Siber Suç, Dolandırıcılık Yönetimi ve Siber Suç, Olay ve İhlallere Müdahale
Cook County Health, Satıcının Hack’ten Etkilenen ‘Birçok’ Müşterisi Arasında Olduğunu Söyledi
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
8 Kasım 2023
Chicago’da yetersiz hizmet alan nüfusları hedef alan büyük bir sağlık hizmeti sağlayıcısı, 1,2 milyon kadar hastaya, bir tıbbi transkripsiyon satıcısındaki veri hırsızlığı olayında bilgilerinin tehlikeye girdiğini bildiriyor.
Ayrıca bakınız: Savcılar Bir Şüphelinin Pek Çok Kişiden Sermaye Çaldığını İddia Ediyor
Illinois’de iki kamu hastanesi ve bir düzineden fazla toplum sağlık kliniği işleten Cook County Health, satıcıyla ilişkisini sonlandırdığını ve kendisinin de olaydan etkilenen “birçok” diğer sağlık kuruluşu arasında yer aldığını söyledi.
Bir ihlal bildiriminde, hastane sisteminin hasta bilgilerinin “bazılarının” depolandığı üçüncü taraf transkripsiyon sağlayıcısı Perry Johnson & Associates’in sistemlerini hacklemenin etkilediği belirtiliyor.
Veriler isimleri, doğum tarihlerini, adresleri, tıbbi bilgileri ve hizmet tarihlerini ve saatlerini içerir. CCH, bu hasta kayıtlarının yaklaşık 2.600’ünün Sosyal Güvenlik numaralarını da içerebileceğini söyledi.
CCH, “CCH, PJ&A veri güvenliği olayından etkilenen birçok kuruluştan biridir. Bu olay sırasında hiçbir CCH sistemine veya sunucusuna erişilmedi” dedi. İlçe sağlık sistemi, “Veri güvenliği olayını öğrendikten sonra CCH, PJ&A ile veri paylaşımını durdurdu ve PJ&A ile ilişkisini sonlandırdı” dedi.
Transkripsiyon sağlayıcısı, olayı araştırmak ve kontrol altına almak için FBI ve üçüncü taraf siber güvenlik uzmanlarıyla birlikte çalışıyor.
Gizlilik ve güvenlik danışmanlığı firması Clearwater’ın baş risk sorumlusu Jon Moore, transkripsiyon satıcıları tarafından işlenen tıbbi kayıtların büyük hacmi ve ele aldıkları korunan sağlık bilgilerinin zenginliğinin, bunları bilgisayar korsanları için çekici hedefler haline getirdiğini söyledi.
“Siber suçlular bu bilgileri karanlık ağda satarak veya kimlik hırsızlığı ve sağlık hizmeti dolandırıcılığı için kullanarak bu bilgilerden para kazanabilirler” dedi.
“Ayrıca tıbbi transkripsiyon şirketleri, büyük sağlık kuruluşları gibi siber güvenliğe öncelik verecek veya yatırım yapacak kaynaklara her zaman sahip olmayabilir. Bu, yetersiz güvenlik önlemlerine yol açarak onları siber saldırılara karşı daha savunmasız hale getirebilir.”
İhlal Ayrıntıları
ABD Sağlık ve İnsani Hizmetler Bakanlığı Sivil Haklar Dairesi’nin HIPAA İhlali Raporlama Aracı’na göre, CCH bu ihlali ilk olarak Eylül ayında federal düzenleyicilere bir iş ortağının dahil olduğu ve 500 kişiyi etkileyen bir bilgisayar korsanlığı olayı olarak bildirdi. Web sitesi 500 kişiyi etkileyen sağlık verileri ihlallerini listeliyor. veya daha fazla kişi.
Çarşamba itibarıyla HHS OCR web sitesinde PJ&A tarafından sunulan herhangi bir ihlal raporu yayınlanmadı.
PJ&A, Bilgi Güvenliği Medya Grubu’nun, başka kaç müşteri ve hastanın etkilendiği ve ihlalin fidye yazılımı içerip içermediği de dahil olmak üzere olayla ilgili ayrıntılara ilişkin taleplerine hemen yanıt vermedi.
PJ&A, siber olayla ilgili kamuya açık duyurusunda, yetkisiz bir tarafın 27 Mart ile 2 Mayıs arasında PJ&A ağına erişim sağladığını ve bu süre zarfında bilgisayar korsanının belirli dosyaların kopyalarını ele geçirdiğini söyledi.
Şirket, PJ&A sistemlerinde yasa dışı olarak erişilen bilgilerin kredi kartı bilgileri, banka hesap bilgileri veya kullanıcı adları veya şifreleri içermediğini söyledi. “Ancak bazı kişiler için etkilenen veriler aynı zamanda Sosyal Güvenlik numaralarını, sigorta bilgilerini ve tıbbi transkripsiyon dosyalarından laboratuvar ve teşhis testi sonuçları, ilaçlar, tedavi tesisinin adı ve sağlık hizmetinin adı gibi klinik bilgileri de içerebilir. sağlayıcılar” dedi şirket.
Cook County Health, PJ&A ile bilgi paylaşımını durdurduğunu söylese de, CISO ve ortaklarından Mike Hamilton, “bir iş ilişkisini derhal kesmek, müşteriye geri yansıyan bir siber olayı içeren bir nedenden dolayı fesih de dahil olabilecek sözleşme şartlarına bağlıdır” dedi. -güvenlik firması Critical Insight’ın kurucusu.
“Bu aynı zamanda hizmetin sağlanması için bir alternatifin bulunmasına da bağlı olacaktır; bu durumda tıbbi transkripsiyon.”
Hamilton, PHI işleyen iş ortaklarının yetkisiz ifşa riskine uygun olarak sözleşmeye dayalı olarak yönetilmesi gerektiğini söyledi.
“Bu, kapsam dahilindeki kayıtların iadesi veya imhasına ilişkin dil de dahil olmak üzere, söz konusu iş ortağından kaynaklanan bir kayıt ihlalinin veya ağ ihlalinin sözleşmenin feshi için gerekçe oluşturduğunu belirten şartları içermelidir.”
Moore, sağlık hizmeti verilerini içeren bir güvenlik olayının ardından satıcıyla bağların kopmasının yapılandırılmış bir süreç gerektirdiğini söyledi. “Satıcıyı bilgilendirmek, hasta kayıtlarına sürekli erişim sağlamak ve verilerin iade edilip edilmeyeceğine veya güvenli bir şekilde silinip silinmeyeceğine karar vermekle başlar. Veri geçişi ve bakım planlamasının sürekliliği, hasta hizmetlerindeki kesintileri en aza indirmek için çok önemlidir.”
Moore, sözleşme yükümlülüklerinin ve mevzuata uygunluğun da yakından takip edilmesi gerektiğini, tüm eylemlerin belgelenmesinin yasal ve düzenleyici amaçlar açısından gerekli olduğunu söyledi.