WebTPA Veri İhlalini Çözmek: Uzman Analizi ve Perspektifler


Son WebTPA veri ihlali yaklaşık 2,4 milyon kişiyi etkiledi ve bir ağ sunucusuna yetkisiz erişim, kişisel bilgilerin potansiyel olarak açığa çıkmasına neden oldu. 28 Aralık 2023’te tespit edilen ihlalin 18 Nisan ile 23 Nisan 2023 arasında gerçekleştiğine inanılıyor. Ele geçirilen veriler arasında isimler, iletişim bilgileri, doğum ve ölüm tarihleri, Sosyal Güvenlik numaraları ve sigorta bilgileri yer alabilir. Ancak mali ve sağlık tedavi bilgilerinin etkilenmediği bildirildi.

WebTPA o zamandan bu yana etkilenen tarafları bilgilendirdi ve gelecekteki olayları önlemek için ağ güvenliğini artırırken kredi izleme ve kimlik hırsızlığına karşı koruma hizmetleri sundu. Veri güvenliğinde ihmal ve gecikmiş ihlal bildirimi iddiasıyla çok sayıda toplu dava açıldı.

Uzmanlar ihlalle ilgili düşüncelerini paylaşıyor ve ihlallerin sağlık sistemi üzerindeki etkisi genel olarak halk üzerinde devam ediyor.

Kiran Chinnagangannagari, Kurucu Ortak, Ürün ve Teknolojiden Sorumlu Başkan, Securin

“Bu yıl sağlık hizmeti veri ihlallerinin sayısı şaşırtıcı: 283 ve Ocak ayından beri bu sayı artıyor. Bu, sağlık sistemimizin kırılganlığının ve düşmanların kasıtlı olarak kritik altyapıyı hedef aldığının açık bir hatırlatıcısıdır. Change Healthcare, Ascension Hospital Chain, MediSecure ve WebTPA’daki son ihlallere bakın; siber tehditlerin kurbanı olan sağlık kuruluşlarının kim olduğu gerçektir.

Bu yeterince endişe verici değilse şunu düşünün: Dünya çapında internete açık yaklaşık 118.500 OT/ICS cihazı var ve bu cihazların %26’sını ABD oluşturuyor. Bu, zaten kırılgan olan sağlık sistemimizde kaosu serbest bırakmayı bekleyen, saatli bir bomba. Kuruluşların uyanması ve saldırı yüzeylerini izleme ve güvenlik altına alma sorumluluğunu üstlenmeleri gerekiyor; bu artık bir hoşluk değil zorunluluktur.

Daha iyimser bir ifadeyle, CISA’dan Eric Goldstein Temsilciler Meclisi duruşmasında, güvenlik açıklarının gerçek zamanlı görünürlüğünün federal sivil kurum saldırılarının yüzeyinde %79 gibi muazzam bir azalmaya yol açtığını ifade etti. Bu çok büyük bir kazanç! Bu, bağlayıcı operasyonel direktiflerin siber riski azaltmada gerçek bir fark yaratabileceğini gösteriyor. Daha geniş bir etki elde etmek için bu önlemlerin federal sivil kurumların ötesine genişletilmesi çok önemlidir.

WebTPA ihlali aynı zamanda rahatsız edici bir eğilimin de altını çiziyor: Güvenlik ihlallerinin çoğu, bir kuruluşun tedarik zincirindeki üçüncü taraf ortaklardan veya tedarikçilerden kaynaklanıyor. Bu acı bir gerçek ancak kuruluşların, ortaklarının siber güvenlik uygulamalarını değerlendirme konusunda gerçekçi olmaları gerekiyor. Bir adım daha ileri gitmek için SEC, dolaylı olarak tedarikçilerden kaynaklansa bile 8-K başvurularında olay ve ihlal raporlamasını zorunlu kılmalıdır. Siber güvenlik alanında biraz sorumluluk almanın zamanı geldi.”

Ilona Cohen, Hukuk ve Politika Direktörü, HackerOne

“Bu son ihlal, sağlık sektörünü etkileyen siber saldırılarda endişe verici bir artışa neden oluyor. Sağlık kuruluşları, özellikle sağlık hizmeti verilerinin kullanılması hastaların mahremiyetini ve güvenliğini riske attığında, ihlal olasılığını azaltmak için mevcut her aracı kullanmalıdır.

