Avustralya, Laboratuar İhlaline Karşı İlk Gizlilik Yasasını Cezalandırdı

Mahkeme Çarşamba günü Avustralya Klinik Laboratuarlarının 3,8 milyon ABD dolarına eşdeğer cezayı ödemesine karar verdi. Dava, Avustralya Klinik Laboratuarlarının Aralık 2021’de satın aldığı Medlab Patolojisi üzerine siber suç çetesi Quantum Group’un Şubat 2022’de gerçekleştirdiği veri şifreleme ve sızma saldırısından kaynaklandı.

Saldırıdan sonraki ilk günler ve haftalarda Avustralya Klinik Laboratuarları, hiçbir verinin çalınmadığını ve “bildirilebilir” bir veri ihlalinin meydana gelmediğini belirlediğini söyledi (bkz.: Medlab Patoloji İhlali 223.000 Avustralyalıyı Etkiliyor).

Mahkeme, bu ifadelerin, Avustralya Siber Güvenlik Merkezi’nin 25 Mart 2022’de şirkete “güvenilir bir üçüncü taraftan Medlab’ın bir fidye yazılımı olayının kurbanı olabileceğine dair istihbarat aldığını ve ACL’ye komisyon üyesine ve etkilenen bireylere bildirimde bulunması gerekebileceğini hatırlattığını” bildiren bir uyarısına rağmen geldi.

Avustralya Klinik Laboratuvarları “herhangi bir verinin sızdırıldığına inanmadığını” iddia etmeye devam etti.

Ancak 16 Haziran 2022’de Quantum Group, karanlık web sitesinde Medlab BT sistemlerinden sızdırılan 86 gigabayt veri yayınladı. Çalınan veriler arasında Avustralya Gizlilik Yasası kapsamındaki “kişisel bilgiler ve hassas bilgiler” yer alıyordu.

Aynı sabah, Avustralya Siber Güvenlik Merkezi ACL’ye olayla ilgili ikinci bir bildirim göndererek ajansın “Quantum Group’tan potansiyel olarak 80 GB Medlab verisi yayınlandığının ve üçüncü tarafça yapılan ilk soruşturmanın” hastaların kişisel bilgilerinin, korunan sağlık bilgilerinin ve finansal bilgilerinin web üzerinde mevcut olduğunun farkında olduğunu söyledi.

Mahkeme, Avustralya Klinik Laboratuarlarının nihayet Temmuz 2022’de veri ihlalini hükümet düzenleyicilerine bildirdiğini ve ardından Ekim 2022’nin sonlarında web sitesinde olayla ilgili bir “duyuru” yayınladığını söyledi.

Mahkeme, bu duyurunun “CEO’dan kamuya açık bir özür içerdiğini, etkilenen bireylere yönelik bildirim süreci ve destek hizmetlerinin ayrıntılarını sağladığını ve ACL’nin Medlab siber saldırısıyla ilgili olarak ilgili yetkililerle çalışmaya devam edeceğini doğruladığını” belirtti.

Belirtilen Güvenlik Kusurları

Mahkeme, olayla ilgili diğer bulguların yanı sıra, ilgili güvenlik sorunlarının Avustralya Klinik Laboratuvarları’nın, doğum öncesi genetik testler, doğurganlık değerlendirmeleri ve cinsel yolla bulaşan hastalıklara yönelik testler de dahil olmak üzere hizmetler sunan özel bir patoloji hizmetleri şirketi olan Medlab’ı satın aldığı 19 Aralık 2021 tarihine kadar dayandığını söyledi.

Mahkeme belgelerinde, “Satın alma sırasında Medlab, işleri sırasında bireylerin kişisel ve hassas bilgilerini topladı ve sakladı. Bu bilgiler arasında 223.000’den fazla kişiye ait sağlık bilgileri, iletişim bilgileri, kredi kartı bilgileri ve ödeme ayrıntıları yer alıyordu.” ifadesine yer verildi.

Mahkeme, “ACL, Medlab varlıklarını satın almadan önce Medlab BT sistemlerindeki belirli güvenlik açıklarını tespit etmemişti” dedi.

ACL, Medlab’ın BT sistemlerinin Haziran 2022’ye kadar ACL’nin “temel BT ortamına” entegrasyonunu denetlemek ve koordine etmek için Ocak 2022’de bir yönlendirme komitesi kurdu.

Ancak mahkeme belgesinde, Şubat 2022’deki olay sırasında Medlab’ın BT sistemlerinin ACL’nin temel BT ortamına entegre edilmesinden önce Medlab BT sistemlerinin bir dizi siber güvenlik eksikliği içerdiği belirtildi.

Bu, Medlab bilgisayarları tarafından dağıtılan kötü amaçlı yazılımdan koruma yazılımının, belirli kötü amaçlı dosyaların bu sistemlerde yazılmasını veya çalıştırılmasını engelleyememesini içeriyordu; “Zayıf kimlik doğrulama” önlemlerini kullanan Medlab bilgisayarları; günlükler silinmeden önce yalnızca bir saatlik etkinliği günlüğe kaydedebilen güvenlik duvarları; ve dosya şifreleme yok.

Mahkeme belgelerinde, bu zayıflıklara ek olarak Medlab’ın ağ sunucusunun “Microsoft tarafından 14 Ocak 2020’den itibaren desteklenmeyen eski bir Windows sunucusu sistemi çalıştırdığı; ayrıca Medlab sunucusunda konuşlandırılan antivirüs yazılımının, bir tehdit aktörünün sunucudan internete veri yüklemesini önlemediği veya tespit etmediği” belirtildi.

