Sağlık , HIPAA/HITECH , Sektöre Özel
“Erişilemez Bilgisayarlar” Olayının Başlangıçta 501 Kişiyi Etkilediği Bildirildi
Marianne Kolbasuk McGee (SağlıkBilgisi) •
15 Mart 2023
Yaşlı ve engelli hastalara hizmet veren yönetilen bakım kuruluşlarına klinik ve üçüncü taraf idari hizmetler sağlayan bir satıcı, geçen yaz bir siber güvenlik olayının 4,2 milyondan fazla kişiyi etkilediğini söyledi.
Ayrıca bakınız: Web Semineri | Teletıp ve Sağlık Hizmetinde Uzaktan Çalışmanın Geleceğini Güvence Altına Almak
Florida merkezli Independent Living Systems, bir ihlal açıklamasında, olayı erişilemeyen bilgisayarlarla ilgili olarak tanımladı.
ILS, Information Security Media Group’un “bilgisayar sistemlerinin erişilemezliğini içeren” bir olay olarak tanımladığı olayın fidye yazılımını tanımlamanın bir yolu olup olmadığına ilişkin açıklama talebine hemen yanıt vermedi.
Sağlık ve İnsan Hizmetleri Bakanlığı’nın HIPAA İhlal Raporlama Aracı web sitesine göre, ILS ilk olarak olayı 2 Eylül 2022’de federal düzenleyicilere yalnızca 501 kişiyi etkileyen bir ağ sunucusunu içeren bir bilgisayar korsanlığı/BT olayı olarak bildirdi.
ILS, ihlali geçen yıl HHS OCR’ye 4,2 milyon kişiyi etkilediğini bildirmiş olsaydı, olay 2022’de bilinen en büyük tek sağlık verisi ihlali olacaktı.
Rapor Etme Yarışı
500 veya daha fazla kişiyi etkileyen HIPAA ihlallerini HHS Sivil Haklar Ofisine bildirmek için 60 günlük bir son tarihle karşı karşıya kalan sağlık kurumları, olaylarına ilişkin soruşturmalar devam ederken bazen kaç kişinin etkilendiğine dair çok kaba tahminler içeren raporlar sunacaktır.
Eylül ayında ILS, web sitesinde olayla ilgili bir ön ihlal bildirimi yayınladı.
Şirket, “İnceleme ve doğrulama çabalarımız tamamlandığına göre, web sitemizde bu ek bildirimi yayınlayarak, medyaya bildirimde bulunarak ve ILS’nin adres bilgilerine sahip olduğu potansiyel olarak etkilenen kişilere mektuplar göndererek potansiyel olarak etkilenmiş bireyleri bilgilendiriyoruz” dedi. bu hafta web sitesinde güncellenmiş bir bildirimde.
Bazı uzmanların söylediğine göre, ILS olayı, kuruluşların büyük bir veri güvenliği olayının ardından karşı karşıya kaldığı, etkilenen kişilerin doğru bir şekilde tanımlanması ve bildirilmesi de dahil olmak üzere bazı zorlu zorlukları gösteriyor.
Gizlilik ve güvenlik danışmanlığı şirketi twSecurity’nin başkanı Tom Walsh, “Veri ihlallerini araştırmak zaman alıyor” dedi.
Örneğin, kimlik avı veya ele geçirilmiş e-posta hesapları bir siber güvenlik olayına karışıyorsa, “her çalışanın – veya e-posta kullanıcısının – posta kutularından kaydedilen tüm e-posta mesajlarının, korunan sağlık bilgileri veya kişisel olarak tanımlanabilir bilgi içeriği açısından incelenmesi gerekir.” söz konusu.
Bir kuruluşun büyüklüğüne, kaç e-posta hesabının etkilendiğine, e-posta hesapları ele geçirilen çalışanların görev süresine ve şirketin eski e-postaların temizlenmesini, kimin PHI veya PII’sinin ele geçirildiğini içeren bir e-posta saklama politikası olup olmadığına bağlı olarak değişir. Walsh, haftalar veya aylar sürebileceğini söyledi.
“Bir isim listesi oluşturulduktan sonra, bir hastaya aynı ihlalle ilgili birden fazla bildirim göndermeyi ortadan kaldırmak için listenin kopyalar için kontrol edilmesi gerekiyor” dedi. “Bir veri ihlalinden ne kadar çok hasta etkilenmiş olabilirse, etkilenenlerin isim ve iletişim bilgilerinin listesini belirlemek o kadar uzun sürüyor.”
İhlal Ayrıntıları
ILS, eyalet çapında bir Medicaid uzun vadeli bakım sağlayıcı hizmet ağı olan Florida Community Care’in yanı sıra huzurevlerinde, destekli yaşam tesislerinde veya evde yaşayan ve karmaşık sorunları olan hastalar için bir Medicare Advantage özel ihtiyaç planı olan Florida Complete Care’in sahibi ve işletmecisidir. kapsamlı bakım ve koordinasyon gerektiren sağlık sorunları.
Güncellenmiş ihlal bildiriminde ILS, olayla ilgili soruşturmasının “yetkisiz bir aktörün” 30 Haziran ile 5 Temmuz 2022 arasında belirli ILS sistemlerine erişim sağladığını belirlediğini söyledi.
ILS, “Bu süre zarfında, ILS ağında depolanan bazı bilgiler yetkisiz aktör tarafından alındı ve diğer bilgilere erişilebilir ve potansiyel olarak görüntülendi.” Dedi.
ILS, güvenliği ihlal edilmiş olabilecek bilgilerin kapsamını anlamak ve etkilenen kişileri belirlemek için kapsamlı bir inceleme yürüttüğünü söyledi.
ILS, “Bu incelemenin sonuçlarını 17 Ocak’ta aldık ve ardından sonuçları doğrulamak için mümkün olan en kısa sürede çalıştık ve potansiyel olarak etkilenen bireylere ve ilişkili veri sahiplerine, yürürlükteki yasa ve sözleşmenin gerektirdiği şekilde bildirimde bulunduk” dedi.
Potansiyel olarak tehlikeye atılmış bilgiler arasında ad, adres, doğum tarihi, devlet tanımlayıcıları, mali hesap bilgileri, zihinsel veya fiziksel rahatsızlıkların tedavisi ve tanı kodları yer alır.