Etik hackleme, sağlık sektöründe siber tehditlere karşı önemli koruma sağlayan, yeterince kullanılmayan bir çözümdür. Yine de HIPAA gibi yasalar, iyi niyetli güvenlik araştırmaları ile kötü niyetli veri istismarı arasında net bir ayrım yapmıyor.

Etik bilgisayar korsanlarıyla işbirliği yapmak, sağlık sektörünün siber saldırıları daha gerçekleşmeden engellemesine, sonuçta hassas hasta verilerinin, tıbbi cihazların ve sağlık hizmeti altyapısının korunmasına yardımcı olabilir.

Kanun yapıcılar, güvenlik açıklarını iyi niyetle keşfetmenin bir ihlal teşkil etmediğini açıklayarak sağlık sektörüne yardımcı olabilirler. Aksi takdirde sağlık sektörü, siber saldırılar gerçekleşmeden güvenlik açıklarını tespit etme ve bunları düzeltme konusunda önemli bir avantajı kaybeder.”

Nathan Vega, Başkan Yardımcısı, Ürün Pazarlama ve Strateji, Koruma

“Kurumlar canlılıklarını sürdürebilmek için veri alışverişine güveniyor. Tüketiciler, e-postalar, adresler, Sosyal Güvenlik numaraları ve diğer kişisel tanımlayıcı bilgiler (PII) gibi hassas bilgileri, bu işletmelerin müşteri olarak kendilerini koruyacağı inancıyla ve verilerinin başka kişilere aktarılmasını önlemek için veri koruma ve gizlilik yasalarına uyacakları izlenimiyle paylaşırlar. yanlış ellere geçmek.

WebTPA veri ihlali, işletmeler ile müşterileri arasındaki varsayılan güvene ilişkin artan endişelerin bir örneğidir. Bu saldırı neredeyse 2,5 milyon insanı etkiliyor ve Sosyal Güvenlik numaralarını ve sigorta bilgilerini açığa çıkardı. 2023 yılının Nisan ayında meydana gelen bu veriler, bir yılı aşkın süredir müşterinin bilgisi olmadan kamu tüketimi için ortalıkta dolaşıyor.

Bu ihlal, hassas verilerin kimlik bilgilerinin gizlenmesinin tüketici bilgilerinin korunması açısından kritik öneme sahip olduğunu göstermektedir. Kuruluşların hassas verileri korumak için savunma katmanlarının ötesine geçmesi ve bunun yerine düzenleyicilerin önerdiği veri koruma yöntemlerine yönelmesi gerekiyor. Buna, verileri saldırganlar için kullanışsız hale getiren şifreleme ve tokenizasyon da dahildir; böylece verilerin çalınması ve kötü amaçlarla kullanılması imkansız hale gelir. Bu yapıldığında işletmeler çalınan verilerin değerini düşürüyor ve fidye ödemelerinin veya dolandırıcılık faaliyetlerinin kalıcı etkilerinden kaçınıyor.”

John Stringer, Ürün Müdürü, Next DLP

“Çok büyük miktarda kişisel ve finansal veri deposu olan sağlık şirketleri, son WebTPA ihlalinde hedeflenen bilgilerin de gösterdiği gibi, onları tehdit aktörleri için son derece cazip bir av haline getiriyor. Bu olay, bir ihlalin etkisini azaltmak için diğer güvenlik önlemleriyle birlikte veri kaybını önleme çözümlerinin öneminin bir hatırlatıcısı olmalıdır.

WebTPA kimlik izleme hizmetleri sunmuş ve herhangi bir fayda planı üye bilgisinin kötüye kullanıldığından habersiz olduğunu iddia etmiş olsa da, bu tüketiciler için hikayenin sonu anlamına gelmiyor. Onlara göre bu kişisel bilgi kaybı muhtemelen daha fazla kimlik avı ve dolandırıcılık girişimine yol açacaktır.”

Reklam



Source link