Yönetişim ve Risk Yönetimi , Sağlık Hizmetleri , Sektöre Özel
61.000 kişiyi etkileyen olayda Teksas’ta 7 Sağlık ve İnsan Hizmetleri Çalışanı Kovuldu
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
22 Ocak 2025
Teksas’taki yetkililer, Teksas Sağlık ve İnsani Hizmetler Komisyonu’nda yedi çalışanın işten çıkarılmasına, yüz binlerce dolarlık çalıntı fonlara ilişkin soruşturmaya ve 61.000 kişiyi etkileyen kişisel bilgilerin ihlaline ilişkin bildirime yol açan içeriden öğrenilen bir olayı araştırıyor.
Ayrıca bakınız: Netskope FERPA Haritalama Kılavuzu
Medicaid ve Tamamlayıcı Beslenme Yardımı Programı da dahil olmak üzere sağlık ve insan hizmetleri yardım programlarını yöneten Teksas komisyonu, 21 Kasım 2024’te ajansın “en az 61.000 kişinin hesap bilgilerine ve kişisel kimlik bilgilerine uygunsuz bir şekilde erişilmiş olabileceğini öğrendiğini” söyledi. ajans çalışanları tarafından.”
HHSC, “ilgili çalışanların işine son vererek ve olayı soruşturma için Teksas Sağlık ve İnsan Hizmetleri Genel Müfettişlik Ofisi’ne havale ederek ihlali hafifletmek için acil adımlar attığını” ve cezai suçlamaların takip edilmesi için savcılıklarla koordinasyonun sağlandığını söyledi.
Haziran 2021 ile Aralık 2024 arasında uygunsuz bir şekilde erişilmiş olabilecek veriler kişiden kişiye farklılık gösterse de potansiyel olarak tam adları, ev adreslerini, telefon numaralarını, doğum tarihlerini, e-posta adreslerini, Sosyal Güvenlik numaralarını, Medicaid ve Medicare Kimlik numaralarını, finansal bilgileri içermektedir. , istihdam, bankacılık, sosyal yardımlar, sağlık, sigorta, sağlık, sertifika, lisans ve diğer kişisel bilgiler.
HHSC, ihlalle ilgili sık sorulan sorular belgesinde “SNAP fonlarını içeren bazı Lone Star Kartlarına uygunsuz şekilde erişilmiş veya kullanılmış olabilir” dedi.
Ajans, “HHSC, SNAP alıcılarına Lone Star Card işlemlerini YourTexasBenefits.com adresinden veya Your Texas Benefits mobil uygulaması aracılığıyla potansiyel dolandırıcılık faaliyetleri açısından kontrol etmelerini tavsiye ediyor” dedi.
Yerel medya kuruluşu Texas Tribune, şu ana kadar toplam yedi işçinin işten çıkarıldığını ve uygunsuz erişim ihlalinin, biri 500 SNAP hesabından 270.000 ABD dolarının çalınmasını içeren dört ayrı olayla ilgili olduğunu bildirdi.
Ajans, hala diğer HHSC programlarının etkilenip etkilenmediğini belirlemeye çalıştığını söyledi. HHSC, “Ajansın dahili incelemesi devam ettikçe, tespit edilen ek etkilenen bireyler bilgilendirilecek. Benzer uygunsuz ve yasa dışı davranışta bulunan çalışanların işine son verilecek ve uygun yetkililere havale edilecek.” dedi.
HHSC, Bilgi Güvenliği Medya Grubu’nun ihlale karışan çalışan sayısı da dahil olmak üzere olayla ilgili ek ayrıntılara ilişkin talebine hemen yanıt vermedi.
Harekete Geçmek
HHSC, etkilenen kişilere iki yıllık ücretsiz kimlik ve kredi izleme olanağı sunduğunu söyledi. Ayrıca HHSC, “iç güvenlik kontrollerini güçlendirdiğini” ve şüpheli etkinlikleri tespit etmek için gelişmiş izleme ve uyarılar dahil olmak üzere ek dolandırıcılık önleme tedbirlerini uygulamaya koyduğunu söyledi.
Bazı uzmanlar, HHSC’nin devlet çalışanlarının uygunsuz erişimini tespit etmesinin neden bu kadar uzun sürdüğünü sorguluyor.
Sahadan Mike Hamilton, “Tehdit aktörlerinin ağda bu kadar uzun süredir (bir uzlaşmayı tespit etmek için ortalama 200 günden fazla bir süreden çok daha uzun bir süre) bulunması, devletin anormal davranışlara karşı uyarıda bulunmak için kapsamlı izleme kullanmadığını gösteriyor” dedi. Lumifi güvenlik firmasında CISO. Tehdit aktörlerinin tespit edilemeyen araçlar, teknikler ve prosedürler kullanmış olmasının da mümkün olduğunu söyledi. “Muhtemelen karadan yaşama taktiklerini kullanmışlar, öyle ki aktivite ‘normal’ görünüyordu” dedi.
