Veri ihlali bildirimi, veri güvenliği, sahtekarlık yönetimi ve siber suç
Uzmanlar, şirketin büyük veri ihlali analizi çabasının karmaşıklığını açıklıyor
Marianne Kolbasuk McGee (Healthinfosec) •
28 Ocak 2025
UnitedHealth Group bir halkla ilişkiler baş ağrısına maruz kalıyor. Geçen yıl, yan kuruluş değişikliğine yönelik fidye yazılımı saldırısı, aylarca binlerce hastaneyi ve uygulamayı bozdu. Kongre soru sormaya başladı. Sigortacı sonunda Ekim ayında ihlalin tahmini 100 milyon kişiyi etkilediğini duyurdu.
Ayrıca bakınız: Ondemand | Bankacılıkta içeriden gelen tehdidi ele almanın sınırlamalarının üstesinden gelmek: Gerçek güvenlik zorlukları için gerçek çözümler
Ancak geçen hafta, bilgi güvenliği medyası grubuna veri inceleme sürecinin “karmaşık” olduğunu açıklayan bir açıklamada, sigortacı ihlal sayısını ABD nüfusunun% 56’sına eşdeğer olan 190 milyon kişiye revize etti.
Şirket, son bulgularının geçen Nisan ayında yapılan bir açıklamada, siber saldırıda tehlikeye atılan verilerin “insanların önemli bir kısmını” etkileyeceğini söyledi.
Ancak uzmanlar, uzun bir faktör listesinin, Healthcare’in kimin ve kaç kişinin bilgisinin tehlikeye atıldığını belirlemek için göz korkutucu ve uzun çabalarını değiştirmeye katkıda bulunduğunu söyledi.
Durumu karmaşıklaştıran bir faktör, olaydan etkilenen binlerce müşterisi için ihlal bildirim görevlerini yerine getirmesi için sunulan değişimin değişmesidir.
Düzenleyici avukat Rachel Rose, “Bu bir hub ve konuşma saldırısıydı.” Dedi. Kaç kişinin etkilendiğine dair erken bir tahmin belirlerken, ilk adımın değişim sağlık hizmetlerinin iş ortaklarının sayısını ve korunan sağlık bilgilerini oluşturan, alan, koruyan veya ileten kapalı kuruluşların sayılması olacağını söyledi.
“Oradan, bu varlıkların her biri, ihlalden etkilenen toplam kişi sayısı hakkında özel bilgiler sağlamak zorunda kalacaktı.” Dedi.
Etkilenen kuruluşların birçoğunun kendi olay sonrası risk değerlendirmesini yapmaları gerektiğini ve birçoğunun adli bir üçüncü taraf değerlendirmesini de içereceğini söyledi. Yetkili, “Buna karşılık, gözden geçirme için sağlık hizmetlerini değiştirmek için gönderilen tüm bilgilerin – avukatlar ve bireysel sigorta şirketleriyle uğraşmadan bahsetmiyorum” dedi.
Hukuk firması Bakerhostetler’den düzenleyici avukat Sara Goldstein, sonuçta etkilenen muazzam sayıda insana katkıda bulunan bir diğer husus, Healthcare’in veri saklama uygulamalarını değiştirdi.
“Değişim sağlık hizmeti olayında yer alan bazı bilgilerin 25 yaşından büyük olduğu söyleniyor. Change Healthcare’in bir veri saklama politikası olup olmadığı veya takip ettikleri açık değil.” Dedi.
Buna ek olarak, değişim sağlık hizmetlerinin büyük boyutu, sağladığı çok sayıda hizmet ve çok sayıda müşterinin karmaşıklığa eklendiğini söyledi.
Goldstein, “Change HealthCare’in üstlendiği veri incelemesinin büyüklüğü benzeri görülmemişti.” Dedi. Diyerek şöyle devam etti: “Değişikliğin sağlık hizmetlerinin veri incelemesine yardımcı olmak için çok sayıda e-keşif satıcısıyla meşgul olduğu söyleniyor. Gerçek şu ki, veri incelemeleri, küçük olaylar için bile zaman alıyorlar, çünkü genellikle gözden geçirilmesi ve değerlendirilmesi zaman alan yapılandırılmamış verileri içeriyor.”
