Pensilvanya’nın önde gelen sağlık sistemlerinden Geisinger, kuruluş tarafından sözleşmeli olarak kullanılan BT hizmetleri sağlayıcısı Nuance’ın eski bir çalışanını ilgilendiren bir veri ihlali yaşandığını duyurdu.
Geisinger, 134 bakım tesisi, on hastane ve Geisinger Sağlık Planı işleten ve toplam 1,2 milyon kişiye hizmet veren kar amacı gütmeyen bir kuruluştur. 1.600 doktor da dahil olmak üzere 26.000 personel istihdam eder ve Pensilvanya’nın en önemli kuruluşlarından biri olarak kabul edilir.
Bu haftanın başlarında yayınlanan bir duyuruda, Geisinger’in Kasım 2023’te eski bir Nuance çalışanının hastalarının veri tabanına yetkisiz erişim sağladığı tespit edildiği belirtiliyor.
Nuance derhal bilgilendirildi ve eski çalışanın Geisinger’in hasta kayıtlarını tutan sistemlerine erişimini engellemek için harekete geçti.
Duyuruda, “29 Kasım 2023’te Geisinger, eski bir Nuance çalışanının, çalışanın işine son verilmesinden iki gün sonra belirli Geisinger hasta bilgilerine eriştiğini keşfetti ve hemen Nuance’a bildirdi.”
“Bunu öğrendikten sonra Nuance, eski çalışanının Geisinger’in kayıtlarına erişimini kalıcı olarak kesti.”
Daha sonra Nuance, kolluk kuvvetlerine bu konuda bilgi verdi ve eski çalışan tutuklanarak suçlandı.
Şirketin soruşturmasına göre şu bilgiler tehlikeye atıldı:
- Ad Soyad
- Telefon numarası
- Doğum tarihi
- Adres
- Kabul ve taburcu veya transfer kodu
- Tıbbi kayıt numarası
- Irk ve cinsiyet
- Tesis adı kısaltması
Açığa çıkan kesin veri türleri, Geisinger aracılığıyla aldıkları hizmetlere bağlı olarak kişiye göre değişiklik gösteriyor.
Bu olay sigorta bilgilerini, kredi kartı ayrıntılarını, banka hesap numarasını, Sosyal Güvenlik Numarasını (SSN) ve diğer mali verileri etkilemedi.
Eski çalışanın çalınan verileri tam olarak nasıl kullanmaya çalıştığı ya da verilerin siber suçlulara dağıtılıp dağıtılmadığı belli değil. Bu nedenle, potansiyel olarak etkilenen kişilere dikkatli olmaları tavsiye ediliyor.
Tipik olarak, iptal edilmemiş hesapları/kimlik bilgilerini kullanarak sistemlere erişen işten atılan çalışanlar bunu inadına yaparlar ve itibara ve işlerine zarar vermeyi amaçlarlar.
Geisinger, ihlal konusunda bilgilendirilen kişilerin beyanlarını dikkatlice incelemelerini ve tanımadıkları girdiler görmeleri halinde sağlık sigortacılarını derhal bilgilendirmelerini öneriyor.
Hukuk firması Lynch Carpenter, olayın kapsamı hakkında bir soruşturma başlattığını ve Geisinger’a karşı toplu dava açma olasılığını araştırdığını duyurdu.