Orta Avrupa’nın en büyük özel hastane ağlarından biri olan Ameos Group, hastalara, çalışanlara ve iş ortaklarına ait potansiyel olarak hassas bilgileri ortaya çıkaran bir veri ihlali bildirdi.
İsviçre, Avusturya ve Almanya’da 100’den fazla tesis işleten Zürih merkezli sağlık kuruluşu, saldırganların “kapsamlı güvenlik mekanizmalarına” rağmen BT sistemlerine kısaca sızabildiğini doğruladı.
Siber saldırıya yanıt olarak, Ameos tüm iç ve dış ağ bağlantılarını ayırdı ve sistemlerini kontrollü bir şekilde kapattı.
Soruşturma devam ediyor ve kesin bir kanıt olmasa da, kişisel verilerin kötüye kullanıldığına veya sızdırıldığına dair kesin bir kanıt yok olsa da, olay sadece potansiyel olarak etkilenen bireyler için değil, aynı zamanda daha geniş sağlık siber güvenlik ekosistemi için de önemli bir endişe yarattı.
Avrupa sağlık hizmetlerinin kalbinde bir ihlal
Sağlık hizmeti sağlayıcıları üzerindeki siber saldırılar yeni bir şey değildir. Ancak bir organizasyona AMEO’lar kadar büyük ve etkili bir şekilde vurduğunda, Avrupa’daki kritik bakım altyapısının sinir merkezine yaklaşır. Kuruluşun tesisleri, yüz binlerce hastayı, sağlık personelini ve üçüncü taraf ortaklarını destekleyen kilit kentsel ve kırsal alanları kapsamaktadır. Bu AMEOS Grubu verilerinin kamuoyunun bir endişesini ihlal etmesini sağlar.
Ameos, kamuya açık ifadesinde, “kapsamlı güvenlik önlemlerine rağmen, bir saldırıyı önleyemediğimizi ve daha sonra BT sistemlerimize kısa bir erişimin” olduğunu itiraf etti.
AMEOS Grubu veri ihlalinde hangi bilgiler tehlikeye girmiş olabilir?
AMEOS Group, fidye yazılımı veya kimlik avı içerdiği gibi saldırının doğasını detaylandırmaktan kaçınsa da, kuruluş yetkisiz erişimin çeşitli veri kategorilerine maruz kalabileceğini kabul etmiştir. Bunlar şunları içerebilir:
- Hasta Tıbbi Bilgileri
- Çalışan ve Ortak iletişim bilgileri
- Dahili belgeler ve yazışmalar
- Muhtemelen kimlik bilgileri veya hassas tanımlayıcılar
Yetkisiz erişim nedeniyle hastalar, çalışanlar ve ortakların verileri ve kişisel/şirket iletişim bilgileri etkilenebilir. Bu verilerin veri konularının zararına çevrimiçi olarak kullanılabileceği veya üçüncü taraflar için erişilebilir hale getirilebileceği göz ardı edilemez ”diyor.
Bu tür maruziyetin sonuçları geniş kapsamlı olabilir. Ameos Group, etkilenen bireyleri şüpheli e -postalar, iş teklifleri veya çalınan verilerden kaynaklanabilecek reklamlar için uyanık kalmaları konusunda uyardı. Bu, hem Federal Bilgi Güvenliği Ofisi hem de bir ihlalin ardından artan uyanıklık öneren Federal Ceza Polis Ofisi’nin rehberliğiyle uyumludur.
Hızlı yanıt ama birçok soru
Ameos Grubu, veri ihlalini izole etmek için hızla hareket etti. Kuruluş BT ve adli siber güvenlik profesyonellerini derhal dahil etti, ilgili devlet ceza polis ofisine cezai bir şikayette bulundu ve GDPR düzenlemelerine uygun olarak veri koruma yetkililerine bildirildi. Tüm ağ bağlantıları koptu ve sistemler kapandı, bu da daha fazla hasar içermek için zor ama gerekli bir adım.