Gerçekten de, hangi bilgilerin tehlikeye atıldığını belirlemek için veri inceleme sürecinin şüphesiz ezici olduğunu söyledi.
“Bu tür olayları yönetme deneyiminden, muhtemelen ne olduğunu belirlemeye yardımcı olan bir insan ordusunuz olacağını, kötü niyetli aktör tarafından hangi sistemlere ve kaynaklara nasıl dokunulduğuna nasıl eriştiklerini söyleyebilirim.” Dedi. Yönetilen hizmetler firmasında güvenlik Neovera.
“Ağ, adli tıp, veri analizi ve veritabanı yöneticilerinin yanı sıra zaman çizelgelerini ve raporlamayı oluşturmak için deneyimli olay müdahale yöneticileri konusunda uzmanlara ihtiyacınız var.” Dedi. Diyerek şöyle devam etti: “Saldırı sırasında dokunulan veya geçen herhangi bir sistem veya ağdan veri ve bilgi toplamaya yardımcı olan düzinelerde destekleyici personelin bu gibi bir katılım üzerinde en az bir düzine veya daha fazla çalışmasını bekleyebilirsiniz.”
Güvenlik firması Semperis’in olay müdahalesi direktörü Jeff Wichman, diğer sorunların da büyük olasılıkla oyunda olduğunu söyledi. “Birincisi, hasta verilerinin normal veritabanının/dosya deposunun dışında tutulduğu veri yayılımıdır. Üzerinde çalıştığınız bir belgeyi kaydederken ve kontrollü bir alana geri kaydetmek yerine, yerel iş istasyonunuza kaydedersiniz. , “dedi. “Bunu geçmişte bir dizi olayda gördüm.”
“Bir başka olası neden sadece ele aldıkları veri miktarıdır. Saldırganlar çevrede daha önce tanımlandığından daha uzun süre keşfedilirse, saldırganın kazdığı yerleri yeniden değerlendirmeleri gerekecekti.” Dedi.
Sağlık hizmetlerinin karşılaştığı bir diğer zorluk değişikliği, herhangi bir kuruluş tarafından paylaşılan verilerin, üçüncü taraf satıcılar aracılığıyla ek sağlayıcılardan yararlanan – ancak menşe sitesini açıkça bilgilendirmediği, ancak güvenlik firması Pondurance’ın Dustin Hutchinson aracılığıyla kullanılmasıdır.
Yetkili, “Uygun veri saklama politikaları izlendiğinde bile, birçok yerde örümcek veri toplama ağı katlanarak büyümeye devam ediyor.” Dedi. “Bu olay, bilinmeyen veya beklenmedik veri kullanımının mükemmel bir örneğidir.”
Kuruluşlar, veri paylaşımı ve elde tutmanın yakından incelenmesini ve yasal ve uyum ekiplerinin net ve katı kullanım beklentileri belirlemesini ve hasta verilerinin ek kullanılmasından önce iletişim ve onay gerektirmesini sağlamak için satıcı risk yönetimi programlarını genişletmelidir.
Güncellenmiş ifadeler
Healthcare’in 17 Şubat’ta fidye yazılımı saldırısı, saldırganların şirketin çok faktörlü kimlik doğrulama kullanarak koruyamadığı bir Citrix Uzaktan Erişim Hizmetine eriştikten sonra başlatıldı (bakınız: Çok faktörlü kimlik doğrulaması isteğe bağlı olmamalı).
Ana şirket UHG, Rusça konuşan fidye yazılımı grubu ALPHV – aka Blackcat – için 22 milyon dolarlık fidye ödediğini itiraf etti. UnitedHealth CEO’su: Fidye ödemek şimdiye kadarki en zor karardı).
Blackcat’ın operatörleri daha sonra fidye, değişimi hackleyen bağlı kuruluşla paylaşmak yerine gruplarını kapattı ve tüm parayı tuttu. Buna karşılık, bağlı kuruluş, verileri başka bir hizmet olarak fidye yazılımı grubu Ransomhub’a götürmüş gibi görünüyor ve yeni bir fidye değişimden talep etti. UHG’nin ikinci fidye talebine de katılıp katılmadığı açık değil.
