Dolandırıcılık Yönetimi ve Siber Suç, Sağlık, Sektöre Özel
Michigan Başsavcısı ve Kanun Koyucu, Michigan’ın Siber Korumayı Güçlendirmesini İstiyor
Marianne Sosis McGee (SağlıkBilgiGüvenliği) •
15 Ağustos 2024
McLaren Health Care, geçen hafta yaşanan yıkıcı fidye yazılımı saldırısının ardından BT sistemlerini onarmaya devam ederken, bazı Michigan hükümet yetkilileri tüketicileri, eyaletteki sağlık gruplarını ilgilendiren bu ve benzeri güvenlik olaylarından kaynaklanan potansiyel siber suçlar ve diğer ciddi endişeler konusunda uyarıyor.
Ayrıca bakınız: VMware Carbon Black Uygulama Denetimi
Michigan Başsavcısı Dana Nessel, tüketicilere, McLaren Health’e son bir yıl içinde yapılan ikinci büyük siber saldırının ardından kredi ve diğer hesaplarını izleme konusunda proaktif olmaları çağrısında bulundu.
Michigan’ın Grand Blanc kentindeki McLaren Health, eyalette 13 hastane ve diğer tesisleri işletiyor; bunlar arasında Michigan’ın en büyük kanser bakım merkezleri ağı da yer alıyor.
“Bu olaylar, en özel bilgilerimizin siber suçlular tarafından sürekli tehdit altında olduğuna dair açık bir uyarı görevi görüyor,” dedi Nessel. “Herkesi hesaplarını koruma konusunda dikkatli olmaya ve kişisel verilerin istismarına dair herhangi bir belirtiye karşı tetikte olmaya teşvik ediyorum.”
Nessel, uyarıda Michigan’ın hâlâ başsavcılık gibi eyalet düzenleyicilerine büyük veri ihlallerinin bildirilmesini zorunlu kılmayan azınlık eyaletlerden biri olduğunu söyledi.
“Diğer 30’dan fazla eyalette önemli ihlallerin eyaletlerce bildirilmesini gerektiren yasalar varken, Michigan bunlardan biri değil ve bizimki gibi tüketici koruma kuruluşları bu saldırıları çoğunlukla sadece medya haberlerinden öğreniyor” dedi.
McLaren Health’in son saldırısı – Mayıs ayında Ascension’a düzenlenen ve Michigan’dakiler de dahil olmak üzere birçok eyaletteki 100’den fazla hastanede kuruluşun BT hizmetlerini aksatan fidye yazılımı saldırısının hemen ardından geldi – bazı Michigan eyalet milletvekillerinin dikkatini çekti.
Michigan’ın Orion Township bölgesini temsil eden Cumhuriyetçi Eyalet Temsilcisi Donni Steele, geçen hafta eyalet meclisine “fidye yazılımı saldırıları düzenlemenin cezalarını artırması ve fidye yazılımlarına daha iyi yanıt vermek için yerel kolluk kuvvetleriyle ortaklıkları geliştirmesi” çağrısında bulundu.
Steele, yaptığı açıklamada, Michigan’da bir bilgisayar sistemine girmenin azami cezasının şu anda sadece beş yıla kadar hapis olduğunu, “fidye yazılımı bulundurmanın” azami cezasının ise üç yıla kadar hapis olduğunu söyledi.
“Toplumlarımız için sağlık hizmetleri üzerinde sıkı bir kontrol kuran suç çetelerinin yakalanırlarsa yalnızca beş yıl hapis cezasına çarptırılmaları kabul edilemez,” dedi. “Bu saldırılar ihtiyaç sahibi kişilerin tıbbi tedavisini aksatıyor. Hiçbir kanser hastası veya hamile anne, yerel bir hastanede bakım ararken siber suçlular konusunda endişelenmek zorunda kalmamalı.”
“Fidye yazılımı saldırılarına yönelik gevşek cezalar, bu suçluların Michigan’daki insanları ve işletmeleri hedef almasının önünü açıyor,” dedi Steele. “Açıkçası, bu tehdit ortadan kalkmıyor. Yasa koyucular sadece kenarda oturup her şeyin yoluna girmesini umamaz.”
Steele, meslektaşlarını siber tehditlerle mücadelede “bütüncül bir yaklaşım benimsemeye ve eyalet ve federal hükümetlerin yerel kolluk kuvvetleriyle ortaklık kurmasını sağlamaya” çağırdı.