Ancak, kritik sorular cevapsız kalır:
- Saldırının ilk vektörü neydi?
- Herhangi bir sistem veya kayıt şifrelenmiş veya silinmiş miydi?
- Bu ihlal daha sağlam dahili kontrollerle önlenebilir mi?
Adli soruşturma sona erene kadar, bu sorular cevapsız kalacaktır. Bu arada, sağlık grubunun ihlal konusunda şeffaf olma kararı, özellikle birçok kurumun hesap verebilirlik konusunda sessizliği seçtiği bir sektörde övgüye değerdir.
Sağlık Siber Güvenliği İçin Bir Uyandırma Çağrısı
Hastaneler ve tıbbi ağlar, zorunlu olarak, son derece hassas bilgilerle dolu karmaşık sistemlere güvenmektedir. Bununla birlikte, endüstri genellikle siber hazırlık, yatırım ve dijital hijyen açısından başkalarının arkasında gecikiyor.
Sağlık hizmetlerini saldırganlar için özellikle cazip kılan, verilerinin değeri ve uzun ömürlülüğüdür. Çalınan bir kredi kartından farklı olarak, sızdırılmış bir tıbbi kayıt iptal edilemez veya değiştirilemez. Kişisel Sağlık Bilgileri (PHI) karanlık ağda uzun bir raf ömrüne sahiptir ve kötüye kullanımı bireylere ciddi kişisel ve finansal zararlara neden olabilir.
Dahası, sağlık hizmetlerinin doğası Ameos Grubu gibi organizasyonları özellikle gasplara karşı savunmasız hale getirir. Bir hastaneye fidye yazılımı saldırısı, yöneticileri hackerlara ödeme veya hasta güvenliğini riske atma gibi imkansız kararlara zorlayarak kritik bakım sistemlerini sakatlayabilir.
Ameos Group, gerçek veri kötüye kullanımından somut bir kanıt ortaya çıkmadığını korurken, olay hala dijital sağlık hizmetlerine olan güvene güveniyor. İnsanlar en çok kişisel verilerini ele alan kurumların onu güvende tutmak için ellerinden gelen her şeyi yapmasını bekler ve hak ederler. Bu durumda, bu beklenti karşılanmadı.
Bu güveni yeniden inşa etmek için Ameos Group, soruşturma ilerledikçe web sitesini daha fazla bilgi ile güncellemeye karar verdi. Ayrıca “verilerinizin korunmasının ve anında ve şeffaf iletişimin en yüksek önceliklerimiz olduğunu” yineledi.
Bu doğru mesaj. Ancak benzer durumlarda tekrar tekrar gördüğümüz gibi, halk bu kelimelerin belirleyici eylem ve siber güvenliklere uzun vadeli yatırımlarla desteklenmesini sağlamak için izleyecek.
Bireyler şimdi ne yapmalı
Verilere erişilebileceği belirsizlik göz önüne alındığında, hastalar, personel veya üçüncü taraf satıcılar olsun, AMEOS Grubu ile bağlantılı bireyler, herhangi bir kötüye kullanım belirtisi için tetikte kalmalıdır. Önerilen bazı adımlar şunları içerir:
- Kimlik avı denemeleri için e -posta ve dijital iletişimi izleyin.
- Şüpheli bağlantıları tıklamaktan veya kişisel bilgileri çevrimiçi olarak paylaşmaktan kaçının.
- Kredi izleme kuruluşlarına sahip dolandırıcılık uyarıları koymayı düşünün.
- AMEOS ve Ulusal Siber Güvenlik Yetkililerinden ek tavsiyeleri takip edin.
AMEOS Grubu Veri ihlali, sağlık sektöründe siber güvenlik için daha esnek, proaktif ve iyi finanse edilen bir yaklaşıma olan ihtiyacı yeniden teyit etmektedir.