Temmuz ayında Change Healthcare, ABD Sağlık ve İnsan Hizmetleri Departmanı Sivil Haklar Ofisi’ne bir ihlal raporunda 500 etkilenen bireyin yer tutucu tahmini sağladı.
Ekim ayında Change Healthcare, ihlal raporunu HHS OCR’ye güncelledi ve yaklaşık 100 milyon kişi etkilendi.
14 Ocak’ta Change Healthcare, web sitesinde aylardır yayınlanan ve daha önce periyodik olarak güncellenmiş olan bir HIPAA ikame ihlali bildirimini tekrar güncelledi.
Bu bildirimde Change, Haziran ayından bu yana, şirketin yeterli adrese sahip olduğu potansiyel olarak etkilenen bireylere, olay hakkında bilgilendirilmiş ve olay hakkında bilgilendirilmiş olan sağlık müşterileri de dahil olmak üzere, potansiyel olarak etkilenen bireylere yazılı mektuplar gönderdiğini söyledi. bildirim sürecini değiştirme sürecini devretti.
Change’in 14 Ocak Yerine İhlal Bildirimi güncellemesi, şirketin olaya potansiyel olarak dahil olan kişisel bilgileri incelemesinin “önemli ölçüde tamamlandığını” ve değişimin etkilenen ek müşterileri tanımlayacağını öngörmediğini gösterdi.
Cuma günü şirket, ihlal için yeni taksitinin etkilenen 190 milyon insan olduğunu açıkladı.
Bir UnitedHealth Group sözcüsü Salı günü ISMG’ye verdiği demeçte, “Başlangıçta HHS OCR’ye verdiğimiz sayı geçici bir tahmindi, veri incelememiz hala devam ediyordu.”
“Şimdi incelemeyi büyük ölçüde tamamladığımıza göre, güncellenmiş tahmini sağlıyoruz,” dedi sözcüsü (bkz: Sağlık Hizmetini Değiştirme artık 190 milyon veri ihlali kurbanını sayıyor).
Daha geniş endişeler
Bazı uzmanlar, uzun ihlal analizinde karşılaşılan sağlık hizmetlerinin değiştiğini, sağlık sektöründeki daha geniş sorunların çeşitliliğine işaret ettiğini söyledi.
Hales Hukuk Grubu’ndan düzenleyici avukat Paul Hales, “Değişiklik sağlığı ihlalinden etkilenen bireyleri tanımlamak için gereken süre, sağlık endüstrisinin en temel HIPAA güvenlik kural standartlarına uymada yaygın başarısızlığını ortaya koyuyor.” Dedi.
“HIPAA tarafından düzenlenen kuruluşlar korunan sağlık bilgilerinin nerede olduğunu bilmeli ve onu korumalıdır. Bununla birlikte, güvenlik kuralı yirmi yılı aşkın bir süredir bunları gerektirmesine rağmen, çoğu düzenli, etkili risk analizleri yapamaz ve riskleri tanımlayamaz ve yönetemez” dedi.
Hales, değişim sağlık ihlalinin muazzam büyüklüğünün ulusal sağlık bilgi güvenliği için belirli gereksinimleri vurguladığını söyledi. “Birçoğu HIPAA Güvenlik Kuralında ele alındı ve Aralık ayında yayınlanan Biden yönetiminin OCR’nin önerilen güvenlik kuralı değişiklikleri ile güçlendirildi” (bkz. HHS’nin önerilen HIPAA güvenlik kuralı revizyonunda neler var?).
Önerilen HIPAA Güvenlik Kuralı Güncellemesi, Trump yönetimi kapsamında HHS liderliğine nasıl bağlı olacaktır.
Bu arada, Şubat 2024 siber saldırısından bu yana, Change Healthcare’in ebeveyni UHG, diğer önemli krizlerle de ilgileniyor – en önemlisi, birleşik sağlık sağlık sigortası biriminin CEO’su New York’taki Brian Thompson’daki Aralık cinayeti – ve sonraki serpinti. Şirketin hak talebinde bulunma sürecinde serbest bırakılan yoğun kamu öfkesi (bakınız: CEO’nun cinayeti, UHC’nin kapsama inkarları üzerinde çığlık atıyor).