Dolandırıcılık Yönetimi ve Siber Suçlar , Sağlık Hizmetleri , Sektöre Özel
Yakındaki Üniversitenin Sağlık Bilimleri Merkezinde de BT Kesintisi Yaşanıyor
Marianne Sosis McGee (SağlıkBilgi Güvenliği) •
30 Eylül 2024
Birinci düzey bir travma merkezi ve bir çocuk hastanesini de içeren Lubbock, Teksas merkezli bir halk sağlığı sistemi olan Üniversite Tıp Merkezi, geçen sonlarında gerçekleşen bir fidye yazılımı saldırısının ardından bazı hasta hizmetlerini etkileyen BT kesintisini onarmaya çalışırken ambulansları yönlendiriyor. hafta.
Ayrıca bakınız: İşletmenizin Başarısını Artırmaya Yönelik Varsayılan Olarak Güvenli Strateji
UMC’nin klinikleri ve doktor muayenehaneleri de dahil olmak üzere sağlık tesisleri açık kalmaya devam ediyor, ancak web sitesinde yayınlanan bir UMC duyurusuna göre, olayın Perşembe günü tespit edilmesinden bu yana bazı departmanlar ve sağlayıcılar kesinti prosedürleri uyguluyor.
UMC, “Hastalar gecikmelerle karşılaşabilir. Lütfen tıbbi reçete listenizi yanınızda getirin.” dedi. Acil olmayan laboratuvar ve radyoloji randevuları da erteleniyor. Bildiride, “Kliniklere telefon ve portal aracılığıyla erişim garanti edilmiyor, bu nedenle lütfen acil yardım için kliniğe gelin” denildi.
UMC, “Ek olarak ve çok dikkatli bir şekilde, gelen acil durumdaki ve acil olmayan hastaları, sistemlerimize yeniden erişim sağlanıncaya kadar geçici olarak ambulans aracılığıyla yakındaki sağlık tesislerine yönlendiriyoruz.” dedi. “Yaklaşan bir randevuyla ilgili sorularınız varsa lütfen sağlayıcınızı arayın veya kontrol edin.”
UMC, hizmetlerin tam olarak eski haline getirilmesi için tahmini bir zaman çizelgesinin bulunmadığını söyledi. “Hastalarımızda ve kritik hizmetlerimizde herhangi bir kesintiyi en aza indirmek için mümkün olan her yerde kesinti prosedürlerini ve düzenlemeleri uyguladık. Operasyonlarımızı hasta güvenliğini göz önünde bulundurarak dikkatle değerlendirmeye devam ediyoruz. Hizmetleri ancak güvenli görüldüğünde yeniden başlatacağız. “
UMC aynı zamanda BT kesintisi yaşayan yakınlardaki Texas Tech Üniversitesi Sağlık Bilimleri Merkezi’nin de ana eğitim hastanesidir.
İki olayın bağlantılı olup olmadığı henüz bilinmiyor. Ne UMC ne de TTUHSC, Bilgi Güvenliği Medya Grubu’nun kesintilerle ilgili ayrıntılı bilgi taleplerine hemen yanıt vermedi.
TTUHSC Pazartesi günü Facebook’ta yaptığı bir paylaşımda bunun “bir BT sorunu üzerinde çalıştığını” ve bir sonraki duyuruya kadar ekip üyelerinin ve öğrencilerin TTUHSC elektronik kaynaklarına erişemeyeceklerini söyledi.
TTUHSC, “30 Eylül’de TTUHSC kampüslerinde ve tesislerinde sınırlı klinik operasyonlar gerçekleştirilecek ve akademik operasyonlar yapılmayacaktır. Denetçiler, kimin iş için rapor vermesi gerektiği konusunda ekip üyeleriyle iletişim halinde olacak” dedi.
İnceleniyor
UMC, son haftalarda ve aylarda hasta bakım hizmetlerini kesintiye uğratan fidye yazılımı saldırılarına maruz kalan en son sağlık sistemleri arasında yer alıyor.
