İhlal Bildirimi, Dolandırıcılık Yönetimi ve Siber Suçlar, Sağlık Hizmetleri
İki Partili ABD Senatörleri, Sağlık Hizmeti İhlal Bildiriminin 21 Haziran’a Kadar Değiştirilmesini Talep Ediyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
10 Haziran 2024
İki ABD’li senatör, UnitedHealth Group’un bir ihlali rapor etmesini ve etkilenen kuruluşlara ve bireylere en geç 21 Haziran’a kadar bildirimde bulunmasını talep ediyor. İki partiden oluşan ikili, şirketin 21 Şubat’taki Change’e yönelik siber saldırının ardından bildirim sürecini uzatarak zaten HIPAA’yı ihlal ettiğini iddia ediyor. Sağlık hizmeti.
Ayrıca bakınız: Küçük İşletme Güvenlik Duvarı Kılavuzu
Senatörler Maggie Hassan, NH ve Marsh Blackburn, R-Tenn., UHG’nin fidye yazılımı saldırısını keşfetmesinin üzerinden üç aydan fazla süre geçtikten sonra, “milyonlarca Amerikalı kişisel verilerinin ve sağlık bilgilerinin savunmasızlığı konusunda hala karanlıkta” diye yazdı. Cuma günü UnitedHealth Grubu CEO’su Andrew Witty’ye mektup.
Senatörler, “UHG’nin acil önlem almaması durumunda hastalar ve sağlayıcılar, veri ihlalinin kapsamı hakkında hiçbir bilgiden mahrum kalmaya devam edecek” dedi.
Şirket, Amerikan nüfusunun üçte birinin (veya 100 milyondan fazla insanın) korunan sağlık bilgilerinin, Rusça konuşan fidye yazılımı siber suçluları olan BlackCat, diğer adıyla AlphV tarafından ele geçirilmiş olabileceğini tahmin ediyor (bkz.: Milletvekilleri Grill UnitedHealth CEO’su Sağlık Hizmetlerinde Değişim Saldırısı Konusunda).
Şirket ayrıca, karanlık ağda 4 terabayt hasta verisini çaldığını iddia eden saldırganlara 22 milyon dolarlık fidye ödediğini de itiraf ediyor (bkz: İkinci Çete, Fidye İçin UniteHealth Grubunu Salladı).
Senatörlerin mektubunda, UHG’nin “etkilenen bireyleri belirlemek ve bilgilendirmek için kapsamlı bir analiz yaptığını iddia ettiği” belirtiliyor.
“Ancak UHG, kapsam dahilindeki kuruluşların, bilinen veya şüphelenilen bir veri ihlali konusunda bireyleri ihlalin tespit edilmesinden sonraki 60 gün içinde bilgilendirmesini gerektiren HIPAA’yı ihlal etmeye devam etmektedir. UHG ayrıca, sağlık hizmeti sağlayıcıları da dahil olmak üzere etkilenen iş ortaklarını, ilgili mevzuat uyarınca resmi olarak bilgilendirmelidir. HIPAA ve eyalet hukuku” diye yazıyor senatörler.
Ayrıca, etkilenen taraflar arasındaki karışıklığı azaltmak için yasa koyucular, UHG’yi “OCR’ye, eyalet düzenleyicilerine, Kongreye, medyaya ve sağlık hizmeti sağlayıcılarına tüm ihlal bildirimlerini tamamlamayı planladığını resmi olarak bildirerek tüm ihlal bildirimlerinin tek sorumluluğunu üstlenmeye” çağırıyorlar. HIPAA kapsamındaki tüm kuruluşlar adına.”
UHG, herhangi bir sağlayıcı veya müşteri adına bildirimde bulunmayı ve ilgili idari gereklilikleri üstlenmeyi teklif ettiğini kamuya açıkladı.
31 Mayıs’ta Sağlık ve İnsani Hizmetler Bakanlığı Sivil Haklar Dairesi, Sağlık Hizmetlerini Değiştir siber saldırısı hakkında ilk olarak Nisan ayında yayınlanan HIPAA kılavuzunu yeniledi. Sıkça sorulan sorular biçimindeki güncellenmiş kılavuz, etkilenen kuruluşların HIPAA ihlali bildirimini UHG’ye devredebileceğini ancak bildirimin gerçekleşmesini sağlamak için sonuçta hazır olduklarını doğruladı (bkz.: Federaller, Sağlık Hizmetinin İhlal Bildirimini İşleyebileceğini Söyledi).
Ne UHG ne de HHS OCR, Bilgi Güvenliği Medya Grubu’nun, UHG’nin federal düzenleyicilere bir ihlal raporu sunup sunmadığı veya yakında sunup sunmayacağı ve etkilenen kurum ve kişileri bilgilendirmeye başlayıp başlamayacağı da dahil olmak üzere, senatörlerin mektubu hakkındaki yorum taleplerine hemen yanıt vermedi.
Ne Hassan’ın ne de Blackburn’ün ofisleri, ISMG’nin ek yorum taleplerine ve UHG’nin mektuplarına yanıt verip vermediğine ilişkin taleplere hemen yanıt vermedi.
HIPAA Kuralları
Bazı düzenleme uzmanları, Hassan ve Blackburn’ün UHG’nin halihazırda HIPAA ihlal bildirimi kuralını ihlal ettiği yönündeki değerlendirmesine katılıyor.
“HIPAA İhlali Bildirim Kuralı ve HHS’nin fidye yazılımı saldırılarıyla ilgili kılavuzuna göre, bildirimlerin müşterilere ve belirli kişilere 21 Nisan’a kadar gönderilmeye başlanması gerekirdi.” Bu, UHG’nin 21 Şubat’ta Change Healthcare fidye yazılımı saldırısını keşfetmesinden 60 gün sonradır. BakerHostetler hukuk firmasının düzenleyici avukatı Sara Goldstein.
UHG, olayın PHI’ye yetkisiz erişim içerdiğini doğrulayana kadar bildirim ‘saatinin’ başlamadığını iddia edebilir; ancak bu, düzenlemeler, kılavuzlar ve geçmiş HIPAA çözüm anlaşmalarıyla tutarsız olacaktır” dedi.
HHS OCR’nin 2016 fidye yazılımı kılavuzuna göre, bir fidye yazılımı saldırısının ihbar edilebilir bir ihlal olduğu kabul edilir; yani keşif tarihi, fidye yazılımı saldırısının tanımlandığı tarihtir, diye açıklıyor.
“HIPAA kapsamında ‘keşif tarihi’, bir ihlalin kapsam dahilindeki kuruluş tarafından öğrenildiği veya makul bir özen gösterilmesi durumunda kapsam dahilindeki kuruluş tarafından bilinebileceği tarihtir” dedi. “Aynı şey iş ortakları için de geçerli. HIPAA kapsamında, bireylere keşiften itibaren 60 gün içinde bildirimde bulunulmalıdır. Bu nedenle, UnitedHealth Group veya Optum veya Change Healthcare birimlerinin kapsam dahilindeki kuruluş takas merkezi olduğu PHI ile ilgili olarak, bunların 60 günlük süresi Goldstein, kişileri bilgilendirme saatinin fidye yazılımı saldırısını tespit ettikleri gün başladığını söyledi.