OCR 2023 Hesabatı Səhiyyə Sektorunda Rekord Məlumat Sızıntısını Açıqladı

Hadisənin Xülasəsi

Amerika Birləşmiş Ştatları Səhiyyə və İnsan Xidmətləri Departamentinin (HHS) Mülki Hüquqlar Ofisi (OCR), 2023-cü təqvim ilinə aid illik hesabatlarını Konqresə təqdim etdi. Bu hesabatlar, Səhiyyə Sığortasının Daşınması və Hesabatlılığı Aktı (HIPAA) uyğunluğu və məlumat sızıntıları ilə bağlı narahatedici bir mənzərəni ortaya qoyur. Hesabata görə, 2023-cü il, 500-dən çox şəxsə təsir edən böyük məlumat sızıntılarının sayı baxımından rekord bir il oldu. Ümumilikdə 725 böyük sızıntı barədə məlumat verildi və bu sızıntılar nəticəsində təxminən 135 milyon insanın qorunan sağlamlıq məlumatları (PHI) ifşa oldu. Bu rəqəm, 2022-ci illə müqayisədə təsirlənən şəxslərin sayında %141-lik heyrətamiz bir artıma işarə edir.

Sızdırılan Məlumatlar və Miqyası

Səhiyyə sektoru məlumat sızıntılarında sızdırılan məlumatlar, son dərəcə həssas və şəxsi məlumatlar olan Qorunan Sağlamlıq Məlumatlarını (PHI) ehtiva edir. HIPAA çərçivəsində qorunan bu məlumatlar, bir şəxsin tibbi keçmişi, diaqnozları, müalicələri və sığorta məlumatları kimi xüsusi detalları əhatə edir. 2023-cü ildə baş verən sızıntılarda ifşa olan məlumat növləri adətən aşağıdakıları əhatə edir:

• Şəxsi Tanımlayıcı Məlumatlar: Ad, soyad, doğum tarixi, ünvan, Sosial Təminat nömrəsi kimi əsas şəxsiyyət məlumatları.
• Tibb Məlumatları: Diaqnozlar, müalicə qeydləri, resept məlumatları, laboratoriya nəticələri və həkim qeydləri.
• Səhiyyə Sığortası Məlumatları: Siyasət nömrələri, qrup nömrələri və sığorta tələbləri ilə bağlı məlumatlar.
• Maliyyə Məlumatları: Tibbi xidmətlər üçün edilən ödənişlərlə əlaqəli faktura məlumatları və bəzən kredit kartı nömrələri.

Sızıntıların miqyası olduqca genişdir. Hesabatda 725 böyük miqyaslı sızıntının baş verdiyi bildirilir; "böyük miqyaslı" termini 500 və ya daha çox insanın məlumatlarının təsirləndiyi hadisələri təsvir etmək üçün istifadə olunur. Ancaq əsas narahatlıq doğuran məqam, bu sızıntılardan təsirlənən ümumi insan sayının 134.834.163-ə çatmasıdır. Bu, ABŞ əhalisinin əhəmiyyətli bir hissəsinin həssas sağlamlıq məlumatlarının kiber cinayətkarların əlinə keçmiş ola biləcəyi deməkdir. Bu vəziyyət, səhiyyə sektorunun kiber təhlükəsizlik sahəsindəki zəifliklərini və getdikcə artan təhdidləri gözlər önünə sərir.

Hücumun Texniki Tərəfi

OCR hesabatı, məlumat sızıntılarının əsas səbəblərini də detallı şəkildə açıqlayır. 2023-cü ildəki sızıntıların böyük əksəriyyəti xarici mənbəli kiberhücumlardan qaynaqlanmışdır. Texniki olaraq, hadisələrin arxasındakı əsas amillər bunlardır:

Kiberhücumlar və İT Hadisələri: Hesabat göstərir ki, 2023-cü ildə bildirilən sızıntılardan təsirlənən təxminən 135 milyon insanın %80-i, yəni təxminən 108 milyon insan, kiberhücumlar (hacking) və İT hadisələri nəticəsində zərər çəkmişdir. Bu kateqoriya, kiber cinayətkarların səhiyyə təşkilatlarının şəbəkələrinə və sistemlərinə aktiv şəkildə sızmasını əhatə edir. Ən yayılmış hücum vektorları arasında fidyə proqramları (ransomware) hücumları, fişinq (phishing) kampaniyaları və proqram təminatındakı boşluqların istismarı yer alır. Fidyə proqramı hücumlarında, təcavüzkarlar sistemlərdəki məlumatları şifrələyərək əlçatmaz edir və məlumatları geri qaytarmaq və ya internetdə dərc etməmək üçün fidyə tələb edirlər.

İcazəsiz Giriş və İfşa: İkinci ən çox yayılmış səbəb isə icazəsiz giriş və ya ifşadır. Bu cür hadisələr adətən qurum daxilindən qaynaqlanır. Məsələn, bir işçinin səlahiyyəti olmayan xəstə qeydlərinə baxması və ya həssas məlumatların səhvən e-poçtla əlaqəsiz bir şəxsə göndərilməsi bu kateqoriyaya daxildir. Bu cür hadisələr daha tez-tez baş versə də, ümumiyyətlə böyük miqyaslı kiberhücumlara nisbətən daha az sayda insana təsir edir.