‘Kapsamlı ve Önemli’ İhlaller

Avustralya federal yargıcı Yargıç John Halley, kararında ACL’nin Avustralya Gizlilik Yasası’na yönelik ihlallerini “kapsamlı ve önemli” olarak nitelendirdi.

Adli para cezalarının dağılımı şöyle:

• ACL’nin Medlab Pathology’nin BT sistemlerinde ACL tarafından tutulan kişisel bilgileri korumak için makul adımları atmaması nedeniyle 4,2 milyon AU $ para cezası (2,75 milyon ABD Doları); Bu, Gizlilik Yasası’nın 223.000’den fazla ihlaline veya ihlalden etkilenen her birey için bir ihlale tekabül eder;
• ACL’nin raporlanabilir bir veri ihlalinin meydana gelip gelmediğine ilişkin “makul ve hızlı bir değerlendirme yapmaması” nedeniyle 800.000 AU$ (524.103 ABD Doları) tutarında ceza;
• ACL’nin Avustralya Bilgi Komiseri’ne raporlanabilir veri ihlaliyle ilgili mümkün olan en kısa sürede bir beyanda bulunmaması “başarısızlığı” nedeniyle 800.000 AU$ (524.103 ABD Doları) tutarında başka bir ceza.

Halley, kararında, “ACL’nin en üst düzey yönetimi, Medlab’ın BT sistemlerinin ACL’nin çekirdek ortamına entegrasyonu ve bunun uygun bir veri ihlali anlamına gelip gelmediği de dahil olmak üzere ACL’nin Medlab siber saldırısına tepkisi hakkındaki karar alma sürecine dahil oldu” dedi.

Yargıç, ihlallerin ACL’nin “Medlab BT sistemlerine yönelik siber saldırı riskini yönetmede yeterli özen ve titizlikle hareket etmemesinden” kaynaklandığını yazdı.

“ACL’nin aykırı davranışının, en azından bilgileri sızdırılan kişilere maddi zarar, sıkıntı veya psikolojik zarar ve maddi rahatsızlık da dahil olmak üzere ciddi zarar verme potansiyeli vardı” dedi.

Adalet, ihlallerin aynı zamanda “bireylerin özel ve hassas bilgilerini elinde bulunduran kuruluşlara olan kamu güveni üzerinde daha geniş bir etkiye sahip olma potansiyeline sahip olduğunu” yazdı.

Bütün bunlara rağmen yargıç, Avustralya Klinik Laboratuarlarına verilen nihai cezayı azaltan çeşitli faktörler de tespit ettiğini söyledi. Buna şirketin “şirketin siber güvenlik yeteneklerini geliştirmeye yönelik bir çalışma programı” başlatması da dahildi.

‘Dönüm noktası’

Avustralya gizlilik komiseri Carly Kind, yaptığı açıklamada, olayın sonucunun ülkenin gizlilik yasasının uygulanmasında “önemli bir dönüm noktası” temsil ettiğini söyledi.

“İlk kez, denetlenen bir kuruluş, kamuoyunun beklentileri ve Avustralya Bilgi Komisyonu Ofisi’ne Parlamento tarafından verilen yetkiler doğrultusunda, Gizlilik Yasası kapsamında para cezalarına tabi tutuldu.”

OAIC, Avustralya Klinik Laboratuarlarına karşı yasal işlem başlatan hükümet organıydı.

Kind, “Bu, kuruluşlara, özellikle de Avustralya’nın sağlık sistemi içinde faaliyet gösteren sağlayıcılara, sağlık hizmetlerine ve bilgilerine sahip oldukları bireylerin mahremiyetini koruma konusunda ciddi başarısızlıkların sonuçlarının doğacağını canlı bir şekilde hatırlatmalı” dedi.

Mahkeme belgelerine göre, ACL’nin olay sırasında yaklaşık 5.400 kişiyi istihdam ettiği ve Haziran 2023’te sona eren mali yılda 697,1 milyon dolar gelir bildirdiği belirtildi.

ACL, Bilgi Güvenliği Medya Grubu’nun mahkemenin kararı ve olayla ilgili ek ayrıntılar hakkında yorum yapma talebine hemen yanıt vermedi.

ABD’ye geri dön

Amerika Birleşik Devletleri’nde, Sağlık ve İnsani Hizmetler Bakanlığı’nın Sivil Haklar Dairesi, korunan sağlık bilgilerine ilişkin HIPAA güvenlik, gizlilik ve ihlal bildirimi kurallarını uygular.

Perşembe günü itibarıyla OCR, 2009’dan bu yana HIPAA ihlallerini içeren yaklaşık 176 davada hukuki para cezalarını karara bağladı veya uyguladı; bu cezaların toplamı yaklaşık 153,9 milyon dolar oldu.

Bu yaptırım eylemleri, sağlık sigortacıları, hastane zincirleri, takas odaları, özel tıbbi gruplar, küçük doktor muayenehaneleri, klinikler, eczaneler, bakım evleri, rehabilitasyon merkezleri ve sağlık BT hizmetleri firmaları da dahil olmak üzere çok çeşitli HIPAA kapsamındaki sağlayıcıları ve iş ortaklarını içeriyordu (bkz.: Huzurevi, Hasta Fotoğraflarını Çevrimiçi Paylaştığı İçin 182 Bin Dolar Cezaya çarptırıldı).