Hamilton, HHSC’nin olayı ilk olarak SNAP yardımı alıcılarından gelen dolandırıcılık raporlarından öğrendiğinden şüpheleniyor, bu da dahili bir soruşturma başlatacaktı.
“Veritabanları, muhtemelen meşru kullanıcı kimlik bilgileri elde edilerek elde edilen, ancak ‘normal’ işlemlerle uyumlu olmayan (örneğin, günün saatine, erişilen veri miktarına veya veriden ayrılan bir veri patlamasını gösteren bir sızıntı olayına) uygun olmayan erişimleri günlüğe kaydetmiş olacaktır. ağ” dedi.
“Bu bilgileri toplayacak bir sistem olmasaydı, dolandırıcılığın nedenini belirlemek için gerekli tüm verileri belirlemek, elde etmek ve incelemek oldukça zaman alırdı.”
Uzmanlar, içeriden gelen tehditlerle mücadele etmek için güvenlik kuruluşlarının, kuruluşlarındaki yetkili kullanıcıların sınır dışı verilere uygunsuz erişimini engelleyecek adımlar atması gerektiğini tavsiye etti.
Clearwater danışmanlık firmasının gizlilik ve uyumluluk hizmetlerinden sorumlu başkan yardımcısı Andrew Mahler, sağlık kuruluşlarının, kullanıcıların yalnızca belirli iş işlevlerini gerçekleştirmek için gereken en az miktarda veriye erişebilmesini sağlamak için rol tabanlı erişim kontrolleri kullanmasını öneriyor.
“Bu kontroller göreve veya sorumluluğa özgü olabilir. RBAC’ı kullanmak, bir yap ve unut uygulaması değildir. Özellikle çalışanlar rol değiştirdiğinde veya kuruluşunuzdan ayrıldığında, rutin incelemeler ve ayarlamalar ile devam eden bir süreç olmalıdır. “dedi.
“Kontrolleri etkili bir şekilde test ettiğinizden ve belgelediğinizden emin olmak için rutin iç ve üçüncü taraf denetimleri ve değerlendirmeleri gerçekleştirmek de önemlidir.”
Çekici Hedefler
Teksas HHSC ihlalinin açığa çıkması, Rhode Island’da yakın zamanda meydana gelen ve SNAP ve Medicaid gibi devlet programlarından yararlananların kişisel bilgilerini etkileyen bir olayın ardından geldi. Rhode Island vakası dışında, potansiyel olarak yüz binlerce insanın verileri RIBridges’i hackleyen siber suçlular tarafından çalındı; Rhode Island, Deloitte danışmanlık firması tarafından yönetilen BT sisteminden yararlanıyor (bkz.: ABD’nin En Küçük Eyaletinde Veri Hırsızlığı Saldırısından Binlerce Kişi Etkilendi).
Danışmanlık firması Cyber Health Integrity LLC’nin müdürü eski sağlık CIO’su David Finn, “Eyalet hükümetinin sağlıkla ilgili BT sistemleri, çeşitli nedenlerden dolayı yetkisiz erişim ve siber saldırılar için çekici hedeflerdir” dedi.
“Öncelikle bu sistemler, Sosyal Güvenlik numaraları, tıbbi kayıtlar ve mali ayrıntılar da dahil olmak üzere çok miktarda kişisel ve hassas bilgiyi depoluyor ve bu da onları kimlik hırsızlığı ve dolandırıcılık için değerli hedefler haline getiriyor” dedi.
“Bu sistemler Medicaid, SNAP ve diğer sağlık yararları gibi temel hizmetleri sağlıyor; bu da bunların, iç veya dış ‘kötü adamların’ faydalanıcılar, bakım sağlayıcılar ve kurum açısından önemli aksaklıklara neden olmak için bunları istismar edebileceği kritik altyapılar olduğu anlamına geliyor.” Devlet de sponsor oluyor” dedi.
Ancak bu arada Finn, eyalet hükümetlerinin genellikle sınırlı siber güvenlik kaynakları ve bütçeleriyle çalıştığını, bunun da personel, araçlar ve zaman dahil olmak üzere sağlam güvenlik önlemlerini uygulamayı zorlaştırdığını söyledi.
“Bu sistemler kamuya açık olacak şekilde tasarlanmıştır ve bu durum, iç veya dış saldırganların yararlanabileceği güvenlik açıkları oluşturabilir. Bu sistemlere erişimi olan çalışanlar, erişimlerini kişisel kazanç veya kötü niyetle kötüye kullanabilir ve bu da veri ihlallerine yol açabilir.”