Məlumatların ən çox oğurlandığı yerin isə şəbəkə serverləri (network servers) olduğu bildirilmişdir. Bu vəziyyət, təcavüzkarların tək bir kompüter əvəzinə, qurumun bütün məlumatlarının saxlandığı mərkəzi sistemləri hədəf aldığını göstərir. Bu da tək bir uğurlu hücumla milyonlarla insanın məlumatına çatmağı mümkün edir. Gündəmdəki Məlumat Sızıntısı Xəbərləri də adətən bu cür böyük miqyaslı server hücumlarını əhatə edir.

Təsirlənən İstifadəçilər Kimlərdir

Bu hesabatda göstərilən məlumat sızıntılarından təsirlənənlər, 2023-cü ildə ABŞ-dakı müxtəlif səhiyyə xidməti təminatçılarından, səhiyyə sığortası planlarından və ya bu təşkilatların iş ortaqlarından xidmət alan xəstələrdir. Qısacası, ABŞ-da yaşayan və tibbi müalicə alan, sığortalı olan və ya hər hansı bir səhiyyə xidməti alan milyonlarla insan potensial olaraq təsirlənmişdir. Təsirlənənlər tək bir xəstəxana və ya sığorta şirkətinin müştəriləri deyil, ölkə daxilindəki 725 fərqli qurumun xəstələri və üzvləridir. Bu səbəbdən, müəyyən bir coğrafi bölgə və ya demoqrafik qrupla məhdudlaşmayan, olduqca geniş yayılmış bir təsirdən söhbət gedir.

Nə Etməlisiniz

Məlumatlarınızın bu sızıntılardan birində ifşa olub-olmadığını birbaşa bilmək çətindir. HIPAA qaydalarına görə, məlumatları sızdırılan şəxslərin müvafiq səhiyyə qurumu tərəfindən məlumatlandırılması məcburidir. Ancaq ümumi bir tədbir olaraq bütün şəxslərin aşağıdakı addımları atması tövsiyə olunur:

• Hesab Çıxarışlarınızı Yoxlayın: Bank və kredit kartı hesablarınızı mütəmadi olaraq yoxlayaraq şübhəli əməliyyatları dərhal aşkar edin.
• Səhiyyə Sığortası Bəyannamələrinizi Nəzərdən Keçirin: Səhiyyə sığortanızdan gələn Fayda Açıqlaması (EOB) sənədlərini diqqətlə yoxlayın. Sizin almadığınız tibbi xidmətlər üçün edilmiş tələblər, tibbi şəxsiyyət oğurluğunun bir əlaməti ola bilər.
• Fişinq Hücumlarına Qarşı Diqqətli Olun: Kiber cinayətkarlar, oğurladıqları şəxsi məlumatları istifadə edərək sizə xüsusi fişinq e-poçtları göndərə bilərlər. Şübhəli görünən, şəxsi məlumat və ya parol tələb edən e-poçtlardakı linklərə klikləməyin.
• Kredit Hesabatlarınızı İzləyin: Üç böyük kredit bürosundan (Equifax, Experian, TransUnion) mütəmadi olaraq kredit hesabatlarınızı yoxlayaraq adınıza açılmış tanımadığınız hesabların olub-olmadığını yoxlayın. Lazım gələrsə, kredit dondurma əməliyyatı başlatmağı düşünə bilərsiniz.

Təşkilatın Açıqlaması

Bu hadisədə "təşkilat", nəzarətçi və tənzimləyici orqan olan Mülki Hüquqlar Ofisidir (OCR). OCR, hesabatında vəziyyəti bütün şəffaflığı ilə ortaya qoymuş və HIPAA uyğunluğunu təmin etmək üçün həyata keçirdiyi fəaliyyətlər haqqında məlumat vermişdir. OCR, 2023-cü ildə HIPAA qaydalarının pozulması ilə bağlı 34.747 yeni şikayət aldığını və əvvəlki illərdən qalanlarla birlikdə ümumilikdə 34.879 şikayəti həll etdiyini bildirmişdir. Bu şikayətlərin %98-i, rəsmi bir istintaq tələb etmədən, qurumların könüllü olaraq uyğunluğu təmin etməsi ilə həll edilmişdir.

Bundan əlavə, OCR 2023-cü ildə 19 HIPAA tətbiqetmə tədbiri həyata keçirmiş və bu tədbirlər nəticəsində ümumilikdə 4.176.500 dollar cərimə kəsmişdir. Hesabatda, HITECH Qanununa əsasən toplanan bu cərimələrin bir hissəsinin gələcəkdə məlumat sızıntısı qurbanlarına təzminat olaraq ödənilməsinin planlaşdırıldığı, lakin bu mexanizmin hələ tam olaraq həyata keçirilmədiyi də qeyd edilmişdir. OCR-nin bu hesabatı, bir tərəfdən vəziyyətin ciddiliyini vurğulayarkən, digər tərəfdən nəzarət və sanksiya mexanizmlərinin işlədiyini göstərməyi hədəfləyir.

Kaynak

https://www.hipaajournal.com/ocr-reports-congress-hipaa-compliance-data-breaches-2023/