Amerika Birleşik Devletleri'ndeki sağlık sistemleri, ülkenin en büyük sağlık ödeme işlemcisi üzerindeki benzersiz bir fidye yazılımı saldırısıyla başa çıkmaya çalışırken, Amerika Birleşik Devletleri Sağlık ve İnsan Hizmetleri Bakanlığı, bu işlemci ve ana şirketi UnitedHealthcare Group'un, özel hasta verilerini korumak için federal kurallara uyup uymadığını incelemeye açıyor.
Ars'ün daha önce bildirdiği gibi, saldırı 21 Şubat'ta UHG'nin yan kuruluşu Optum tarafından açıklandı ve şimdi Change Healthcare'i işletiyor. 29 Şubat'ta UHG, sorumlu olan ünlü Rusça konuşan fidye yazılımı çetesi olan AlphV ve BlackCat olarak bilinen grupla suçladı. Washington Post'a göre, saldırı, hasta verilerinin çalınması, şirket dosyalarının şifrelenmesi ve onları kilitlemek için para talep etmesini içeriyordu. Sonuç olarak, iddiaların işlenmesinin ve ödemelerin felç olması, hastanelerin maaş ve hizmetler için nakit sıkıntısı yaşamasına ve hastaların bakım ve reçeteler almasının engellenmesine neden oldu. Ayrıca, saldırının, milyonlarca Amerikalı hastanın sağlık verilerinin ortaya çıktığına inanılıyor.
Bu ayın başlarında Amerikan Hastane Birliği Başkanı ve CEO'su Rick Pollack, Change Healthcare'e yapılan fidye yazılımı saldırısını "ABD sağlık sistemi tarihindeki en önemli ve sonuçları olan olay" olarak adlandırdı.
Şimdi, saldırının üç haftasının sonunda, birçok sağlık sistemi hala mücadele ediyor. Salı günü, Biden yönetiminin üyeleri UHG CEO'su Andrew Witty ve diğer sağlık endüstrisi liderleriyle Beyaz Saray'da bir araya gelerek, sağlık hizmeti sağlayıcıları ve hizmetleri için durumu dengelemek ve mali yardım sağlamak için daha fazla şey yapmalarını talep etti. Bazı iyileşmeler görülebilir Çarşamba günü UHG, "tüm büyük eczane ve ödeme sistemlerinin çalışır durumda olduğunu ve öncesi olay talebi hacminin %99'dan fazlasının aktığını" bildirdi.
HIPAA uyumu
Ancak, veri ihlali, hasta gizliliğinin zararının boyutu ve gelecekteki korumaların yeterliliği hakkında büyük sorulara yol açıyor. Çarşamba günü ek bir gelişme olarak, sağlık bakanlığının Sivil Haklar Ofisi (OCR), UHG ve Change Healthcare üzerindeki bir soruşturmayı açtığını duyurdu. Bu, "bu siber saldırının eşi benzeri görülmemiş büyüklüğü ve hastaların ve sağlık hizmeti sağlayıcılarının en iyi çıkarları göz önünde bulundurularak" gereklidir.
Çarşamba günü tarihli "Sevgili Meslektaş" mektubunda OCR, soruşturmanın, "korumalı sağlık bilgilerinin ihlalinin olup olmadığına ve Change Healthcare'in ve UHG'nin HIPAA Kurallarına uyup uymadığına odaklanacağını" açıkladı. HIPAA, korunan sağlık bilgileri için gizlilik ve güvenlik gereksinimlerini ve ihlal bildirim gereksinimlerini belirleyen Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası'dır.
UHG'nin basına yaptığı açıklamada, soruşturmaya işbirliği yapacaklarını belirtti. "Hemen odaklanmamız gereken nokta, sistemlerimizi onarmak, verileri korumak ve verileri etkilenmiş olabilecek kişilere destek olmaktır" ifadesinde bulunarak, "Etkilenen veri derecesini araştırmak için kolluk kuvvetleri ile işbirliği yapıyoruz." dedi.
Post, federal hükümetin, sağlık bakımı kuruluşlarını veri ihlallerini önlemek için yeterli koruma tedbirlerini uygulamadıkları için incelediğini ve cezalandırdığını belirtiyor. Örneğin, sağlık sigortası sağlayıcısı Anthem, 2015 yılında neredeyse 79 milyon insanın özel verilerini ortaya çıkaran bir veri ihlali nedeniyle 2020 yılında 16 milyon dolarlık bir anlaşma yaptı. Ortaya çıkan veriler, isimler, sosyal güvenlik numaraları, tıbbi tanı numaraları, adresler, doğum tarihleri, e posta adresleri ve istihdam bilgilerini içeriyordu. Veri ihlali soruşturması, saldırının en az bir Anthem yan kuruluşu çalışanının kurban aldığı bir mızrak balığının e postalarıyla başladığını ve 2 Aralık 2014 ile 27 Ocak 2015 tarihleri arasında gözden kaçan daha fazla saldırıya kapı açtığını keşfetti.
"Bildiğimiz gibi, büyük sağlık bakım kuruluşlarının hackerlar için çekici hedefler olduklarını, bu nedenle güçlü şifre politikalarına sahip olmaları gerektiğini ve güvenlik olaylarına zamanında müdahale etmelerini ve yanıt vermelerini beklediğimizi, aksi halde OCR'nin uygulanmasına risk altında olduklarını" dedi. OCR Başkanı Roger Severino o zamanlar.