Missouri merkezli hastane zinciri Ascension ve Michigan merkezli McLaren Health System, sırasıyla Mayıs ve Ağustos aylarında fidye yazılımı saldırılarına maruz kaldı ve bunun sonucunda elektronik sağlık kayıtları gibi klinik sistemleri etkileyen BT kesintileri birkaç hafta boyunca çevrimdışı kaldı.
Düzenleyiciler ve yasa yapıcılar, özellikle Change Healthcare’e Şubat ayında düzenlenen ve binlerce sağlık sektörü kuruluşunu haftalarca kesintiye uğratan fidye yazılımı saldırısının ardından, bu tür olayların kurbanı olan sağlık kuruluşları üzerindeki incelemelerini yoğunlaştırıyor.
Geçtiğimiz iki yıl boyunca ABD Sağlık ve İnsani Hizmetler Bakanlığı, fidye yazılımı saldırılarının neden olduğu ihlaller nedeniyle kuruluşlara ceza kesiyor. DHS, bir fidye yazılımı olayıyla ilgili soruşturmanın ardından HIPAA tarafından düzenlenen kuruluşlara karşı bugüne kadar dördüncü yaptırım eylemini gerçekleştirdi.
HHS’nin Sivil Haklar Ofisi, elektronik korumalı sağlık bilgileri içeren 291.000 dosyayı etkileyen bir fidye yazılımı ihlalinin ardından Washington eyaleti merkezli Cascade Göz ve Cilt Merkezlerine karşı 250.000 dolarlık bir mali ceza ve düzeltici eylem planı uyguladı.
HHS OCR’nin olayla ilgili soruşturması, Cascade Göz ve Cilt Merkezlerinin HIPAA güvenlik riski analizi yapmadığını ortaya çıkardı. Bu analiz, sistemlerindeki ePHI’ye yönelik potansiyel riskleri ve güvenlik açıklarını belirleyecekti. Merkez ayrıca, bir siber saldırıya karşı korunmak için sağlık bilgi sistemlerinin aktivitesinin yeterli şekilde izlenmesinden de yoksundu.
Cascade Göz ve Cilt Merkezleri, mali cezayı ödemeyi ve HHS OCR ile yapılan anlaşma kapsamında PHI çevresindeki güvenlik ve gizlilik uygulamalarını iyileştirmek için bir dizi önlem uygulamayı kabul etti. Bu, ePHI içeren sistemlere zarar veren acil durumlara veya diğer olaylara müdahale etmek için politika ve prosedürler geliştirmeyi içerir.
ABD DHHS OCR direktörü Melanie Fontes Rainer yaptığı açıklamada, “Siber suçlular fidye yazılımı saldırılarıyla sağlık sektörünü hedeflemeye devam ediyor” dedi. “Elektronik olarak korunan sağlık bilgilerine yönelik riskleri tam olarak değerlendirmeyen ve elektronik sağlık kayıt sistemindeki faaliyetleri düzenli olarak gözden geçirmeyen sağlık kuruluşları, kendilerini saldırılara karşı savunmasız bırakıyor ve hastalarını gereksiz zarar risklerine maruz bırakıyor” dedi.
“Elektronik korumalı sağlık bilgilerinin gizliliğinin sağlanması, sağlık bilgilerinin mahremiyetinin korunması açısından kritik öneme sahiptir ve sağlık sektöründe ulusal güvenliğimizin ayrılmaz bir parçasıdır.”
Bu arada, geçen hafta iki Demokrat milletvekili – Senato Finans Komitesi Başkanı Ron Wyden, D-Ore. ve Sen. Mark Warner, D-Va. – Özellikle ulusal güvenlik açısından kritik kabul edilenler olmak üzere sağlık sektörü kuruluşları için daha sıkı güvenlik talimatları öneren mevzuatı açıkladı (bkz.: Sağlık Hizmetleri Siber Tasarısı Kurumsal Sorumluluk Çağrısında Bulunuyor).
Sağlık Altyapısı Güvenliği ve Sorumluluk Yasası, sağlık sektörü kuruluşlarının son derece yıkıcı siber güvenlik saldırılarına ve ilgili büyük veri ihlallerine kurban gitmesini önlemeye yardımcı olmayı amaçlayan en son yasa tasarısı.