Yönetim ve Risk Yönetimi, Sağlık, Sektöre Özel
Siber Araştırmacı Bulgularını Sanal Bakım Sağlayıcısına Bildirdi; Veriler Artık Güvende
Marianne Sosis McGee (SağlıkBilgiGüvenliği) •
11 Eylül 2024
Yapay zeka destekli sanal bakım sağlayıcısının güvenli olmayan veri tabanının, hastalar ve danışmanları arasındaki binlerce hassas ruh sağlığı ve madde bağımlılığı tedavi kaydını internette ifşa ettiğini ve bu kayıtların herkesin erişimine açık olduğunu söyleyen güvenlik araştırmacısı, şunları söyledi:
Ayrıca bakınız: 2024 Finansal Hizmetlerde Kimlik Güvenliği Durumu
Kayıtların ne kadar süre açıkta kaldığı belirsiz olsa da, Teksas merkezli sanal bakım şirketi Confidant Health, güvenlik araştırmacısı Jeremiah Fowler’ın keşfini firmaya bildirmesinden birkaç saat sonra verileri güvence altına aldı. Toplamda, 5,3 terabaytlık veritabanı – bir parola veya başka bir kimlik doğrulama biçimiyle korunmayan – 126.276 dosya ve 1,75 milyon günlük kaydı tutan ayrı bir klasör içeriyordu, dedi.
Fowler, veritabanındaki belgeler arasında Confidant Health hastalarının, danışmanlarının ve sağlık uzmanlarının isimlerinin ve hassas bilgilerinin yer aldığını söyledi.
“Hastaların kayıtları sürücü ehliyetleri, kimlik kartları, sigorta kartları, Medicaid kartları, reçeteli ilaçları listeleyen bakım mektupları ve tıbbi kayıt talepleri veya feragatnameleri içeriyordu. Veritabanı ayrıca belirli maddeler için isimleri, adresleri ve test sonuçlarını gösteren teşhis uyuşturucu testleri içeriyordu,” dedi Cuma günü yayınlanan bir raporda.
“Hastanın ruhsal sağlığı veya madde bağımlılığı hakkında ayrıntılar veren, ailevi sorunlarına, psikiyatrik geçmişine, travma geçmişine, tıbbi durumlarına ve ek teşhislerine değinen psikoterapi alım notlarını ve psikososyal değerlendirmeleri gösteren belgeleri gördüm” dedi.
Fowler, oturumların ses ve görüntü kayıtlarına ve “çok detaylı ve son derece kişisel aile konularını kapsayan, çocukların, ebeveynlerin, eşlerin isimlerini ve çatışmaların doğasını ifşa eden” metin dökümlerine atıflar gördüğünü söyledi.
Güvenlik sağlayıcısı vpnMentor’da araştırmacı ve güvenlik hizmetleri firması Security Discovery’nin kurucu ortağı olan Fowler, Information Security Media Group’a yaklaşık 1.000 belgeyi manuel olarak analiz ettiğini ve bunların yaklaşık %60’ının erişilebilir olduğunu tahmin ettiğini söyledi.
“Bu kadar çok belge varken, kaçının ifşa olduğunu bilmenin tek yolu her birini tek tek incelemek olurdu ve bu çok uzun zaman alırdı ve söz konusu belgelerin daha uzun süre risk altında kalmasına neden olurdu, bu yüzden durumu en kısa sürede bildirmeye karar verdim” dedi.
“Hastaların birçoğunun birden fazla belgesi var, bu yüzden birinin belirli dosyalarında bazı kayıtların ifşa edilmiş olması mümkün olabilir, ancak hepsi değil. Uygulama yalnızca Android’de en az 10.000 kez indirildi, bu yüzden bunun iOS veya fiziksel konumlara giden doğrudan kullanıcıları saymadan bir temel veya minimum olduğunu söyleyebilirim,” dedi.
ISMG’ye konuşan Fowler, “Bulduğu belirli dosyalara yalnızca bir internet tarayıcısı kullanılarak ulaşılabiliyordu ve dosya yolunu veya URL adresini bildiğinizde herhangi bir parola veya yönetici kimlik bilgisi gerekmiyordu” dedi.
Confidant Health, web sitesinde kendisini “alkol rehabilitasyonu, çevrimiçi Suboxone kliniği, bağımlılık öncesi tedavi, bağımlılık tedavisi, davranış değişikliği programı, iyileşme koçluğu, opioid yoksunluk yönetimi, ilaç destekli tedavi gibi bir dizi hizmet sunan, kaynaklar ve gerçek hayattaki klinik sağlayıcıların uygulama tabanlı merkezi” olarak tanımlıyor.
Şirket ayrıca iOS ve Android için kullanılabilen bir Telehealth Bağımlılıktan Kurtulma uygulaması da sunuyor.
Confidant Health, ISMG’nin Fowler’ın iddia edilen keşfine ilişkin yorum talebine hemen yanıt vermedi.
Sık Karşılaşılan Kazalar?
Fowler, Confidant Health dosyalarının neden veya nasıl internete düştüğünü bildiğini söyledi, ancak bu, güvenli olmayan sağlık bilgileriyle dolu hazineleri keşfettiği ilk sefer değil. Ocak ayında yayınlanan bir raporda Fowler, Hollanda merkezli bir tıbbi laboratuvara ait olduğu anlaşılan ve COVID test sonuçları ve diğer kişisel olarak tanımlanabilir bilgiler de dahil olmak üzere internette 1,3 milyon kaydı ifşa eden güvenli olmayan bir veritabanı keşfettiğini söyledi.
Fowler, verilerin Amsterdam merkezli bir tıbbi laboratuvar olan Microbe & Lab’a ait Coronalab.eu’ya ait gibi göründüğünü söyledi (bkz: Tıbbi Laboratuvar Veritabanı 1,3 Milyon Kaydı, COVID Test Bilgilerini Açığa Çıkardı).
“Sağlık hizmeti sağlayıcılarının ağ ve depolama ortamlarında düzenli güvenlik denetimleri yapmalarını öneriyorum,” dedi Fowler. “Üçüncü taraf satıcıların veya yüklenicilerin de sistemlerini güvenlik açıklarına karşı test etmelerini ve ek yazılımların güncel olmasını sağlayın. Siber güvenliğe yönelik tek bir yaklaşım yoktur ve veri toplama ve depolama için farklı sistemlerin bir araya gelmesiyle birlikte boşluklar için bolca yer kalır,” dedi.
“Tavsiyem, hasta verilerinin sağlanan hizmetler kadar değerli olduğunun anlaşılması ve kurumların yalnızca veri güvenliğine yatırım yaparak ve proaktif davranarak veri olaylarını önleyebilecekleri yönündedir.”