3. taraf risk yönetimi, veri ihlali bildirimi, veri güvenliği
Hastane Zinciri Olayının Merkezinde Eski İş Ortağı Üçüncü Taraf Yazılımı
Marianne Kolbasuk McGee (Healthinfosec) •
13 Mayıs 2025
Ascension Health, eski bir iş ortağını içeren yaklaşık 440.000 hastayı ve üçüncü taraf bir yazılım kırılganlığının istismarını içeren bir uzlaşma bilgilendiriyor. Bazı uzmanlar, olayın zamanlamasının, Cleo Communications’ın yönetilen dosya aktarım yazılımında geçen yılın sonlarında sıfır gün güvenlik açığının kullanılmasını içeren yüzlerce klop fidye yazılımı çete veri hırsızlığıyla sıralandığı görülüyor.
Ayrıca bakınız: Netskope Hipaa Haritalama Kılavuzunu Kullanma
Yükseliş ihlali, Missouri merkezli Katolik hastane zincirinin diğer üçüncü tarafları içeren son aylarda yaşadığı çeşitli veri güvenliği olayları arasındadır (bkz: bkz: Yükseliş hastaları üçüncü taraf hacklerin döküntüsü hakkında bildiriyor).
Ascension, 28 Nisan’da ABD Sağlık ve İnsan Hizmetleri Bakanlığı’na ihlal ettiğini, 437.329 kişiyi etkileyen bir ağ sunucusunu içeren bir hack olayı olarak bildirdi. Ancak Ascension’ın olayı belirten ihlal bildirimine rağmen, bir “eski iş ortağı” ve belirtilmemiş bir üçüncü taraf yazılım ürününü kullanmasını içeriyordu, Ascension, HHS’nin HIPAA Business Associate’i içerdiği için HHS’nin Sivil Haklar Ofisine ihlalini bildirmedi.
Breach Detayları
Yükseliş 28 Nisan’da ihlal hakkındaki bildiriminde, 5 Aralık 2024’te hasta bilgilerinin potansiyel bir güvenlik olayına katılmış olabileceğini öğrendiğini söyledi.
Ascension, “Soruşturmamız 21 Ocak’ta Yükselişin eski bir iş ortağına yanlışlıkla bilgi açıkladığını belirledi ve bu bilgilerin bir kısmı, eski iş ortağı tarafından kullanılan üçüncü taraf yazılımlardaki bir güvenlik açığı nedeniyle onlardan çalındı.” Dedi.
Diyerek şöyle devam etti: “O zamandan beri süreçlerimizi gözden geçirdik ve benzer olayların gelecekte gerçekleşmesini önlemek için gelişmiş önlemler uygulamak için çalışıyoruz.”
Olayda potansiyel olarak etkilenen bilgiler isim, adres, telefon numarası, e -posta adresi, doğum tarihi, ırk, cinsiyet ve sosyal güvenlik numarasını içerir. Yükseliş, hizmet yeri, doktor adı, kabul ve deşarj tarihleri, tanı ve faturalandırma kodları, tıbbi kayıt numarası ve sigorta şirketi adı gibi klinik bilgilerin de bazı kişiler için potansiyel olarak tehlikeye atıldığını söyledi.
Cleo Software Hack?
Bazı endüstri uzmanları, Ascension’ın eski iş ortağındaki yazılım olayının zamanlamasının, CLEO yönetilen dosya transfer yazılımında sıfır gün güvenlik açığının kullanılmasını içeren siber suç grubu Clop veri hırsızlığının zaman çizelgesine denk geldiğini iddia ediyor (bkz:: Clop fidye yazılımı Cleo Mass Sustamits için sorumluluk alır).
Salı günü yayınlanan yeni bir fidye yazılımı araştırma raporunda güvenlik firması BlackKite, Şubat ayının sonundan itibaren CLEO sömürüsü olayları yaşayan klop kurbanlarının sayısının 400’e yükseldiğini söyledi.
Ascension, olayın merkezindeki eski iş ortağının türü ve bir CLEO MTF yazılım güvenlik açığından istismar olup olmadığı da dahil olmak üzere, Bilgi Güvenliği Medya Grubu’nun ihlalle ilgili ek ayrıntılar talebine hemen yanıt vermedi.
Ascension, ihlalinin CLEO MFT yazılımının bir sömürüsünü içerdiğini doğrularsa, “Bu saldırı, tek bir yazılım kusurunun düzinelerce kuruluşu nasıl etkileyebileceğini gösteren hareket saldırılarını yansıtıyor” dedi.
“Bu, sağlık kuruluşlarının kendi verilerini, daha katı satıcı gözetimini, sağlam veri saklama politikalarını ve daha hızlı ihlal yönetimi ve birbirine bağlı bir ekosistemdeki hasta verilerini korumak için açıklama için sıfır güven mekanizmaları uygulama ihtiyacının altını çiziyor.” Dedi.
Karmaşık üçüncü taraf riskler
Diğer güvenlik uzmanları, yükseliş hasta verilerini içeren diğer bazı son olayların döküntüsünün sağlık sektörü kuruluşlarının ve satıcılarının üçüncü taraf risklerini dikkatle değerlendiren ve ele almanın önemini vurguladığını söyledi.
Güvenlik firması Huntress’ten Ciso, “Güçlü bir üçüncü taraf risk yönetimi programına sahip olmak, mevcut bir ilk iş modelinde mevcut yazılımda kritik öneme sahiptir.” Dedi. “Üçüncü taraf risk yönetimi, tedarikten önce satıcıyı değerlendirmeyi bırakmaz, ancak satıcının veya yüklenicinin yaşam döngüsüne bütünsel bir yaklaşım gerektirir” dedi.
“Olgun üçüncü taraf risk programları, satıcının hem kuruluşunuzdaki veriler hem de onlarla birlikte saklayacağınız verilere erişebileceği verilerin kritikliğine dayanarak tedarik sırasında riski değerlendirecektir.” Dedi. “Paylaşılan veriler, başlangıçta değerlendirilen riskin doğru kalmasını sağlamak için düzenli olarak gözden geçirilmelidir.”
Uygulamalar güvenlik firması Black Duck’ın altyapı güvenlik uygulama direktörü Thomas Richards, kuruluşların sadece kendi yazılım tedarik zincirinizi değil, aynı zamanda kritik iş ortaklarını da anlamalarının çok önemli olduğunu söyledi.
“Kuruluşlar güvenlik duruşlarını geliştirdikçe, saldırganlar uygun yatırım ve politika değişikliklerini yapmayan kolay hedefleri tehlikeye atmanın yollarını bulacaklar.” Dedi. Diyerek şöyle devam etti: “Sanırım kuruluşların, sistemlerine erişmelerine veya hassas bilgileri ele almalarına izin vermeden önce eşlerinin güvenliğini daha fazla incelediklerini göreceğiz.”