İhlal Bildirimi, Siber Suç, Dolandırıcılık Yönetimi ve Siber Suç
Geçtiğimiz Hafta Şirket Aleyhine 6 Veri İhlali Davası Açıldı
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
14 Kasım 2023
Sanal bir eczane ve postayla sipariş edilen reçeteli ilaç firması, yaklaşık 2,36 milyon hastaya, hassas bilgilerinin ele geçirildiği bir bilgisayar korsanlığı olayı hakkında bilgi veriyor. Geçtiğimiz hafta avukatlar, ihlalle ilgili en az altı önerilen federal toplu dava davası açtı.
Ayrıca bakınız: Savcılar Bir Şüphelinin Pek Çok Kişiden Sermaye Çaldığını İddia Ediyor
Truepill adı altında faaliyet gösteren Hayward, California merkezli Postmeds, veri ihlalini 30 Ekim’de federal düzenleyicilere bildirdi. Şirket, bir ihlal bildiriminde 30 Ağustos’ta “kötü aktörlerin” bir veriye erişim elde ettiğini keşfettiğini söyledi. Eczane yönetimi ve sipariş karşılama hizmetleri için kullanılan dosyaların alt kümesi.
Truepill, BT ortamını hızlı bir şekilde güvence altına almak için siber güvenlik uzmanlarıyla birlikte çalıştığını söyledi ancak soruşturma, saldırganların dosyalara 30 Ağustos ile 1 Eylül arasındaki üç gün boyunca eriştiğini belirledi.
Ele geçirilen dosyalar hasta adlarını, ilaç türünü, demografik bilgileri ve/veya reçeteyi yazan doktorun adını içeriyordu. Truepill, şirketin bu bilgiyi almaması nedeniyle Sosyal Güvenlik numaralarının etkilenmediğini söyledi.
Truepill, gelecekte benzer olayların önlenmesine yardımcı olmak için güvenlik protokollerini ve teknik korumalarını iyileştirdiğini ve çalışanlarına ek siber güvenlik farkındalığı eğitimi sağladığını söyledi.
Salı günü itibariyle, ABD Kaliforniya Kuzey Bölgesi Bölge Mahkemesinde Truepill’e karşı en az altı önerilen federal toplu dava davası açıldı. Hepsi, Truepill’in hastaların hassas kişisel ve tıbbi bilgilerinin korunmasına ilişkin HIPAA ve Federal Ticaret Komisyonu Yasası’nın yanı sıra Kaliforniya eyaleti gizlilik yasalarını da içeren federal düzenlemelere uyma konusundaki ihmali ve başarısızlığı da dahil olmak üzere benzer iddialarda bulunduğunu iddia ediyor.
Diğer beş davadaki iddialara benzer şekilde, davacı Christopher Williams’ın 10 Kasım’da kendisi ve benzer durumdaki başkaları adına sunduğu şikayette, Williams’ın özel sağlık bilgilerinin izinsiz olarak üçüncü şahıslara ifşa edilmesi de dahil olmak üzere somut zarara uğradığı iddia ediliyor; yakın dolandırıcılık ve kimlik hırsızlığı riski; ve son derece hassas tıbbi bilgilerinin mahremiyet ihlalleri.
Williams’ın davası ve diğer davalar, mali tazminatlar ve Truepill’in veri güvenliği sistemlerinde “önemli iyileştirmeler” gerektiren ihtiyati tedbir kararı da dahil olmak üzere benzer çözüm yolları arıyor.
Truepill, Bilgi Güvenliği Medya Grubu’nun siber güvenlik olayıyla ilgili yorum yapma ve ek ayrıntılara ilişkin talebine hemen yanıt vermedi.
Zengin Hedefler
Siber suçlular ayrıca diğer çevrimiçi, postayla sipariş edilen ve özel eczaneleri de hedef aldı. Sağlık ve İnsan Hizmetleri Bakanlığı’nın HIPAA İhlali Raporlama Aracı web sitesi, Truepill olayına ek olarak bu yıl şimdiye kadar eczane firmalarını kapsayan en az yarım düzine büyük sağlık verisi ihlalini gösteriyor.
Bu yıl şu ana kadar yaşanan olayların en büyüğü, Mayıs ayında PharMerica Corp. tarafından HHS Sivil Haklar Ofisi’ne yaklaşık 6 milyon kişiyi etkilediği bildirilen bir hack olayıdır. Uzun süreli bakım, yaşlı bakımı, evde ilaç tedavisi, özel eczane ve hastane yönetimi programlarına eczane hizmetleri sunan Kentucky merkezli şirket, siber suç çetesi Money Mesaj tarafından yapılan bir fidye yazılımı saldırısının bariz kurbanıydı (bkz.: PharMerica İhlalin Yaklaşık 6 Milyon Kişiyi Etkilediğini Bildirdi).
Güvenlik firması Critical Insight’ın kurucusu ve CISO’su Mike Hamilton, eczanelerin siber suçlular için çekici bir hedef olduğunu, çünkü değerli verilerin depolanması ve işlenmesinin kesiştiği noktada olduklarını söyledi.
“Henüz kredi kartı veya diğer finansal bilgilerin Truepill tarafından ifşa edildiği görülmese de, tehdit aktörünün nihai hedefi bu olabilir” dedi.
Hamilton, Truepill gibi çevrimiçi ve postayla sipariş veren eczanelerin finansal işlemlere özel bir teknoloji ayak izinin yanı sıra korunan sağlık bilgilerine yönelik bir arayüze sahip olduğunu söyledi.
“Bu kombinasyon, güvenlik açığı ve yanlış yapılandırmadan yararlanmaya yönelik çok sayıda yola sahiptir. İnternete yönelik web sitesi veya mobil uygulama, kredi kartı ve diğer finansal bilgilerin işlenmesi ve PHI’nın edinilmesi, saklanması ve doğrulanması, her biri potansiyel olarak potansiyel olarak farklı olan ayrı teknolojiler oluşturur. uzlaşmaya açık.”
Hamilton, eczanelerin yalnızca kullandıkları korunan sağlık bilgilerinin mahremiyetiyle ilgili tehditlerle karşı karşıya olmadığını, aynı zamanda bu verilerin bütünlüğü ve hastalar için potansiyel güvenlik endişeleriyle de karşı karşıya olduğunu söyledi.
“Eğer bir aktör verilere erişebiliyor ve verileri sızdırabiliyorsa, o aktör verileri değiştirmek için yeterli erişime sahip demektir” dedi. “Sonuçta, kayıtlar müşteriler tarafından gözden geçirilmeli ve yeniden yetkilendirilmeli ve/veya yedekteki kayıtlarla karşılaştırılmalıdır.”
Hamilton, eczanelerin, Ödeme Kartı Endüstrisi Veri Güvenliği Standardının gerektirdiği gibi dosya bütünlüğü izlemesi yapması ve bunu hastaların PHI’sına ve kart sahibi verileri işlemlerine uygulaması gerektiğini söyledi.