açıklamalarını inceleyerek ve hataları tespit ederek kimlik hırsızlığı olaylarına karşı dikkatli olmaya” teşvik etti.
Concentra, Information Security Media Group’un PJ&A ihlaliyle ilgili ek ayrıntılara yönelik talebine (terapi sağlayıcısının hastalarının kimlik hırsızlığı veya hacklemeyle bağlantılı olabileceğinden şüphelendikleri dolandırıcılık olaylarını bildirip bildirmedikleri dahil) hemen yanıt vermedi.
PJ&A, ihlal bildiriminde “yetkisiz bir tarafın” 27 Mart 2023 ile 2 Mayıs 2023 tarihleri arasında şirketin ağına erişim sağladığını ve bu süre zarfında davetsiz misafirin PJ&A sistemlerinden belirli dosyaların kopyalarını aldığını söyledi.
Şirket, bu olayın PJ&A’nın sağlık hizmeti müşterilerinin herhangi bir sistemine veya ağına erişimi içermediğini söyledi. Ayrıca PJ&A, ihlalden etkilenen bilgilerin kredi kartı bilgileri, banka hesap bilgileri veya kullanıcı adları veya şifreleri içermediğini söyledi.
Olaydan etkilenen dosyalar, belirli kişilerin adı, doğum tarihi, adresi, tıbbi kayıt numarası, hastane hesap numarası, hastaneye kabul teşhisi ve hizmet tarih ve saatleri dahil olmak üzere kişisel sağlık bilgilerini içeriyordu.
Bazı kişiler için, etkilenen bilgiler aynı zamanda Sosyal Güvenlik numarasını, sigorta bilgilerini ve tıbbi transkripsiyon dosyalarından laboratuvar ve teşhis testi sonuçları, ilaçlar, tedavi tesisinin adı ve sağlık hizmeti sağlayıcılarının adı gibi klinik bilgileri de içerir.
Ana Hedefler
Bazı uzmanlar, tıbbi transkripsiyon firmalarının kendilerini bilgisayar korsanları için potansiyel hedefler haline getiren bir takım doğal özelliklere sahip olduğunu söyledi.
Birincisi, gizlilik ve güvenlik danışmanlığı The Marblehead Group’un başkanı Kate Borten, tıbbi transkripsiyon işinin “dolandırıcılık ve şantaj da dahil olmak üzere çeşitli suçlar için kullanılabilecek büyük miktarda ayrıntılı, hasta tanımlı veriye” sahip olduğunun bilindiğini söyledi.
Hastaların, teşhisleriyle ilgili ürünlerin dolandırıcılık amaçlı satışına maruz kalabileceğini veya verilerin sahte iddialarda bulunmak için kullanılabileceğini söyleyen yetkili, “hastaların tıbbi bilgileri gizli tutmak için bir suçluya para ödemeye istekli olabileceğini” de sözlerine ekledi.
Borten, tarihsel olarak birçok tıbbi transkripsiyon şirketinin “zayıf, minimum düzeyde güvenlik ve gizlilik kontrollerine sahip, onları kolay hedefler haline getiren ana ve popüler işletmeler” olduğunu söyledi. Büyük hacimli ayrıntılı hasta verilerini depolayan veya bunlara erişimi olan herhangi bir sağlık sektörü çalışanının, veri hırsızlığı içeren saldırılara karşı daha yüksek risk altında olduğunu da sözlerine ekledi.
Borten, “Birden fazla kapsam dahilindeki kuruluşlara hizmet sağlayan bu tür ‘arka oda’ iş ortakları var. Örneğin, hasta kayıt taleplerini işleyen şirketler genellikle hastaların belirlenmiş kayıt setlerinin çoğuna veya tamamına erişime sahiptir.” dedi. Bu durum, bu firmaları bilgisayar korsanlarının ve diğer tehdit aktörlerinin hedefi haline getiriyor.
“Bu tür yüksek riskli iş ortakları, kapsam dahilindeki kuruluşlar ve üst düzey iş ortakları tarafından belirlenmeli ve ardından gizlilik ve güvenlik politikaları ve prosedürlerinin ayrıntılı olarak incelenmesi için önceliklendirilmelidir” dedi.
“Bazı durumlarda kapsam dahilindeki bir kuruluş, daha sağlam bir imha politikası ve veri segmentasyonu gibi teknik değişiklikler gibi iyileştirmeler önerebilir veya talep edebilir. İş ortakları bu tür tavsiyeleri hem ihlal riskini azaltma hem de ihlal riskini azaltma açısından işletmeleri için faydalı olarak görmelidir. Şirketin profilini geliştiriyoruz.”
PJ&A, Bilgi Güvenliği Medya Grubu’nun yorum talebine hemen yanıt vermedi.