“Polisin sağlık sistemimizi korumak için ihtiyaç duyduğu tüm kaynaklara sahip olmasını garanti altına almamız gerekiyor” dedi.
Steele, Information Security Media Group’un sağlık siber güvenliği mevzuatı sunmayı planlayıp planlamadığı da dahil olmak üzere ek yorum talebine hemen yanıt vermedi.
Son Saldırı
Geçtiğimiz hafta McLaren Health’e düzenlenen ve iddiaya göre fidye yazılımı grubu INC Ransom tarafından gerçekleştirilen saldırı, bir siber suçlu çetesinin bir yıldan kısa bir süre içinde kurumu hacklemesinin ikinci olayı oldu (bkz: McLaren Health Bir Yıl İçinde İkinci Kez Fidye Yazılımıyla Karşı Karşıya).
Geçtiğimiz Ekim ayında, Rusça konuşan fidye yazılımı çetesi BlackCat/Alphv, 6 terabayt McLaren Health verisini çaldığını iddia etti – 2 milyondan fazla hastanın hassas bilgilerini tehlikeye attı. Aylar önce, Ağustos 2023’te ağında şüpheli bir etkinlik tespit ettiğini söyleyen McLaren Health, BlackCat’e fidye ödeyip ödemediğini kamuoyuna açıklamadı. (bkz: Grup, Saldırıda 2,5 Milyon Hastanın Verilerini Çaldığını İddia Ediyor).
McLaren Health, 2023 yılındaki fidye yazılımı ihlalini 23 Ekim 2023’te ABD Sağlık ve İnsan Hizmetleri Bakanlığı’na bildirdi ve tahmini olarak yalnızca 501 kişinin etkilendiği belirtildi.
McLaren Health, daha önceki saldırıyla ilgili olarak hala birkaç federal toplu dava önerisiyle karşı karşıya olsa da, Migliaccio & Rathod LLP ve Console & Associates PC dahil olmak üzere bir avuç hukuk firması, son günlerde son saldırıyla ilgili olası davaları hazırladıklarını belirten açıklamalar yayınladı (bkz: McLaren Health Care, Fidye Yazılımı Saldırısında 3 Davayla Karşı Karşıya).
McLaren Health, pazartesi günü güncellenen olayla ilgili açıklamasında, geçen haftaki siber saldırının ardından operasyonlarını tamamen eski haline getirmek için çabalarını sürdürdüğünü söyledi.
McLaren Health’in hastaneleri ve klinikleri, eyalet genelindeki Karmanos Kanser Enstitüsü bakım tesislerindeki radyasyon tedavisi üniteleri de dahil olmak üzere “büyük ölçüde faaliyette”, bildiride belirtiliyor. Yine de, kuruluş, bazı McLaren Health hastanelerindeki ambulansların belirli koşullar nedeniyle yönlendirilmeye devam ettiğini söyledi.
McLaren Health ayrıca herhangi bir hasta veya çalışan verisinin tehlikeye atılıp atılmadığının henüz belirlenmediğini söyledi.
McLaren Health, ISMG’nin devam eden olayla ilgili ek ayrıntılara ilişkin talebine, BT sistemlerinin ne zaman tam olarak onarılmasının beklendiği ve McLaren Health’in tehdit aktörlerine fidye ödeyip ödemediği gibi ayrıntılara ilişkin talebine hemen yanıt vermedi.
Dayanıklılık Oluşturma
Bazı uzmanlar, McLaren’a yapılan son saldırı ve ABD genelindeki diğer sağlık hizmeti sağlayıcılarını da ilgilendiren benzer yıkıcı olayların sağlık sektörünü etkileyen rahatsız edici eğilimin sürdüğünü söyledi.
“Siber güvenliğin sadece güvenlikle ilgili olduğu günler sağlık sektörü için sona erdi,” dedi eski sağlık sektörü CIO’su ve güvenlik danışmanlık şirketi First Health Advisory’de yönetici başkan yardımcısı olan David Finn. “Buradaki oyunun adı siber dayanıklılık,” dedi.
“Bir saldırı, elektrik kesintisi, kötü bir yükseltme veya kritik bir üçüncü taraf olsun, sistemler çöktüğünde faaliyetlerinizi sürdürmek için bir planınız ve eylemleriniz olmalı ve kötü bir şey olduğunda hasta bakımını nasıl sürdüreceğinizi ve rutin operasyonları nasıl yürüteceğinizi ele almalısınız – olaydan önce, olayın ortasında değil,” dedi.