İhlal Bildirimi, Dolandırıcılık Yönetimi ve Siber Suç, Sağlık
Bu arada, Değişim Sağlık Hizmetleri’nin Büyük Saldırıda İhlal Raporu İçin Bekleyiş Devam Ediyor
Marianne Sosis McGee (SağlıkBilgiGüvenliği) •
26 Temmuz 2024
ABD hastane zinciri Ascension, yedi sunucudan veri çalınmasını ve birkaç eyaletteki tesislerde hasta bakım hizmetlerinin haftalarca aksamasını içeren 8 Mayıs fidye yazılımı saldırısıyla ilgili ilk ihlal raporunu federal düzenleyicilere sundu. Bildirim, ihlalin en az 500 kişiyi etkilediğini belirten bir yer tutucudur.
Ayrıca bakınız: Sağlık Hizmetlerinin Güvence Altına Alınması: Sürekli Değişen Bir Tehdit Ortamında Riski En Aza İndirmek
Ascension, son derece yıkıcı ve dikkat çekici fidye yazılımı saldırılarından etkilenen iki sağlık firmasından biridir. Yazılım satıcısı Change Healthcare’in, Şubat ayındaki bir siber saldırıdan kaynaklanan veri ihlalini Temmuz ayı sonuna kadar bildirmesi bekleniyor. İki olayın bir araya gelmesinin on milyonlarca kişiyi etkilemesi bekleniyor.
Ascension’ın ABD Sağlık ve İnsan Hizmetleri Bakanlığı’na sunduğu 3 Temmuz tarihli rapor, Cuma günü HHS Sivil Haklar Ofisi’nin HIPAA İhlal Bildirim Aracı web sitesinde yayınlandı ve 500 veya daha fazla kişiyi etkileyen büyük HIPAA ihlallerini sıraladı.
Ascension, Cuma günü Information Security Media Group’a yaptığı açıklamada, 500 veya daha fazla kişiyi etkileyen korunan sağlık bilgisi ihlallerini bildirmek için verilen 60 günlük ihlal bildirim süresine uymak amacıyla geçici raporu HHS OCR’ye sunduğunu söyledi.
“Bu rapor ön rapordu ve Ascension’ın düzenleyici yükümlülüklerini yerine getirdiğinden emin olmak için dosyalandı. Ascension, Mayıs ayındaki olaydan etkilenen verilerin niteliğini ve kapsamını incelemek için üçüncü taraf uzmanlarla birlikte çalışmaya devam ediyor,” ifadeleri yer alıyor.
“Bu inceleme tamamlandıktan sonra Ascension bulgularını sonlandıracak, raporunu OCR’ye güncelleyecek ve yasal ve düzenleyici yükümlülüklerimize uygun olarak bireyleri bilgilendirecektir.”
Ascension’ın etkilenen verileri analiz etmesinin birkaç hafta daha sürmesi bekleniyor.
Missouri merkezli grup, Haziran ayında fidye yazılımı saldırganlarının, bir çalışanın yanlışlıkla kötü amaçlı yazılım içeren bir dosyayı indirmesi sonucunda BT ağına erişerek kuruluşun 25.000 sunucusundan yedisinden dosya çaldığını söyledi (bkz: Çalışan Tarafından İndirilen Kötü Amaçlı Yazılım Ascension Fidye Yazılımı Saldırısına Neden Oldu).
Ascension soruşturmasına yakın kaynaklar, saldırının arkasında Rusça konuşan fidye yazılımı grubu Black Basta’nın olduğunu söyledi ancak Ascension saldırgan hakkında kamuoyuna bir açıklama yapmadı.
Ascension, 8 Mayıs’ta olayı keşfettikten kısa bir süre sonra, 140 hastanesini ve diğer sağlık tesislerini işlettiği 19 eyaletin çoğunda elektronik sağlık kayıtları, eczane ve diğer klinik BT sistemlerini kapattı (bkz: Ascension’ın Siber Saldırı Kesintisinin Etkisi Bölgeye Göre Değişiyor).
Kuruluş, internet sitesinde yayınladığı güncellemede, kesintiden etkilenen bölgelerde BT sistemlerinin ve hizmetlerinin geri yüklendiğini belirtti.
Bekleme Oyunu
Bu arada, Change Healthcare’in federal düzenleyicilere bir ihlal raporu sunması ve şirketin 21 Şubat’taki büyük siber saldırısında hassas bilgileri tehlikeye giren on milyonlarca kişiye bildirimde bulunmaya başlaması bekleniyor.
UnitedHealth Group’un BT hizmetleri birimi olan Change Healthcare, geçen ay bir “yedek” HIPAA ihlal bildirimi yayınladı ve olaydan etkilenen sağlık sektörü müşterilerine bildirimde bulunmaya başladı. Etkilenen kişilere ihlal bildirimlerinin Temmuz sonuna kadar başlamasının muhtemel olmadığını söyledi (bkz: Change Healthcare, Saldırıdan Etkilenen Müşterileri Bilgilendirmeye Başlıyor).
