3. Parti Risk Yönetimi, Veri İhlali Bildirimi, Veri Güvenliği
Humana ve BCBS Montana Conduent Hack’in Müşterileri Arasında
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
27 Ekim 2025
Conduent Business Solutions LLC, yılın en büyük sağlık hizmeti hack’i olabilecek olayda, eyalet düzenleyicilerine Ocak ayında keşfedilen bir ihlalin 10,5 milyondan fazla hastayı etkilediğini söyledi. Etkilenen müşteriler arasında Blue Cross Blue Shield of Montana ve Humana’nın yanı sıra açıklanmayan sayıda başka kuruluş da yer alıyor.
Ayrıca bakınız: İsteğe Bağlı | Eşsiz Keşif ve Savunma ile API Güvenliğini Dönüştürün
Olay, 2025’in en büyük sağlık verisi ihlali olabilir ancak büyük olasılıkla federal kapanma nedeniyle ABD Sağlık ve İnsani Hizmetler Bakanlığı’nın HIPAA ihlal raporlama web sitesinde Pazartesi günü yayınlanmadı. Conduent, ihlalin sağlık hizmetleri dışında diğer sektörlerdeki müşterilerini etkileyip etkilemediğini açıklamadı.
Conduent, Information Security Media Group’un, şirketin etkilenen toplam müşteri sayısı ve hangi sektörlerde olduğu da dahil olmak üzere siber olayla ilgili ek ayrıntılara yönelik taleplerine hemen yanıt vermedi.
Ana şirket Conduent Inc., veri güvenliği olayını Nisan ayında ABD Menkul Kıymetler ve Borsa Komisyonu’na bildirdi; Oklahoma gibi çeşitli eyaletlerdeki bazı kurumların Conduent kesintisi nedeniyle bazı hizmetlerinin kesintiye uğradığına dair kendi kamu duyurularını yayınlamasından aylar sonra.
Conduent, Nisan ayındaki SEC başvurusunda, 13 Ocak’ta operasyonel bir kesinti yaşadığını ve bir “tehdit aktörünün” şirket ortamının sınırlı bir kısmına yetkisiz erişim elde ettiğini öğrendiğini söyledi.
Olayın ortaya çıkması üzerine Conduent, olayı kontrol altına almak, değerlendirmek ve düzeltmek için harici siber güvenlik uzmanlarının yardımıyla siber güvenlik müdahale planını etkinleştirdiğini söyledi. “Şirket etkilenen sistemleri geri yükledi ve günler, hatta bazı durumlarda saatler içinde normal operasyonlara döndü. Kesintinin şirketin operasyonları üzerinde önemli bir etkisi olmadı.”
Conduent, SEC’e yaptığı açıklamada, soruşturmanın, isimsiz tehdit aktörünün “şirketin sınırlı sayıda müşterisiyle ilişkili” bir dizi dosyayı sızdırdığını belirlediğini söyledi.
Conduent Nisan ayında SEC’e şunları söyledi: “Dosyaların karmaşıklığı nedeniyle şirket, sızdırılan verileri değerlendirmek için siber güvenlik veri madenciliği uzmanlarını görevlendirdi ve yakın zamanda bu verilerin doğası, kapsamı ve geçerliliği konusunda bilgilendirildi; bu da veri setlerinin müşterilerimizin son kullanıcılarıyla ilişkili önemli sayıda bireyin kişisel bilgilerini içerdiğini doğruladı.”
Conduent, SEC’e şunları söyledi: “Şirket, sızdırılan verilerin kesin ve ayrıntılı etkisini daha fazla analiz etmeye ve belgelemeye devam ediyor ve müşteriler, federal ve eyalet yasalarının gerektirdiği sonraki adımları belirlemek için bilgilendiriliyor.” “Şirketin bilgisi dahilinde, sızdırılan veriler karanlık ağda veya başka bir şekilde kamuya açıklanmadı.”
