Sağlık hizmetleri, olay ve ihlal yanıtı, sektöre özgü
4 ihlalin birkaç eyalette yüz binlerce kişiyi etkilediği görülmektedir.
Marianne Kolbasuk McGee (Healthinfosec) •
1 Mayıs 2025
Missouri merkezli Katolik hastane zinciri Ascension Health, son aylarda üçüncü tarafları içeren en az dört hack olayının birkaç eyaletinde yüz binlerce kişiyi bilgilendiriyor.
Ayrıca bakınız: Bulut Analytics ve Veri Maskeleme: Kamu Bulutlarında Makine Öğreniminden En İyi Öğrenimden yararlanmak
19 eyalette 140 hastane ve 40 üst düzey bakım tesisi ve Columbia Bölgesi’ni işleten Ascension, bu hafta ihlallerden birini, bir diğerini Nisan ortasında bildirdi ve Mart ve Şubat aylarında kuruluşun web sitesindeki iki olay hakkında halka açık bildirimler yayınladı.
Perşembe itibariyle, olayların yarısı henüz ABD Sağlık ve İnsan Hizmetleri Bakanlığı’nın Sivil Haklar Dairesi’nin HIPAA ihlali raporlama aracı web sitesinde 500 veya daha fazla kişiyi etkileyen sağlık veri ihlallerini listelememiştir.
Bazı ihlal raporlarına dayanarak, birkaç devlet düzenleyicisine açılan yükseliş, olaylar potansiyel olarak yüz binlerce kişiyi etkiledi.
Salı günü Ascension, Texas’ın başsavcılığına, bu devletin yaklaşık 116.000 sakininin, kuruluşun 4 Aralık 2024’te öğrendiği bir veri güvenliği olayından etkilenenler arasında olduğunu söyledi.
Alabama, Michigan, Indiana, Tennessee ve Teksas’taki yükseliş yerlerinden gelen hasta bilgilerini etkileyen bu olay, yükselişin eski bir iş ortağına yanlışlıkla bilgi ifşa ettiğini ve bu bilgilerin bazılarının eski iş ortağı tarafından kullanılan üçüncü taraf yazılımlarındaki kırılganlık nedeniyle onlardan çalındığını “söyledi.
Ascension, bu beş eyaletteki yükseliş yerlerinden gelen hasta verilerinin dahil olduğunu bildirdi. Organizasyon ayrıca, aynı olay için, Yükseliş’in herhangi bir hastane çalıştırmadığı Massachusetts de dahil olmak üzere diğer eyaletlerdeki birkaç avukat için ihlal raporları sundu.
Ascension’ın Massachusetts Başsavcısı’na verilen raporu, bu eyaletin 96 sakininin etkilendiğini söyledi.
Yükseliş, yanlışlıkla hasta bilgileri sağlanan eski iş ortağını kamuya açık bir şekilde tanımlamamış veya veri hırsızlığından yararlanan üçüncü taraf yazılım kırılganlığını belirtmemiştir. Ascension, olayın kuruluşun sistemlerini, ağlarını veya elektronik sağlık kayıtlarını içermediğini söyledi.
Bu ihlalin yanı sıra, 14 Nisan’da Yükseliş, Missouri merkezli hukuk firması Scharnhorst Ast Kennard Griffin veya Sakg ile ilgili ayrı bir üçüncü taraf güvenlik ihlali gibi görünen bir bildirim yayınladı. Bu hafta bildirilen diğer ihlal gibi Ascension, SAKG olayının Yükseliş Sistemleri, Ağlar veya Elektronik Sağlık Kayıtlarını tehlikeye atmadığını söyledi.
Ascension, 1 Ağustos 2024’te Sakg’ın çevrelerindeki şüpheli faaliyetlerin farkına vardığını söyledi. Bir soruşturma, “17 Temmuz 2024 ve 6 Ağustos 2024 arasında belirli bilgilerin izlendiğini veya yetkisiz bir aktör tarafından alındığını belirledi. Sakg, 14 Şubat 2025’te etkilenen bireylerin yükselişini bildirdi” dedi.
Bu olayda tehlikeye atılan bilgiler, isim, telefon numarası, doğum tarihi, ölüm tarihi, sosyal güvenlik numarası, ehliyet, yarış ve tıbbi tedavi ile ilgili bilgileri içerir.
