İhlal Bildirimi, Sağlık Hizmeti, Olay ve İhlale Müdahale
Şirket Uyardı: İhlal ‘Amerika’daki İnsanların Önemli Bir Oranını Kapsıyor Olabilir’
Mathew J. Schwartz (euroinfosec) •
23 Nisan 2024
Şirket, Change Healthcare’i vuran bilgisayar korsanlarının on milyonlarca Amerikalıyla ilgili olabilecek hassas kişisel ve tıbbi bilgileri çaldığı konusunda uyardı.
Ayrıca bakınız: Dijital Risk Korumasını Benimsetmek: Tehdit İstihbaratınızı Bir Sonraki Seviyeye Taşıyın
UnitedHealth Group Pazartesi günü yaptığı açıklamada, Change Healthcare birimine yönelik Şubat ayındaki fidye yazılımı saldırısının “Amerika’daki insanların önemli bir bölümünü kapsayabilecek” bir veri ihlali içerdiğini söyledi.
Saldırıyı araştırmaya devam eden şirket, saldırganların hem korunan sağlık bilgilerini hem de kişisel bilgileri çaldığını söyledi. Şu ana kadar neyin çalındığına dair tam bir muhasebe yok.
“Veri incelemesinin devam eden doğası ve karmaşıklığı göz önüne alındığında, etkilenen müşterileri ve bireyleri belirlemek ve bilgilendirmek için yeterli bilginin mevcut olması muhtemelen birkaç ay sürecek sürekli analiz gerektirecektir” dedi. “Bu kapsamlı veri analizi yapılırken şirket kolluk kuvvetleri ve düzenleyicilerle iletişim halindedir ve ilgili bilgileri doğrulayabildiğimizde uygun bildirimleri yapacaktır.”
UnitedHealth Group, ihlal mağdurlarını desteklemek için özel bir web sitesi ve çağrı merkezi başlattı ve tüm mağdurlara “iki yıl boyunca ücretsiz kredi izleme ve kimlik hırsızlığı koruması” sağlama sözü verdi.
Saldırı, kısmen tıbbi bakım geri ödemelerinde ve bazılarının eczane reçetesi alma olanağında kesintiye uğraması nedeniyle ABD’deki sağlık hizmeti sağlayıcıları ve hastalar için büyük aksaklıklara neden oldu. Change Healthcare, ABD sağlık sistemi ödemelerinin yaklaşık %6’sını gerçekleştirmektedir.
Şirket ilk olarak geçen hafta güvenlik olayının hassas sağlık bilgilerinin ihlaline yol açtığını doğruladı. Bu kabul, kamuya yapılan açıklamalar ve bireysel bildirimler için düzenleyici bir geri sayım saatini tetikledi.
Şirket Fidye Ödedi
Şirket Pazartesi günü ilk kez saldırganlara fidye ödediğini doğruladı. UnitedHealth sözcüsü TechCrunch’a “Şirketin hasta verilerini ifşa edilmekten korumak için elinden geleni yapma taahhüdünün bir parçası olarak bir fidye ödendi” dedi.
Güvenlik uzmanları, tarihte bir siber suç grubunun böyle bir garantiyi yerine getirdiğine dair hiçbir kanıt bulunmadığını söyleyerek, çalıntı verileri silme sözü için fidye yazılımı gruplarına asla ödeme yapılmamasını tavsiye ediyor (bkz: Fidye Yazılımı Grupları: Bize Güvenin. Yapma.).
Şubat ayındaki saldırının arkasında olduğunu iddia eden fidye yazılımı grubu Alphv olarak da bilinen BlackCat’in Batılı bir üyesi, UnitedHealth Group’un saldırı için BlackCat’e 22 milyon dolar fidye ödediğini söyledi.
Bağlı kuruluş, BlackCat’in, genellikle ödenen toplam fidyenin %70 veya %80’i kadar olan payını paylaşmak yerine, bu büyük fidye ödemesinin tamamını elinde tuttuğunu iddia etti (bkz: BlackCat Fidye Yazılımı Grubunun ‘Nöbet’ Çıkış Dolandırıcılığı Olduğu Görünüyor).
Daha sonra bağlı kuruluşun veya çalınan verilere sahip olan başka birinin siber suç grubu RansomHub ile çalışmaya başladığı ortaya çıktı. RansomHub geçen hafta sızıntı sitesinde, saldırıda sızdırılan veri örneklerini gösteren birkaç ekran görüntüsü de dahil olmak üzere, çalındığı iddia edilen UnitedHealth Group verilerini yayınladı. Grup, aralarında Tricare, Medicare, CVS Caremark, MetLife, Loomis, Davis Vision, Health Net, Teachers Health Trusts’ın da bulunduğu “tüm” Change Healthcare müşterilerine ve onlarca sigorta şirketine ait 4 terabaytlık “son derece seçici verilere” sahip olduğunu iddia etti. diğer şirketler.”