Humana ve Blue Cross Blue Shield of Montana müşterilerine gönderilen örnek ihlal bildirim mektuplarına paralel olarak, olayın üçüncü taraf posta odası ve yazdırma hizmetleri, belge işleme, ödeme bütünlüğü hizmetleri ve çeşitli arka ofis destek hizmetleri sağlayan Conduent Business Solutions LLC’yi etkilediğini söyledi.
Conduent, bilgileri potansiyel olarak ele geçirilen, etkilenen Humana müşterilerinin açıklanmayan sayısının adlarını, tedavi tarihlerini ve maliyet bilgilerini ve sağlık sigorta numaralarını içerdiğini söyledi.
Humana, ISMG’nin yorum talebine hemen yanıt vermedi.
Geçen hafta Montana eyaleti düzenleyicileri, Conduent’in dahil olduğu 462.000 Blue Cross Blue Shield of Montana üyesini etkileyen veri ihlalini araştırdıklarını ve sigorta şirketinin bireysel ihlal mağdurlarına bildirimde bulunmadan neden yaklaşık 10 ay geçtiğini açıkladı (bkz.: Montana Yetkilileri Satıcıyla Bağlantılı BCBS İhlalini Araştırıyor).
Conduent, 22 ülkede işletmelere ve hükümetlere geniş bir hizmet yelpazesi sunuyor ve 2024’te gelirinin 3,4 milyar dolar olduğunu bildirdi; bu, bir önceki yıla göre %9,8 düşüş anlamına geliyor. Şirket, ağustos ayında SEC’ye sunduğu kazanç raporunda, siber olaya doğrudan müdahale maliyetlerinin 30 Haziran’da sona eren çeyrek için yaklaşık 25 milyon dolara ulaştığını söyledi.
Conduent, SEC’e “Şirketin bir siber sigorta poliçesi var ve aynı zamanda federal kolluk kuvvetlerine de olay hakkında bilgi verdi” dedi.
Satıcı Riski
Conduent, milyonlarca hastayı etkileyen bilgisayar korsanlığı olaylarının merkezinde sağlık sektörüne hizmet veren uzun ve giderek büyüyen üçüncü taraf sağlayıcılar listesinin en yenisidir.
Bu türden en büyük olay, Şubat 2024’te UnitedHealth Group’un BT hizmetleri birimi Change Healthcare’e yapılan fidye yazılımı saldırısıydı; bu saldırı, yalnızca binlerce sağlık sektörü kuruluşunu aylarca aksatmakla kalmadı, aynı zamanda 193 milyon insanı etkileyen bir PHI ihlaliyle sonuçlandı; tüm zamanların rekor ABD sağlık verileri ihlali (bkz.: Sağlık Hizmetlerini Değiştirin Artık 190 Milyon Veri İhlali Mağduru Sayılıyor).
Düzenleme avukatı Rachel Rose, Conduent olayının Change Healthcare ihlali kadar büyük olmasa da “10 milyondan fazla kişinin önemli olduğunu” söyledi. “Sağlık hizmetleri/kamu sağlığı kritik bir altyapı sektörü olduğundan, siber saldırıların sıcak hedefi olmaya devam edecek” dedi.
Bazı uzmanlar, Conduent’in baskı ve posta hizmetlerine yönelik hacklenmesinin, PHI ile ilgilenen ve büyük HIPAA ihlalleri için sistemik bir risk oluşturan çok sayıda üçüncü tarafın altını çizdiğini söyledi.
Rose, “HIPAA Gizlilik Kuralı her türlü PHI için geçerlidir ve Güvenlik Kuralı da elektronik PHI için geçerlidir” dedi. “PHI eninde sonunda kağıt formatında (örneğin faydaların açıklaması, laboratuvar sonuçları vb.) ortaya çıksa bile, kapsam dahilindeki kuruluşların ve iş ortaklarının yeterli politika ve prosedürlere, eğitime ve teknik, idari ve fiziksel güvenlik önlemlerine sahip olması gerekir” dedi.