SAKG, Bilgi Güvenliği Medya Grubu’nun, yükselişin ötesindeki diğer müşterilerin etkilenip etkilenmediği ve verileri potansiyel olarak tehlikeye atılan kişi sayısı da dahil olmak üzere, hackleme olayı hakkında ek ayrıntılar talebine hemen yanıt vermedi.
3 Mart’ta Yükseliş, web sitesinde, Teksas’taki Ascension Seton’a telehealth hizmetleri sağlayan üçüncü taraf bir iş ortağı olan Access Telecare ile ilgili bir veri güvenliği olayı ile ilgili bir bildirim yayınladı. Ascension, bu olayın yükseliş sistemlerini, ağları veya EHR’leri de içermediğini söyledi.
HHS OCR’nin web sitesi, Teksas merkezli Access Telecare’nin olayı 8 Mart’ta ajansa yaklaşık 62.700 kişiyi etkileyen bir e-posta hack’i olarak bildirdiğini gösteriyor.
Bu olaylara ek olarak, 14 Şubat’ta Ascension, belirli Ascension hastanelerine yara bakımı yönetimi hizmetleri sunan üçüncü taraf bir firma olan Restorix Health’den bildirim aldığını söyledi. Hastane zinciri, diğer ihlaller gibi, bu olayın da herhangi bir yükseliş sistemi, ağ veya EHR içermediğini söyledi.
HHS OCR web sitesi, Louisiana merkezli Restorix’in 14 Şubat’taki ihlalin yaklaşık 39.000 kişiyi etkileyen yetkisiz erişim/ifşa e-posta olayı olarak bildirdiğini gösteriyor.
Bu hafta Teksas Başsavcısı’na bildirilen ihlalin yanı sıra, Ascension 4 Şubat’ta bu devlet düzenleyicisine, yaklaşık 153.781 sakinin, bireylerin sosyal güvenlik numarasını, ehliyet numarasını, finansal ve tıbbi bilgilerini tehlikeye attığı bir ihlalde etkilendiğini bildirdi.
Teksas Başsavcısı’na 4 Şubat İhlal raporunun hangi yükseliş olayının dahil olduğu açık değildir.
Ascension, ISMG’nin etkilenen kişi sayısı ve olaylardan herhangi birinin birbiriyle ilişkili olup olmadığı konusunda açıklama da dahil olmak üzere üçüncü taraflarla ilgili dört ihlalle ilgili detaylara ilişkin talebine hemen yanıt vermedi.
Üçüncü taraf riski
Güvenlik firması Lumifi Cyber Field Ciso Mike Hamilton, üçüncü tarafların genellikle ilk erişim için hedeflendiğini söyledi.
Google Mandiant ve Verizon’dan gelen son raporlar “üçüncü tarafların dahil olduğu olaylarda bir artış olduğunu ve küçük ve orta ölçekli işletmelere odaklandığını gösteriyor. Her iki sinyal de bu durumda açıktır” dedi.
Hamilton, dört iş ortağının yükseliş ile ilgili hasta kayıtlarını açıkladığı “rastgele olabilir, ancak yaratılan algı, yükseliş hasta verilerini elde etmek için uyumlu girişimler olmasıdır.” Dedi.
“Ancak, bu küçük kuruluşların organizasyonel siber güvenliğe uygulanacak aynı kaynaklara sahip olmaları muhtemel olmadığı için fırsat suçları olduğu daha inanılır.” Dedi.
“Sorulması gereken ilginç soru, üçüncü tarafları tehlikeye atmak için kullanılan araçların, tekniklerin ve prosedürlerin benzer olup olmadığıdır – eğer öyleyse, tek bir suç işletmesi önermek” dedi.
Yükseliş üçüncü taraf satıcılarını içeren son olayların döküntüsü, Aralık 2024’te yaklaşık 5.6 milyon mevcut ve eski hastaların ve çalışanların, veri hırsızlığı da içeren son derece yıkıcı bir Mayıs 2024 fidye yazılımı saldırısından etkilendiğini bildirir (bakınız: bkz: Fidye yazılımı hackinden etkilenen 5.6 milyonu bildiren yükseliş).