Büyük bir veri ihlali, ABD merkezli bir sağlık hizmeti sağlayıcısı olan Northwell Health’in veritabanını sarstı. Northwell Health veri ihlali, siber suçluların PJ&A aracılığıyla sağlık hizmeti sağlayıcısının verilerine sızmayı başarmasıyla gerçekleşti. Perry Johnson & Associates veya PJ&A, Northwell Health dahil çok sayıda sağlık kuruluşuna tıbbi transkripsiyon hizmetleri sunan üçüncü taraf bir hizmet sağlayıcıdır.
Northwell Health veri ihlalinin daha önce sağlık hizmeti sağlayıcısıyla ilişkili 3.891.565 kişiyi etkilediği tahmin ediliyordu. Ancak soruşturma ilerledikçe daha şok edici ayrıntılar henüz keşfedilmedi. Şu an itibariyle, bu ihlalden etkilenen kişilerin kesin sayısına ilişkin hiçbir ayrıntı bulunmuyor.
Northwell Sağlık Veri İhlali: Şu ana Kadar Bildiklerimiz
Northwell Health’in web sitesinde yayınlanan ve etkilenen kişilere gönderilen açıklamaya göre Perry Johnson & Associates, hasta verilerine 7 Nisan ile 19 Nisan arasında erişildiğini bildirdi.
Açıklamada, hastanın kişisel sağlık bilgilerinin, çok daha sonra 2 Mayıs’ta keşfedilen Northwell Sağlık Veri İhlali nedeniyle etkilenmiş olabileceği belirtiliyor. Bu sürüm aynı zamanda PJ&A sistemlerinde casusların 27 Mart’tan 2 Mayıs’a kadar mevcut olduğunu da bildiriyor.
“Yetkisiz bir taraf, 27 Mart 2023 ile 2 Mayıs 2023 tarihleri arasında PJ&A ağına erişim sağladı ve bu süre zarfında PJ&A sistemlerinden belirli dosyaların kopyalarını aldı.”
Hala sorgulanabilir olan gerçek şu ki, Northwell Health ve PJ&A’nın etkilenen hastaları bilgilendirmesinin bu kadar uzun sürmesi. Nisan ayında yaşanan ve yılsonuna doğru bildirilen bir ihlalin neden hala cevapsız kaldığı bir sorudur.
Ancak açıklamada, PJ&A’nin olayı keşfettikten kısa süre sonra soruşturmaya yardımcı olması için bir satıcı tuttuğu belirtiliyor. Bu, açığa çıkan verilerin kapsamını tespit etmelerinin biraz zaman alabileceği anlamına geliyor.
“Soruşturmaya yardımcı olması, tehdidi kontrol altına alması ve sistemlerimizi daha da güvenli hale getirmesi için bir siber güvenlik tedarikçisiyle anlaştık. Ayrıca tedarikçisine, etkilenen dosyaları incelemesi ve bunların kesin içeriklerini belirlemesi yönünde talimat verdik.”
Northwell Health ihlalinden sızdırılan veriler hastaların isimlerini, doğum tarihlerini, adreslerini ve tıbbi sağlık kayıtlarını içeriyor. Uzmanlar, bu veri hırsızlığına karışan bilinmeyen siber suçluların hastalardan sosyal güvenlik numaraları da dahil olmak üzere daha hassas bilgiler toplamaya çalışabileceğine inanıyor.
Northwell Health veri ihlali, bilgi güvenliğini sağlama konusunda sağlık hizmeti sağlayıcılarının hâlâ karşı karşıya olduğu çok gerçek tehlikelerin bulunduğunun acı bir hatırlatıcısıdır. Güvenlik risklerinin nasıl yakından bağlantılı olduğunu ve üçüncü taraf sağlayıcılar aracılığıyla birbirlerini nasıl etkileyebileceğini gösterir. Etkilenen kişilerle geciken iletişim, güvenlik olayının ardından müdahale hızını sorguluyor.
Günümüzün dinamik ve birbirine bağlı pazarında giderek daha kritik bir rol oynamaya başlayan sağlık hizmeti sağlayıcılarının, iş ortaklarının ve üçüncü taraf satıcıların güvenliğine odaklanmaya başlamaları çok önemlidir.
Northwell Health veri ihlali, güçlü siber güvenlik sistemlerinin, dış bağlantıların dikkatli denetiminin ve hızla büyüyen bilgisayar güvenliği alanında yeni tehlikeleri ortadan kaldırmaya yönelik aktif stratejilerin önemini göstermektedir.
Northwell Health veri ihlali, sağlık tesisleri arasında sürekli hazırlıklı olma ve BT güvenliği farkındalığına daha fazla odaklanma ihtiyacını vurguluyor. Günümüz çağında sağlık hizmetleri bilgileri profesyonel, teknik odaklı suçluların saldırılarına açık hale geliyor. Şirketler siber güvenliğe bütçe ayırmalı ve hastaların kişiliklerinin güvenini ve mahremiyetini korumak için etkili müdahale mekanizmaları ve sağlam bariyerler oluşturmalıdır.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.