İhlal Bildirimi , Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi
Federal Sayımdan Ortaya Çıkan En Son Hacking, Satıcı Olayı Eğilimleri
Marianne Kolbasuk McGee (SağlıkBilgisi) •
7 Temmuz 2023
On milyonlarca kişiyi etkileyen, fidye yazılımı saldırılarını veya satıcılarını içerenler de dahil olmak üzere bilgisayar korsanlığı olayları, bu yıl şimdiye kadar federal düzenleyicilere bildirilen sağlık verisi ihlallerinin çoğunu açıklamaya devam ediyor.
Ayrıca bakınız: Canlı Web Semineri | Bankacılıkta İçeriden Gelen Tehditleri Ele Alma Sınırlamalarını Aşmak: Gerçek Güvenlik Zorlukları için Gerçek Çözümler
Sağlık ve İnsan Hizmetleri Bakanlığı’nın HIPAA İhlal Raporlama Aracında 2023’te şimdiye kadar yayınlanan 500 veya daha fazla kişiyi etkileyen sağlık verisi ihlallerinin Cuma günü analizi, bilgisayar korsanlığı olaylarının milyonlarca Amerikalı hastanın korunan sağlık bilgileri üzerindeki kalıcı ve kapsamlı etkisini gösteriyor. .
HHS sitesi, 336 büyük sağlık verisi ihlalinin 1 Ocak ile 30 Haziran arasında yaklaşık 41,4 milyon kişiyi etkilediğini gösteriyor – geçen yılın aynı döneminde etkilenen sayının neredeyse iki katı. HHS Sivil Haklar Ofisi’nin raporlarına göre, 2023’teki tüm ihlallerin 252’si veya %75’i, yaklaşık 37,3 milyon kişiyi veya etkilenen tüm bireylerin yaklaşık %90’ını etkileyen bilgisayar korsanlığı olaylarıydı.
İş ortakları, bu yıl şimdiye kadarki ihlallerin 125’ine veya yaklaşık %40’ına dahil oldu ve yaklaşık 21 milyon kişiyi veya büyük sağlık verisi ihlallerinden etkilenen kişilerin yaklaşık yarısını etkiledi. Bu iş ortağı ihlallerinin 23’ü hariç tümü bilgisayar korsanlığı olaylarını içeriyordu.
CISO ve güvenlik şirketi Critical Insight’ın kurucu ortağı Mike Hamilton, siber suçluların iş ortaklarına odaklanmasının “şaşırtıcı olmadığını” söyledi. “Suçluların en kolay giriş noktasını arama eğilimi, iş ortaklarını dahil etmeye devam ediyor” dedi ve bu satıcıların “suçluların sürünerek girdiği açık pencere” haline geldiğini de sözlerine ekledi.
Bu, bu yıl şimdiye kadar bildirilen en büyük sağlık verisi ihlalini içeriyor: Devlet Medicaid kurumlarını ve çocuk sağlık sigortası programlarını destekleyen bir iş ortağı olan Florida merkezli Managed Care North America, Fort Lauderdale’de bir bilgisayar korsanlığı olayı. MCNA ihlali, çeşitli eyaletlerin sağlık ve insan hizmetleri departmanları da dahil olmak üzere 100’den fazla müşteri kuruluşunu ve yaklaşık 9 milyon kişiyi etkiledi (bkz.: Diş Sağlığı Sigortacısı Hack’i Yaklaşık 9 Milyonu Etkiliyor).
2023 Yılında Şimdiye Kadarki En Büyük Sağlık Verisi İhlalleri
| İhlal Edilen Varlık | Etkilenen Bireyler |
|---|---|
| Kuzey Amerika Yönetilen Bakımı | 8.9 Milyon |
| Eczane | 5.8 Milyon |
| Regal Medikal Grubu | 3.3 Milyon |
| serebral | 3.2 Milyon |
| NationsBenefits Holdings | 3 milyon |
| Harvard Hacı Sağlık Hizmetleri | 2.6 Milyon |
| Enzo Klinik Laboratuvarları | 2.5 milyon |
| GÜMRÜK HİZMETLERİ | 997.000 |
| Toplum Sağlığı Sistemleri Profesyonel Hizmetleri | 963.000 |
| CentraState Sağlık Sistemi | 620.000 |
HHS OCR çetelesine bu yıl şimdiye kadar bildirilen en büyük 10 HIPAA ihlalinden dokuzu, birkaç fidye yazılımı ve hırsızlık olayı ve dahil olan dört iş ortağı da dahil olmak üzere bilgisayar korsanlığı ihlaliydi.
2023’te bugüne kadarki en büyük fidye yazılımıyla ilgili ihlaller, yaklaşık 6 milyon kişiyi etkileyen kurumsal eczane PharMerica tarafından ve yaklaşık 3,3 milyon kişiyi etkileyen Kaliforniya tıp grubu Regal Medical Group tarafından bildirildi.
