New York Başsavcısı Letitia James, Connecticut ve New Jersey’deki meslektaşlarıyla birlikte, Enzo’nun hasta verilerini korumadaki başarısızlığının ciddiyetini vurguladı.
Başsavcı James, “Kan testi veya tıbbi test yaptırmak, hastaların kişisel ve sağlık bilgilerinin siber suçlular tarafından çalınmasıyla sonuçlanmamalıdır” dedi. Veri güvenliğine öncelik vermeyen Enzo gibi sağlık şirketleri, hastaları ciddi dolandırıcılık ve kimlik hırsızlığı riskine sokar. Veri güvenliği, hasta güvenliğinin bir parçasıdır ve ofisim, New Yorkluları korumada başarısız olduklarında şirketleri sorumlu tutmaya devam edecektir.
Enzo Biochem Veri İhlali ve Eksikliklerinin Ayrıntıları
Söz konusu Enzo Biochem siber saldırısı, saldırganların iki çalışan oturum açma kimlik bilgilerini kullanarak Enzo’nun sistemlerine erişebildiği Nisan 2023’te gerçekleşti. Başsavcılık Ofisi (OAG) tarafından yapılan bir araştırma, bu kimlik bilgilerinin beş çalışan arasında paylaşıldığını ve bunlardan birinin on yıldan uzun süredir güncellenmediğini ortaya çıkardı ve bu da önemli bir güvenlik açığı yarattı.
Saldırganlar sisteme girdikten sonra Enzo’nun birçok sistemine kötü amaçlı yazılım yüklediler ve fark edilmeden büyük miktarda veri çaldılar.
Enzo Biochem veri ihlalinin en önemli yönlerinden biri uygun bir izleme sisteminin olmamasıydı. Enzo, yetkisiz erişimden birkaç gün boyunca habersizdi; bu gecikme, saldırganların adlar, adresler, doğum tarihleri, telefon numaraları, Sosyal Güvenlik numaraları ve tıbbi tedavi veya teşhis ayrıntıları gibi hassas hasta bilgilerini çıkarmasına olanak sağladı.
Enzo Biochem veri ihlali 2,4 milyon hastayı etkiledi ve bunların 1.457.843’ü New York’ta ikamet ediyordu.
Yerleşim ve Gelecekteki Yükümlülükler
Anlaşmanın bir parçası olarak Enzo Biochem, siber güvenlik protokollerini geliştirmek için bir dizi katı önlemi kabul etti. Bu önlemler, gelecekteki ihlalleri önlemeyi ve şirketin en yüksek veri koruma standartlarına uymasını sağlamayı amaçlıyor. Anlaşmanın temel hükümleri şunları içerir:
- Kapsamlı Bilgi Güvenliği Programı:Enzo’nun özel bilgilerin güvenliğini, gizliliğini ve bütünlüğünü korumak üzere tasarlanmış sağlam bir bilgi güvenliği programını sürdürmesi gerekmektedir.
- Erişim Kontrol Politikaları:Şirket, kişisel bilgilere erişimi sınırlayan ve hassas verilere yalnızca yetkili personelin erişebilmesini sağlayan politikalar ve prosedürler uygulamalı ve sürdürmelidir.
- Çok Faktörlü Kimlik Doğrulama (MFA): Enzo, yetkisiz erişimi önlemek için ekstra bir güvenlik katmanı ekleyerek tüm bireysel kullanıcı hesapları için MFA’yı uygulamak ve sürdürmekle görevlendirildi.
- Şifre Yönetimi: Anlaşma, kimlik bilgilerine dayalı saldırı riskini azaltmak için güçlü, karmaşık parolaların kullanımını ve düzenli parola dönüşümünü zorunlu kılan politikaların oluşturulmasını ve sürdürülmesini gerektiriyor.
- Veri Şifreleme: Saklanan veya iletilen tüm kişisel bilgiler, yetkisiz erişime karşı korunmak için şifrelenmelidir.
- Yıllık Risk Değerlendirmeleri:Enzo, olası güvenlik açıklarını belirlemek ve gidermek için yıllık risk değerlendirmeleri yapmalı ve bunları belgelemelidir.
- Olay Müdahale Planı:Şirketin ayrıca gelecekte ortaya çıkabilecek veri güvenliği sorunlarını derhal ele almak için kapsamlı bir olay müdahale planı geliştirmesi, uygulaması ve sürdürmesi gerekmektedir.
New York, 4,5 milyon dolarlık cezanın 2,8 milyon dolarını alırken, kalan miktar New Jersey ve Connecticut arasında dağıtılacak. Enzo Biochem’in bu anlaşması, Enzo’yu sorumlu tutmakla kalmıyor, aynı zamanda sağlık sektöründeki diğer şirketlere sağlam siber güvenlik önlemlerinin kritik önemi konusunda sert bir uyarı görevi görüyor.
Veri Güvenliğini Artırmaya Yönelik Devam Eden Çabalar
Bu Enzo Biochem veri ihlali davası, Başsavcı James’in çeşitli sektörlerde veri güvenliği uygulamalarını iyileştirme yönündeki daha geniş kapsamlı çabasının bir parçasıdır. Son aylarda, ofisi şirketleri zayıf siber güvenlikten sorumlu tutmak ve en iyi uygulamalar hakkında rehberlik sağlamak için çeşitli eylemlerde bulundu. Bu çabalar arasında işletmeler ve tüketiciler için gizlilik kılavuzları başlatmak, kimlik hırsızlığı koruma hizmetleri hakkında uyarılar yayınlamak ve sosyal medya hesabı devralmalarındaki artışı ele almak için bir koalisyona liderlik etmek yer alıyor.
Başsavcı James, bu yılın başlarında şirketlerin veri koruma uygulamalarını güçlendirmelerine yardımcı olmayı amaçlayan kapsamlı bir veri güvenliği rehberi yayınladı. James ayrıca, siber suçlular tarafından kullanıcı hesaplarına yetkisiz erişim elde etmek için giderek daha fazla kullanılan kimlik bilgisi doldurma saldırılarını önlemeye yönelik bir iş rehberi yayınladı.