3. Taraf Risk Yönetimi, Yönetişim ve Risk Yönetimi, Olay ve İhlallere Müdahale
Sağlık Analizi Firması, Hackerların MSP Ağını Hackleyerek 1 Milyon Veriyi Çaldığını Söyledi
Mathew J. Schwartz (euroinfosec) •
2 Mayıs 2024
Yönetilen bir hizmet sağlayıcı, bir müşterinin, 1,1 milyon kişinin kişisel bilgilerinin açığa çıkmasına neden olan bir veri ihlalinin sorumluluğunu yanlışlıkla üstlenmeye çalıştığını söyledi.
Ayrıca bakınız: Saldırı Simülasyonu ile Risk Nasıl Belirlenir ve Giderilir
Tıbbi veri analitiği işletmesi olan Maine’deki bir danışmanlık firması, 25 Nisan’da 1,1 milyon ABD sakinine, bilgisayar korsanlarının Sağlık Analitiği Uygulama Grubu tarafından saklanan tanımlayıcı verileri tehlikeye attığını bildireceğini belirten bir veri ihlali bildirimi sundu (bkz: Sağlık Analitiği Firması İhlalin 1,1 Milyon Kişiyi Etkilediğini Bildirdi).
Geçen yılın sonlarında Berry, Dunn, McNeil & Parker web sitesine gönderilen bir bildirimde danışmanlık şirketi, ihlal nedeniyle yönetilen hizmet sağlayıcısı Reliable Networks of Maine’i işaret etti.
Reliable şimdi suçun diğer tarafta olduğunu söylüyor: Şirket, eski müşterisinin ihlalden MSP’yi suçlayarak “anlatıyı kontrol etme çabasıyla” “iftira atmayı” seçtiğini söylüyor.
BerryDunn’un bildiriminde, BerryDunn’un ihlali araştırmak için dışarıdan uzmanlar işe almasının ardından, “soruşturmada yetkisiz bir aktörün Reliable’ın ağına erişim sağladığı ve HAPG sistemlerinde depolanan bazı verileri ele geçirdiğinin tespit edildiği” belirtiliyor. BerryDunn, ifşa edilen verileri incelemesi ve etkilenen kişileri belirlemesi için üçüncü bir tarafı görevlendirdi ve bu süreç 2 Nisan’da sona erdi ve ardından mağdurları ve düzenleyicileri bilgilendirmeye başladı.
Bu, Reliable Networks’ün birçok cephede tartıştığı olayların BerryDunn versiyonu. Reliable, görünürdeki ihlal hakkında ilk olarak BerryDunn’a doğrudan bildirimde bulunduğunu ve bunun Reliable’a ait veya güvenliği sağlanan herhangi bir sistem veya ağla ilgili olmadığını söyledi.
Reliable Networks başkanı Chris Provencher tarafından Bilgi Güvenliği Medya Grubu ile paylaşılan bir açıklamada, “Berry Dunn’ın asılsız iddialarının aksine, BerryDunn’ın kendi ağı ve sistemi, Reliable Networks’ün hatası olmaksızın üçüncü bir tarafça ihlal edildi” diyor.
Reliable, BerryDunn ile “yıllarca BerryDunn’un kendi ağları için teknoloji danışmanlık hizmetleri, isteğe bağlı BT desteği ve eğitimi ile bakım ve izleme hizmetleri sağladığını” söyledi. MSP, BerryDunn’un “siber güvenlik koruma/önleme sağlayıcısı olarak hizmet verecek Güvenilir Ağları elinde tutmadığını” söyledi.
BerryDunn’un veri ihlali bildiriminin iddialarının aksine Reliable, “veri ihlalinin Reliable Networks’ün kendi ağında veya dahili sistemlerinde meydana gelmediğini” söyledi. Ayrıca, “Reliable Networks’ün diğer müşterilerinin ağları veya sistemleri bu veri ihlalinden etkilenmedi.”
BerryDunn çok sayıda yorum talebine yanıt vermedi.
Şirketin web sitesi, analitik grubunun, kısmen sağlık sigortası talep verilerinin analiz edilmesiyle desteklenen politika ve programları test etmelerine yardımcı olmak için devlet düzenleyici ve sağlık politikası kurumları, sigortacılar ve sağlayıcılarla birlikte çalıştığını söylüyor.
BerryDunn’un hangi belirli müşterilerinin (ve buna bağlı olarak üyelerinin veya müşterilerinin) ihlalden etkilenmiş olabileceği açık değil.
Geçtiğimiz yıl, 3,9 milyon üyesi olan ve Pittsburgh Üniversitesi Tıp Merkezi’ne ait olan UPMC Sağlık Planı, BerryDunn’un ilk ihlal bildirimini işaretledi ve ihlalin “bazı üyelerin korunan sağlık bilgilerini etkilemiş olabileceği” konusunda uyardı.