2022 yılı ortası ile karşılaştırıldığında, büyük sağlık veri ihlallerinin federal çetelesi, 2023’te şimdiye kadar bildirilen vakaların biraz daha az olduğunu gösteriyor, ancak çok daha fazla kişi etkileniyor. 14 Temmuz 2022 tarihli HHS OCR çetelesinin anlık görüntüsü, 2022’nin ilk altı ayı için çeteleye gönderilen yaklaşık 22,5 milyon kişiyi etkileyen yaklaşık 360 büyük sağlık ihlali gösteriyor. 2023’ün ilk yarısında kurbanların sayısı %84 arttı 41.4 milyona Fidye yazılımı olayları ve satıcı ihlalleri de o dönemdeki olaylara hakim oldu.
Hamilton, sağlık sektöründeki ihlallerin birçoğunun, genellikle yama yapılmamış güvenlik açıklarının istismar edilmesini içeren bilgisayar korsanlığı olayları olduğuna dikkat çekti. “Tehdit aktörlerinin güvenlik açıkları ve yama sürümleri duyurularını silah haline getirme eğilimi hız kesmeden devam ediyor ve sağlık sektörü internetin maruz kaldığı güvenlik açıklarını agresif bir yama süreciyle tedavi etmiyor” dedi.
Bu tür ihlalleri daha iyi kavramak için Hamilton, kuruluşların “internete maruz kalan bir üründeki bir güvenlik açığı duyurusunu bir olay olarak ele almalarını ve bu dili iş ortakları anlaşmalarına yerleştirmelerini” tavsiye ediyor.
Diğer İhlaller
Saldırıların ardından, yetkisiz erişim/ifşa olayları, bu yıl şimdiye kadar çetelede yayınlanan en yaygın ikinci sağlık verisi ihlali kategorisidir. Şimdiye kadar yayınlanan yaklaşık 4,1 milyon kişiyi etkileyen 71 yetkisiz erişim/ifşa ihlali olmuştur.
Bunlardan birkaçı, bireylerin kişisel bilgilerini bireylerin rızası olmadan üçüncü taraf pazarlama, reklam veya sosyal medya şirketleriyle paylaşan web sitelerinde izleme araçlarının kullanılmasıyla ilgiliydi.
Çevrimiçi akıl sağlığı hizmetleri firması Cerebral, bu yıl şimdiye kadarki en büyük olayı bildirdi. Mart ayında San Francisco merkezli şirket, yaklaşık 3,2 milyon kişiyi etkileyen, çevrimiçi akıl sağlığı değerlendirmeleri de dahil olmak üzere PHI’nin pikseller ve benzer web izleme teknolojilerini TikTok, Facebook gibi üçüncü taraflarla “yanlışlıkla” paylaşmasını içeren bir ihlal bildirdi. Google’a bakın (bkz: Akıl Sağlığı Verilerinin O Kadar Serebral Olmayan Paylaşımı Milyonlara Ulaştı).
HHS OCR, Aralık ayında, HIPAA kapsamındaki kuruluşların, izleyicilerin PHI’yi hastanın izni olmadan iletmesi veya kuruluşların teknoloji izleme sağlayıcılarıyla imzalanmış bir iş ortaklığı sözleşmesi olmaması durumunda web sitesi izleme teknolojilerini kullanamayacağına dair uyarıda bulundu (bkz.: HHS: Hasta Portallarındaki Web Takipçileri HIPAA’yı İhlal Ediyor).
HHS OCR yetkilileri ayrıca, web sitesi izleyicilerinin kullanımını içeren HIPAA ihlallerinin en önemli uygulama önceliği haline geldiğini belirtti. Şimdiye kadar, ajans izleyicileri içeren bir HIPAA yaptırım eylemi yayınlamadı (bakınız: HHS OCR Lideri: Ajans, Web Sitesi İzleyicilerini Sıkılaştırıyor).
Bu yıl şu ana kadar federal davadan çıkan nispeten iyi haber, şifrelenmemiş cihazların kaybolmasını veya çalınmasını içeren ve toplam 12.305 kişiyi etkileyen yalnızca beş ihlalin bildirilmiş olmasıdır. 10 yıldan daha kısa bir süre önce, şifrelenmemiş bilgi işlem cihazları ve medyayı içeren olaylar, sağlık verisi ihlallerinin 1 numaralı kategorisiydi ve her yıl milyonlarca kişiyi etkiliyordu.
Bugüne kadar yaklaşık 431 milyon kişiyi etkileyen 5.598 büyük sağlık verisi ihlali, 2009’dan bu yana HHS OCR çetelesine kaydedildi.