Federal ajansın direktörü Melanie Fontes Rainer, New York’ta düzenlenen Information Security Media Group Sağlık Siber Güvenlik Zirvesi’nde yaptığı sohbette, Change Healthcare’in 18 Temmuz itibarıyla hala HHS OCR’ye bir ihlal raporu sunmadığını söyledi.
Cuma günü itibarıyla HHS OCR ihlali bildirim web sitesinde Change Healthcare tarafından yapılmış bir rapor hala yer almıyordu.
Change Healthcare, Cuma günü yaptığı açıklamada ISMG’ye, şirketin olayın durumunu kamuoyuyla güncellemeye devam ettiğini ve geçen ay yedek ihlal bildirimini yayınladığını söyledi.
Change Healthcare ayrıca bildirim süreci hakkında HHS OCR ve diğer düzenleyicilerle düzenli iletişim halindedir. Change Healthcare, “Potansiyel olarak etkilenen bireyleri mümkün olan en kısa sürede bilgilendirmeye kararlıyız ve verilerinin potansiyel olarak etkilenebileceği konusunda endişe duyan kişilere derhal destek ve sağlam koruma sağlıyoruz” dedi.
Şirket, etkilenen dosyaların yüzde 90’ından fazlasının incelendiğini söyledi.
BakerHostetler hukuk firmasından düzenleyici avukat Sara Goldstein, Change Healthcare’den bildirimlerin önümüzdeki günlerde başlayacağını beklediğini söyledi.
“HIPAA kapsamındaki kuruluşların, olay keşfedildikten sonraki 60 gün içinde bireylere mümkün olan en kısa sürede bildirimde bulunmaları gerekiyor. Fidye yazılımı saldırıları gibi büyük olaylarda, kapsam dahilindeki kuruluşların soruşturmalarını tamamlamaması veya olay keşfinden sonraki 60 gün içinde bildirim gerektiren tüm bireyleri tespit etmemesi çok yaygındır,” dedi.
Bu nedenle, birçok kuruluşun benimsediği stratejinin mümkün olduğunca çok sayıda kişiye haber vermek ve keşfin ardından 60 gün içinde yedek bir bildirim, medya bildirimi ve HHS OCR bildirimi sağlamak olduğunu ve daha fazla bilgi mevcut oldukça bu bildirimleri güncellemek olduğunu söyledi.
Bu ayın başlarında Massachusetts, California, New Hampshire ve diğer bazı eyaletlerin başsavcıları, tüketicileri Change Healthcare saldırısında çalınan verilerle ilgili olası kimlik hırsızlığı ve diğer dolandırıcılık suçları konusunda uyardı.
Bu tüketici uyarıları, 22 eyalet başsavcısının Haziran ayında UHG CEO’su Andrew Witty’ye gönderdiği ve şirketin daha fazla şeffaflık sağlaması ve olaydan etkilenen sağlık kuruluşlarını, eczaneleri ve hastaları korumak için “anlamlı adımlar” atması yönündeki çağrıyı içeren mektubun ardından geldi (bkz: Eyalet Başsavcıları ve Endüstri Grupları Sağlık Destanı Değişiminde Harekete Geçilmesini İstiyor).
Witty, Nisan ayında iki kongre komitesi önünde, AlphV/BlackCat fidye yazılımı çetesinin Change Healthcare’e yaptığı saldırının ABD nüfusunun üçte birinin – veya yaklaşık 100 milyon kişinin – bilgilerini potansiyel olarak etkilediğini ifade etti. Witty, UHG’nin 22 milyon dolarlık fidye talebinde bulunduğunu söyledi (bkz: UnitedHealth CEO’su: Fidye Ödemek Hayatımın ‘En Zor Kararıydı’).
Düzenleyici avukat Rachel Rose, kapsam dahilindeki kuruluşların HHS OCR’ye büyük HIPAA ihlallerini bildirmeleri için 60 günlük süreye yaklaştıklarını ancak etkilenen kişi sayısının tam olarak ne kadar olduğundan emin olmadıklarını belirterek, kuruluşların olayları “en az 500 kişiyi” veya “şu anda bilinen 500 kişiyi” etkilediği şeklinde bildirmelerini önerdiğini ve daha fazla bilginin yakında açıklanacağını söyledi.
“Bu nedenle 60 günlük zaman dilimi karşılanmış olup, yapılan açıklama doğrudur ancak gerekirse etkilenen kişiler de dahil olmak üzere ek bilgi için esneklik sağlamaktadır” dedi.
Rose, HHS OCR’nin Change Healthcare ile düzenli iletişim halinde olduğunu ve HIPAA düzenlemelerinin FBI veya diğer düzenleyiciler gibi kolluk kuvvetlerinin bir vakayı soruşturmaya dahil olması durumunda bir miktar hareket alanı sağladığını söyledi.
“Change Healthcare’in mevcut düzenleyici dil uyarınca resmi raporlama yapması için zaman çerçevesinin değiştirilmiş olması mümkün” dedi.