İhtiyatlı bir adım, bilgi gönderen kişiler için ve BT’nin dikkatli olması için bir kontrol listesi oluşturmaktır; “çünkü bu bilgilerin ele geçirildiği yer siber suçlular için bir hazinedir” dedi.
Rose, sağlık sektörü kuruluşlarının, üçüncü tarafları ilgilendiren olası aksaklıklara ve veri ihlallerine karşı daha iyi hazırlıklı olmak için çeşitli önlemler almasını önerdi.
“İlk adım, veri girişi ve çıkışının yanı sıra verilerin dahili veya harici olarak nerede saklandığını belirlemektir. İkincisi, üçüncü tarafların güvenlik önlemleriyle ilgili güncel bilgileri almasının ve dahili uygulamaların yamalanıp izlenmesinin sürekli olarak sağlanması kritik öneme sahiptir” dedi.
“Son olarak, çalışanların bir saldırı gerçekleşmeden önce etkisini azaltmak için nelere dikkat etmeleri gerektiğini bilmeleri gerekiyor. Kısa ve öz ama etkili sürekli eğitim kritik önem taşıyor çünkü çok fazla bilgi gönderilirse bu bilgiler göz ardı edilir.”
Güvenlik ve gizlilik danışmanlığı tw-Security’nin ortağı ve baş danışmanı Wendell Bobst, sağlık sektörü firmalarının satıcı risk yönetimi programlarını geliştirmek için önemli adımlar attığını da öne sürüyor.
Geleneksel olarak bu programlar anketlere ve yıllık SOC raporlarının incelemelerine dayanıyordu. “Kuruluşların yüksek riskli satıcılar için sürekli satıcı izleme programları uygulaması gereken bir risk kademeli yapıya ihtiyaç var” dedi. “Satıcıların harici güvenlik duruşlarını takip edecek araçlara (örneğin, SecurityScorecard, BitSight) ihtiyaç var. Daha yüksek riskli sağlayıcılar, SOC 2’nin ötesinde sertifikalar da sağlamalıdır” dedi. Cloud Security Alliance, STAR Registry, HITRUST R2 ve FedRAMP gibi sertifikaların “gereksinimler daha katı olduğu için” dikkate alınması gerektiğini söyledi.
Ayrıca, sözleşme maddelerinin büyük satıcılarla müzakere edilmesi zor olsa da, satıcı güvenliğindeki başarısızlıkların tüm sorumluluğun onların olması gerektiğini söyledi. Bunun, sözleşmelerdeki tazminat dili, anında bildirim, ihlal bildirim mektuplarının onaylanması ve test edilmiş felaket kurtarma ve iş sürekliliği planları anlamına geldiğini söyledi. “Sonra, kontrollere ilişkin kanıt talep etme hakkı ve şüpheler arttığında denetim yapma ve yardım etme hakkı. Bunlar, sağlanan kanıtları talep etmek ve incelemek için kaynak gerektirir.”
Bobst, kuruluşların PHI’nın miktarını ve niteliğini içeren doğru satıcı kayıtlarını tutmasının zorunlu olduğunu söyledi.
“Olayların ilk raporları, sağlık kuruluşlarının hangi satıcıların ihlal edilmiş olabileceğini belirlemesini gerektirir. Mümkün olduğunda, veriler paylaşımdan önce simgeleştirilmeli veya kimlik bilgileri kaldırılmalıdır, böylece satıcının ortamı tehlikeye girerse etki azaltılır. Yalnızca gerekli olanı sağlayarak en az ayrıcalık ilkesini gözden geçirin.”
Son olarak, satıcıya özel taktik kitapları ve masaüstü alıştırmaları içeren güçlü olay müdahale planları önermektedir. “Bu taktik kitapları temas noktalarını, yükseltme yollarını, alternatif işleme yöntemlerini ve hastalar ve düzenleyiciler için hazırlanmış iletişimleri tanımlamalıdır” dedi.