Canopy Health, altı ay boyunca hastalara açıklanmayan ciddi bir siber saldırıya maruz kaldığını doğruladı. Gecikmiş bildirim, etkilenenler arasında öfkeyi ve derin endişeyi tetikledi; bunların çoğu, Canopy Health veri ihlalinin sağlık sağlayıcılarına ve hassas kişisel bilgileri korumayı amaçlayan sistemlere olan güvenlerini sarstığını söylüyor.
Canopy Health siber saldırısı, aylarca süren perde arkası soruşturmanın ardından bu hafta kamuoyuna duyuruldu. Canopy Health, web sitesinde yayınlanan bir güncellemede, olayı 18 Temmuz 2025’te, bilinmeyen bir kişinin yönetim ekibi tarafından kullanılan iç sistemlerinin bir kısmına “geçici olarak yetkisiz erişim elde ettiğini” tespit ettiğinde tespit ettiğini söyledi.
Kuruluş, harici siber güvenlik uzmanları tarafından yürütülen adli tıp soruşturmasının ardından, “sunucularımızdan birine muhtemelen izinsiz erişim gerçekleştiği ve bazı verilerin kopyalanmış olabileceği” yönünde bilgi verildiğini söyledi. Canopy Health, olayın o zamandan beri kontrol altına alındığını ekledi ancak soruşturmanın devam ettiğini doğruladı.
Hastalar Canopy Sağlık Verileri İhlaline Tepki Veriyor
Yeni Zelanda Radyosu’na göre, isminin gizli kalmasını isteyen bir kadın, Canopy Health veri ihlalini ancak bu hafta şirketten bir e-posta aldıktan sonra öğrendiğini söyledi. “Altı ay, ihlali gizli tutmak için aşırı bir süre” dedi.
Daha önce hükümet tarafından finanse edilen ulusal meme tarama programı BreastScreen Aotearoa kapsamında Canopy Health’in mamografi kliniklerinden birine yönlendirilmiş ve aynı zamanda tanısal görüntüleme hizmetlerinden de yararlanmıştı. Kadın, aldığı e-postada “herhangi bir kredi kartının, banka bilgilerinin veya kimlik belgelerinin etkilendiğine dair hiçbir belirti bulunmadığının” iddia edildiğini söyledi. Ancak kendisi bunun, Canopy Health’in web sitesindeki, bilgisayar korsanlarının “az sayıda banka hesap numarasına erişmiş olabileceğini” kabul eden açıklamasıyla çeliştiğini belirtti.
Aynı zamanda Sağlığımı Yönet platformunun da kullanıcısı olan kadın, “açıkça yetersiz veri güvenlik sistemleri” olarak tanımladığı şeyin ötesinde, her iki şirketten gelen yavaş ve belirsiz iletişimin “tamamen kabul edilemez” olduğunu söyledi. “Öfkeliyim ve bu ülkede sağlık hizmetlerine ve veri güvenliğine olan güvenim tüm zamanların en düşük seviyesinde” dedi.
Mali Bilgiler ve Kimlik Bilgileriyle İlgili Endişeler
Yine RNZ tarafından anonimliği kabul edilen başka bir Auckland sakini, BreastScreen Aotearoa aracılığıyla mamogram için Canopy Health’e yönlendirildiğini ve ihlale ilişkin ancak Aralık ortasında bir mektup aldığını söyledi. “Bunun temmuz ayında gerçekleşmesi kesinlikle kabul edilebilir değildi, ancak ancak aylar sonra bir mektup aldım” dedi. “Eğer o mektubu göndermeselerdi asla bilemeyecektim. Ama bana göndermek için harcadıkları süre içinde her şey olabilirdi.”
Canopy Health’in hastaların kimliklerinin risk altında olmasının “olası olmayan” olduğu yönündeki iddiasının kendisine güvence vermediğini söyledi. “Bilgilerimin herhangi biri herhangi bir şekilde ele geçirilirse bu beni etkiler” dedi. “Orada ne olacağını bilmiyorum, özellikle de yaptığım işte; ya yanlış kişinin eline geçerse ve bana karşı kullanılırsa?”
Canopy Health, web sitesinde yayınlanan Soru-Cevap bölümünde, bilgisayar korsanının “Ödeme veya geri ödeme amacıyla Canopy’ye sağlanan az sayıda banka hesap numarasına erişmiş olabileceğini” söyledi. Şirket, “potansiyel olarak etkilenen kişileri doğrudan bilgilendirdiğini” söyledi ve “hassas banka hesap bilgileri yüksek düzeyde korunduğundan tehdit aktörünün bu ayrıntılarla önemli bir eylemde bulunmasının olası olmadığını” ekledi. Canopy Health veri ihlalinden endişe duyan hastalara bankalarıyla iletişime geçmeleri önerildi.
İkinci Sağlık Verileri Olayı Daha Geniş Sorulara Yol Açıyor
Canopy Health siber saldırısı, sağlık sektöründe veri güvenliğinin yoğun şekilde incelendiği bir dönemde gerçekleşti. Aralık ayı sonlarında hasta portalı sağlayıcısı Manage My Health, platformuna yetkisiz erişimi içeren ayrı bir güvenlik olayı tespit ettiğini doğruladı. Şirket, yaklaşık 1,8 milyon kayıtlı kullanıcısının yüzde 6 ila 7’sinin etkilenmiş olabileceğini söyledi.
Sağlığımı Yönet daha sonra, etkilenen hastaların yarısından fazlasının bildirim e-postası aldığını ve etkilenmeyen kullanıcıların durumlarını uygulama içinde görebildiğini söyledi. Fidye yazılımı saldırısından etkilenen yaklaşık 125.000 hastadan 80.000’den fazlası, Health NZ’nin hastane taburcu özetlerini, poliklinik mektuplarını ve sevk bildirimlerini hastalarla paylaşmak için Sağlığımı Yönet’i kullandığı tek bölge olan Northland’da bulunuyor.
Sağlığımı Yönet operatörleri, BT uzmanlarından kodundaki güvenlik açıklarının giderildiğine dair “bağımsız onay” aldıklarını söyledi. Bu arada, Canopy Health veri ihlali ve daha geniş kapsamlı Canopy Health siber saldırısının etkileri, sağlık sistemi genelinde şeffaflık, hesap verebilirlik ve hasta verilerinin korunması konusunda ciddi soruları gündeme getirmeye devam ediyor.