Connecticut ve New York’ta pediatrik bakım sağlayan çok uzmanlıklı bir sağlık grubu olan Boston Çocuk Sağlığı Doktorları (BCHP), yakın zamanda hastaları ve personeli bir siber saldırının ardından önemli bir veri ihlali konusunda bilgilendirdi. Bir BT satıcısının sistemlerinden kaynaklanan BCHP siber saldırısı, mevcut ve eski çalışanlara, hastalara ve garantörlere ait hassas bilgileri tehlikeye attı.
300’den fazla klinisyenin görev yaptığı sağlık kuruluşu, olaya hızlı bir şekilde müdahale ettiğini ve ihlal tespit edilir edilmez olay müdahale protokollerini uygulamaya koyduğunu vurguladı.
BCHP Siber Saldırısının Zaman Çizelgesi
BCHP’ye yönelik siber saldırı, 6 Eylül 2024’te BCHP’nin BT tedarikçisinin sistemlerinde olağandışı etkinlik tespit etmesiyle gerçekleşti. Dört gün sonra, 10 Eylül’de BCHP, yetkisiz bir üçüncü tarafın ağının bazı bölümlerine erişim sağladığını keşfetti. Bu yetkisiz taraf, kuruluşun ağından belirli dosyaları çalmayı başardı ve bu da hızlı bir müdahaleyi tetikledi. BCHP, önlem olarak sistemlerini derhal kapattı ve üçüncü taraf bir adli tıp firmasının yardımıyla bir soruşturma başlattı.
Sağlık hizmeti sağlayıcısı o zamandan beri sistemlerinin güvenliğini artırmak ve bu nitelikteki başka olayları önlemek için adımlar attı. Ancak, ihlal sırasında hassas bilgiler içeren dosyaların ele geçirilmesiyle hasar zaten verilmişti.
BCHP Veri İhlalinde Açığa Çıkan Veriler
Ele geçirilen dosyalar, isimler, Sosyal Güvenlik numaraları, fatura ayrıntıları, adresler, ehliyet numaraları, tıbbi kayıt numaraları ve sağlık sigortası bilgileri dahil olmak üzere çok çeşitli hassas veriler içeriyordu. BCHP veri ihlali yalnızca hastaları değil aynı zamanda mevcut ve eski çalışanların yanı sıra kuruluşla bağlantılı garantörleri de etkiledi.
BCHP, elektronik sağlık kayıtlarının (EHR) ayrı bir ağda olduğunu ve siber saldırıdan etkilenmediğini doğrulasa da, ifşa edilen verilerin kapsamı kayda değer. Kuruluş, o zamandan beri etkilenen bireyleri bilgilendirmeye başladı ve Sosyal Güvenlik veya ehliyet numaraları ihlale karışan kişilere ücretsiz kredi izleme ve koruma hizmetleri sundu.
BianLian Grubu Sorumluluğu Üstlendi
Tanınmış bir fidye yazılımı çetesi olan BianLian siber tehdit grubu, BCHP siber saldırısının sorumluluğunu üstlendi. Bu grubun kritik altyapıyı hedef alan çok sayıda yüksek profilli siber saldırıyla bağlantısı bulunuyor. Mayıs 2023’te FBI ve Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), BianLian’ın yöntemleri ve fidye yazılımı kampanyalarının kurbanı olmanın olası sonuçları hakkında kuruluşlara yönelik ortak bir uyarı uyarısı yayınladı.
BianLian özellikle 2024’te aktifti; siber güvenlik araştırma firması Compareitech’in verileri, grubun yalnızca bu yıl içinde onaylanmış 60 fidye yazılımı saldırısının sorumluluğunu üstlendiğini gösteriyor. BCHP vakasında, grubun çalınan dosyaları sızdırdığı ve ele geçirilen verilerin daha fazla yayılmasını önlemek için fidye talep etmiş olabileceği iddia ediliyor. Ancak BCHP, herhangi bir fidye talebi veya siber suçlularla bağlantı kurup kurmadığı konusunda kamuya açık bir yorumda bulunmadı.
BCHP’nin Yanıtı ve Sonraki Adımlar
BCHP, web sitesinde yayınlanan bir basın açıklamasında ihlali kabul etti ve etkisini azaltmak için attığı adımları ayrıntılarıyla anlattı. Açıklamaya göre kuruluş, 4 Ekim 2024’ten itibaren etkilenen kişileri posta yoluyla bilgilendirmeye başladı. BCHP ayrıca endişeleri gidermek ve potansiyel olarak etkilenenlerin sorularını yanıtlamak için özel bir ücretsiz yardım hattı kurdu.
BCHP, bilgileri ele geçirilen kişileri sağlık hizmeti fatura beyanlarını izlemeye ve yetkisiz harcamaları derhal sigorta şirketlerine bildirmeye teşvik etti. Kuruluş, etkilenenler, özellikle de hassas kişisel bilgileri söz konusu olan kişiler için ücretsiz kredi izleme ve kredi koruma hizmetleri sundu.
BCHP, siber güvenlik duruşunu daha da güçlendirmek için sistemlerini gelecekteki siber saldırılara karşı korumak ve izlemek üzere tasarlanmış ek güvenlik önlemleri uygulamaya koydu. Sağlık hizmeti sağlayıcısı spesifik önlemleri açıklamadı ancak ihlalle ilgili soruşturmanın devam ettiğini kaydetti.