Emsisoft güvenlik analisti Brett Callow, Pazartesi günü RansomHub’ın Change Healthcare listesini sildiğini bildirdi. Bir grubun kurbanın kaydını silmesinin bir nedeni de kurbanın fidye ödemiş olmasıdır.
UnitedHealth Group, saldırganlara ne kadar ödediği veya birden fazla fidye ödeyip ödemediği (örneğin önce BlackCat’e, sonra da RansomHub’a) hakkındaki yorum taleplerine yanıt vermedi.
Wall Street Journal, şirketin soruşturması hakkında bilgisi olan birinin, bilgisayar korsanlarının Change Healthcare’in sistemlerini ilk kez 12 Şubat’ta, yani fidye yazılımını yaymadan dokuz gün önce ihlal ettiğini söylediğini bildirdi.
Restorasyon Devam Ederken Soruşturmalar ve Davalar Artıyor
UnitedHealth Group, Optum iş biriminin bir parçası olan Change Healthcare’e yapılan saldırının ardından çevrimdışına aldığı işleme yeteneklerini geri yüklemeye devam ettiğini ve işlevselliğinin saldırı öncesi seviyelerin yaklaşık %86’sına geri döndüğünü söyledi.
Saldırı aynı zamanda şirketin uygunluk yazılımını ve analitik araçlarını da bozdu. UnitedHealth Group, “Bugüne kadar büyük platformlarda ve ürünlerde Değişim işlevselliğinin yaklaşık %80’i geri yüklendi” dedi. Şirket, tüm sistemleri ne zaman geri yüklemeyi planladığını kesin olarak söylemedi, yalnızca bunun “önümüzdeki haftalarda” gerçekleşeceğine söz verdi.
UnitedHealth Group CEO’su Andrew Witty, “Bu saldırının tüketiciler ve sağlayıcılar için endişe yarattığını ve yıkıcı olduğunu biliyoruz ve buna ihtiyacı olan herkese yardım etmek ve destek sağlamak için mümkün olan her şeyi yapmaya kararlıyız” dedi.
Witty, 16 Nisan’da Meclis Enerji ve Ticaret Komitesi’nin “Sağlık Hizmeti Saldırısının Ardından Sağlık Sektörü Siber Güvenliğinin İncelenmesi” başlıklı duruşmasına katılmadı (bkz: Kongre, Sağlık Hizmeti Saldırısını Değiştirmede Neyin Yanlış Gittiğini Sordu).
Komite başkanı R-Wash’tan Cathy McMorris, “UnitedHealthcare’in, komite ve Amerikan halkının söz konusu siber saldırının nasıl gerçekleştiğini doğrudan onlardan duyabilmesi için bugün kimseyi ifade vermek üzere hazır bulundurmamayı seçmesinden dolayı hayal kırıklığına uğradım” dedi. açılış yorumlarında.
Cuma günü komite Witty’nin 1 Mayıs’ta ifade vermeye hazır olduğunu duyurdu.
McMorris ve komite başkanı arkadaşı Morgan Griffith, R-Va., yaptıkları açıklamada, “Amerikalılar hâlâ Change Healthcare saldırısının etkileriyle uğraşıyorlar” dedi. “Özellikle bireyler ve daha küçük hizmet sağlayıcılar, siber saldırının ardından mali açıdan sıkıntı yaşadı ve hastalar için kritik erişimi tehdit etti.”
Bu ayın başlarında, UnitedHealth Group web sitesinde, iyileşme sırasında ihtiyaç sahibi sağlayıcılara şu ana kadar yaklaşık 4,7 milyar dolarlık geçici mali yardım aktardığını söyledi.
Geçen ay, Sağlık ve İnsani Hizmetler Bakanlığı Sivil Haklar Dairesi, siber güvenlik olayıyla ilgili bir soruşturma başlattı ve soruşturmanın “Sağlık Hizmetleri ve UHG’nin HIPAA Kurallarına uyumluluğunu değiştirme” konusuna odaklanacağını söyledi.
Şirket ayrıca, olay nedeniyle kişisel bilgilerinin ele geçirilmesi nedeniyle kimlik hırsızlığı ve dolandırıcılık tehlikesiyle karşı karşıya kaldıklarını iddia eden kişiler tarafından açılan en az 11 davayla da karşı karşıya. Bu davalar, şirket veri ihlalini doğrulamadan önce bile açılmıştı.
UnitedHealth Group yakın zamanda saldırı sonucunda toplam maliyetinin 1,6 milyar dolara ulaşabileceğini tahmin etti.