Sağlık sektörü bu yıl yüzlerce siber saldırının hedefi oldu. Şimdiye kadar kamuya açık veri ihlali raporlarının bir listesi, on milyonlarca sağlık hizmeti kaydının yetkisiz taraflara maruz kaldığını gösteriyor.
En büyük veri ihlallerinin çoğu fidye yazılımı saldırılarından kaynaklanır ve ilk on tanesi 2021’de açığa çıkan tüm sağlık hizmeti kayıtlarının yarısından fazlasını oluşturur.
Çalınan veya ifşa edilen milyonlarca PII
Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA) kapsamındaki ihlal bildirim kuralı, sağlık kuruluşlarının bir eyalet veya yargı bölgesinde 500’den fazla sakini etkiliyorsa bir ihlali ifşa etmesini gerektirir.
ABD Sağlık ve İnsan Hizmetleri (HHS) Medeni Haklar Dairesi’nin portalında listelenen en geniş etkiye sahip ilk on siber olay, bilgisayar korsanlığı olaylarına aittir ve yaklaşık 19 milyon kişinin verilerinin ifşa edilmesinden sorumludur.
Bu yıl rapor edilen listenin başında, Türkiye’yi etkileyen bir olay var. Florida Sağlıklı Çocuklar Şirketi. Güvenlik açıklarından yararlanan bilgisayar korsanları kaldı yedi yıldır yamasız web sitesi barındırma platformunda 3,5 milyon kişinin verilerine erişim sağladı.
Sağlık sektöründeki en büyük ikinci veri ihlali, 20/20 Göz Bakım Ağı Florida’da, kişisel verilerinin ifşa edilmesiyle sonuçlanan 3,2 milyondan fazla birey.
Bilgisayar korsanları, şirketin AWS S3 klasörlerine erişim sağladı ve bilgileri sildi. A toplu dava açıldı 20/20 Göz Bakım Ağı’na karşı.
Dikkate değer bir başka veri ihlali de dermatoloji grubu uygulamasından geliyor Ön planda Dermatoloji, hangisi bulundu yetkisiz bir tarafın sistemlerine bir hafta boyunca erişimi olduğunu.
İzinsiz giriş, adlar, adresler, doğum tarihleri, sağlık sigortası planı üye kimlikleri ve tıbbi ve klinik tedavi ayrıntıları dahil olmak üzere 2.41 milyondan fazla hastanın bilgilerini ifşa etti.
Fidye yazılımı çeteleri saldırıyor
19 Şubat 2021’de, NEC Ağları (YakalamaRx) keşfetti iki hafta önce sistemlerinin güvenliğinin ihlal edildiğini ve davetsiz misafirlerin müşteri kayıtlarına erişimi olduğunu söyledi.
Soruşturma daha sonra bunun 1,65 milyon kişiye ait verileri etkileyen bir fidye yazılımı saldırısı olduğunu belirledi.
4 Ağustos’ta gerçekleştirilen bir saldırıda 1,5 milyondan fazla kişinin verileri ele geçirildi. Skanazi Sağlık devlet hastanesi bölümü
Bilgisayar korsanları, 19 Mayıs’tan beri dahili ağdaydı ve ağı şifrelemeye hazırlanıyorlardı, ancak işlemi tamamlayamasalar da, şirket dedi.
Tehdit aktörü herhangi bir veriyi şifrelemezken, organizasyondan hastalara ait kişisel ve sağlık bilgilerini çalmayı başardı.
Kroger Co. 1,47 milyon kişinin kayıtlarını açığa çıkaran bir veri ihlalini doğruladı. Olayın bir parçasıydı Clop fidye yazılımından gasp kampanyası çete.
Kurumsal verilere erişim şu şekilde mümkün oldu: Accellion’daki güvenlik açıklarından yararlanma 100’e kadar şirket tarafından kullanılan eski Dosya Aktarım Cihazı hizmeti.
Aynı zamanda bir eczane işletmecisi olan Kroger süpermarket zinciri, kişisel bilgilerinin ifşa olduğu müşteriler ve çalışanlar adına aleyhindeki iddiaları sona erdirmek için 5 milyon dolar ödemeyi kabul etti.
Ayrıca bir fidye yazılımı saldırısının kurbanı olan St. Joseph’s/Candler sağlık sistemi, 17 Haziran 2021’de izinsiz giriş tespit ettiğini açıkladı. soruşturma ortaya çıktı bilgisayar korsanlarının 18 Aralık 2020’den beri ağa erişimi olduğunu.
Saldırganlar ağdayken adresler, doğum tarihleri, Sosyal Güvenlik numaraları, ehliyet numarası, finansal bilgiler, sağlık sigortası planı üye kimliği ve tıbbi ve klinik tedavi bilgileri dahil olmak üzere 1,4 milyon hastanın verilerine erişti.
REvil fidye yazılımı çetesi, Üniversite Tıp Merkezi Güney Nevada Haziran ortasında 1,3 milyon kişinin verilerini depoladı.
Kişisel olarak tanımlanabilir bilgileri (PII) ve “bazı korunan sağlık bilgilerini” içeren veriler, veri güvenliği olayını ortaya çıkarır bildirim kuruluştan.
Amerikan Anesteziyolojisi bildirilen hastalar Ocak 2021’in başlarında, hizmet sağlayıcılarından biri olan Mednax Services, kişisel bilgilerin yetkisiz bir tarafa ifşa edilmesiyle sonuçlanan bir kimlik avı olayına maruz kaldı.
Saldırgan, Haziran 2020’nin ortalarında iş ortağının Microsoft Office 365 e-posta sistemine erişim elde etmişti ve Amerikan Anesteziyoloji hastalarına ait kişisel bilgilere erişebiliyordu. Toplamda 1,2 milyon kişinin verileri açığa çıktı.
2021’de şimdiye kadar bildirilen en büyük on veri ihlali listesinin sonuncusu Professional Business Systems, Inc., d/b/a. Önce pratik yap Medical Management Solutions ve PBS Medcode Corp., (“Practicefirst”) – birden fazla sağlık hizmeti sağlayıcısı için bir satıcı.
Olay, başarısız bir fidye yazılımı saldırısıydı ve Aralık 2020’nin sonlarında biliniyordu. Bilgisayar korsanları herhangi bir veriyi şifrelemedi, ancak Practicefirst’in ağından kopyalanan dosyalar1,2 milyondan fazla hasta ve çalışanın kişisel bilgilerinin ifşa edilmesi.
HHS portalında açıklanan 50’den fazla bilgisayar korsanlığı olayı 100.000’den fazla kişiyi etkileyerek sağlık sektöründeki kuruluşların çekici hedefler olmaya devam ettiğini gösteriyor.
Buna göre HIPAA Dergisi, 2021’de bildirilen ihlallerde 45 milyona yakın sağlık kaydı ifşa oldu veya çalındı.