Veri ihlali bildirimi, veri güvenliği, sahtekarlık yönetimi ve siber suç
Healthcare olmayan firmalar için 104.000 altını etkileyen sağlık veri risklerini etkileyen ihlal
Marianne Kolbasuk McGee (Healthinfosec) •
9 Eylül 2025
Ürünlerini franchise ile satan Ohio tabanlı bir el alet üreticisini içeren bir hack olayı, tıbbi verileri de dahil olmak üzere yaklaşık 104.000 kişiyi etkiledi. İhlal, sağlık dışı sektör kuruluşları ve sağlık bilgilerinin ele alınmasında karşılaştıkları riskler hakkında uyarıcı bir hikaye olarak hizmet ediyor.
Ayrıca bakınız: Ondemand | Bankacılıkta içeriden gelen tehdidi ele almanın sınırlamalarının üstesinden gelmek: Gerçek güvenlik zorlukları için gerçek çözümler
106 yaşındaki cırcır, soket, anahtar, depolama ekipmanı ve diğer teçhizat üreticisi Cornwell Kalite Tools, hack olayını Pazartesi günü birkaç devlet düzenleyicisine bildirdi. Bu, Maine Başsavcılığına 20 Aralık 2024’te keşfedilen siber güvenlik olayının 103.782 kişiyi etkilediğini söyledi.
Potansiyel olarak tehlikeye atılan bilgiler, isim, sosyal güvenlik numarası, finansal hesap numarası ve tıbbi bilgileri içermektedir.
Cornwell, ürünlerini otomotiv ve sağlık sektörü ile ilgili olmayan diğer ağır hizmet onarım endüstrilerindeki müşterilere araçlar sunan kamyon tabanlı franchise’lar da dahil olmak üzere ürünlerini dağıtır ve satar.
Ancak, sağlık bakımından pek çok sektör işletmesi gibi, Cornwell’in sağlık bilgilerini potansiyel olarak insan kaynakları operasyonlarının, sağlık sigortası kapsamı planlarının veya genellikle olayları veya diğer uzlaşma türlerini hacklemeye karşı savunmasız olabilecek diğer işlevlerin bir parçası olarak ele aldığını söyledi.
Hukuk firması Akerman’ın ortağı olan avukat Jordan Cohen, “Cornwell ilk bakışta HIPAA tarafından düzenlenmiş bir varlık gibi görünmese de, Cornwell işveren destekli bir sağlık planını sürdürüyorsa, planın yapısına bağlı olarak, şirketin planı HIPAA tarafından düzenlenen kapalı bir varlık ‘sağlık planı’ olarak kabul edilebilir.” Dedi.
Ayrıca, Cornwell gibi bir araç üreticisi ve distribütörü için, korunan tıbbi bilgiler, çalışanlara sağlanan faydalar yönetimi, sağlık yararları, sağlık programları, işçi tazminatı, aile ve tıbbi izin Yasası, İş Sağlığı ve Güvenliği İdaresi düzenlemeleri veya diğer idari amaçlar gibi çeşitli faaliyetleri içerebilir.
Gizlilik ve güvenlik danışmanlığı Clearwater’ın risk sorumlusu Jon Moore, “Tıbbi bilgi kişisel ve mesleki yaşamı köprü kuruyor, bu nedenle sağlıksız olmayan şirketler bile son derece hassas verilerin saklama görevlileridir.” Dedi.
HealthCare dışı sektör kuruluşları, uyuşturucu testi veya nöbetçi amaçlarla ilgili bilgileri de toplayabilir.
“Dava veya uyum bağlamlarında hassas tıbbi detaylar da işlenebilir” dedi. Ayrıca, bazı kuruluşlar tıbbi verilere dolaylı olarak dokunmaktadır – hukuk firmaları, sigortacılar ve teknoloji sağlayıcıları gibi. “Kısacası, tıbbi veriler çoklu iş işlevleri aracılığıyla sağlık dışı şirketlere akabilir.” Dedi.
‘Dikkatli Masal’
Cornwell olayının ölçeği göz önüne alındığında – etkilenen 100.000’den fazla kişi – “Bu muhtemelen standart istihdam süreçleri yoluyla toplanan çalışan tıbbi bilgileri içeren kapsamlı bir İK veritabanını temsil ediyor.” Dedi.
“Bu ihlal, standart İK operasyonlarındaki gizli tıbbi veri gizliliği ve güvenlik riskleri konusunda işverenler için uyarıcı bir hikaye olarak hizmet ediyor.” Dedi.
Cornwell olayı ayrıca, çalışanların tıbbi bilgilerinin geleneksel kapalı bir işletmenin veya iş ortağının HIPAA kapsamında uygulanması gerektiği aynı veya benzer güvenlik korumalarıyla tedavi etmenin öneminin altını çizmektedir – özellikle birçok işveren sağlık planının aynı gereksinimlerin çoğuna tabi olduğu için.
Cornwell, ihlal bildirim mektubunda, 20 Aralık 2024’te bilgisayar ağında “olağandışı etkinlik” ü öğrendikten sonra, sistemlerini güvence altına almak ve siber güvenlik uzmanlarını süreçte meşgul etmek için hemen adımlar attığını söyledi.
Olayla ilgili soruşturmaya göre, bilinmeyen bir aktör Cornwell’in ağına erişti ve potansiyel olarak 12 Aralık 2024’te veya civarında belirli dosyaları edindi.
Bildirim, “Etkilenen dosyaların kapsamlı bir incelemesinin ardından Cornwell, bazı bireylerin kişisel bilgilerinin bu olaya dahil olabileceğini belirledi.” Dedi.
Siber suçlu çete kaktüsü, Cornwell’i Şubat ayında karanlık web sitesinde kurban olarak listeledi ve şirketin verilerinin 4.6 terabaytına sahip olduğunu iddia etti.
Cornwell’in veri ihlali bildirimini ele alan bir avukat, Cornwell’in koruduğu tıbbi bilgi türü de dahil olmak üzere, olayla ilgili ek ayrıntılar ve Cactus’un Darkweb iddiaları hakkında yorum yapmak için olayla ilgili ek ayrıntılar talebine hemen yanıt vermedi.
Çalışanların veya başkalarının sağlıkla ilgili bilgilerini ele alan herhangi bir sağlık bakım dışı sektör kuruluşu için Cohen, bu verileri korumak için birkaç kritik adım atmalarını önermektedir.
Bu, tıbbi bilgilerin “HIPAA uygulanabilirliğinden bağımsız olarak sağlık düzeyinde güvenlik” ile muamele edilmesini içeriyor. “Bir sağlık planı olarak düzenlenmemiş olsa bile, işverenler hala iyi finanse edilen bir davacı barından bahsetmemek için giderek daha katı bir devlet yasalarıyla karşılaşıyorlar.” Dedi.
Diğer önlemler arasında hızlı olay tespiti ve yanıt prosedürlerinin uygulanması; ihlal kapsamını sınırlamak için veri ayrımını dikkate almak; tıbbi veri havuzlarına şifreleme ve katı erişim kontrollerinin uygulanması; düzenli penetrasyon testi ve güvenlik açığı değerlendirmelerinin yapılması; ve basınç testine uyum sağlamak için düzenleyici danışmanlık.
Moore, “Ders, çalışan veya müşteri sağlığı verilerine – tesadüfen bile – dokunursanız, bunu finansal veya ticari sır bilgileriyle aynı titizlikle ele almalısınız.” Dedi. Diyerek şöyle devam etti: “İtibar ve düzenleyici riskler, HIPAA uygulanabilirliğine bakılmaksızın bu verileri yanlış kullanmaya bağlıdır.”