3. taraf risk yönetimi, veri ihlali bildirimi, veri güvenliği
Hafta sonu keşfedilen olay hakkında SEC ile şirket dosyaları raporu
Marianne Kolbasuk McGee (Healthinfosec) •
14 Nisan 2025
ABD ve diğer 13 ülkede 3.100’den fazla diyaliz ve böbrek bakım tesisini işleten Denver merkezli DaVita Inc.
Ayrıca bakınız: Yeni Siber Güvenlik Raporlama Gereksinimlerine Hazırlık
Davita, SEC’e Cumartesi günü fidye yazılımı olayının farkına vardığını ve saldırının ağının “belirli unsurlarını” şifrelediğini söyledi.
“Keşif üzerine, yanıt protokollerimizi etkinleştirdik ve etkilenen sistemleri proaktif olarak izole etmek de dahil olmak üzere sınırlama önlemlerini uyguladık.” Dedi.
Şirket, üçüncü taraf siber güvenlik profesyonellerinin yardımıyla olayı değerlendirmek ve düzeltmek için çalıştığını bildirdi. Davita ayrıca saldırı hakkında kolluk kuvvetlerini bildirdi.
“Beklenmedik durum planlarımızı uyguladık ve hasta bakımı sağlamaya devam ediyoruz.” Dedi. Şirket, “Ancak, olay bazı operasyonlarımızı etkiliyor ve belirli işlevlerin restorasyonuna izin vermek için ara önlemler uyguladığımızda, şu anda bozulmanın süresini veya kapsamını tahmin edemeyiz.” Dedi.
Olay yeni gerçekleştiğinden ve yanıt ve soruşturma devam ettiği için, “şirket üzerindeki tam kapsam, doğa ve potansiyel nihai etki henüz bilinmiyor” dedi.
25 yıldır faaliyet gösteren Davita, 2024’te yaklaşık 12.82 milyar dolar gelir bildirdi. Şirket, geçen yıl 750’den fazla hastane ortağı da dahil olmak üzere 3.166 poliklinik merkezinde toplam 281.100 hastaya diyaliz hizmeti sağladığını söyledi. DAVITA’nın poliklinik tesislerinden 2.657 merkez ABD’de yer almaktadır ve diğer 13 ülkede 509 merkez bulunmaktadır.
Bu ülkeler arasında Brezilya, Şili, Columbia, Ekvador, Almanya, Malezya, Polonya, Portekiz, Suudi Arabistan, Singapur, Birleşik Krallık ve diğer birçok ulus bulunmaktadır.
Davita ayrıca evde diyaliz hizmetleri sunmaktadır.
Yönetilen hizmet firması Neovera CEO’su Scott Weinberg, “Davita’nın operasyon ölçeği göz önüne alındığında, çok büyük bir etki potansiyeli var.” Dedi. “Hasta kayıtları şifrelenmişse, tıbbi öyküler ve kişisel tanımlayıcılar gibi hassas veriler risk altında olabilir. DAVITA, veri açığa çıkmasını bildirmedi, bu nedenle verilerin çalınıp çaldırılmadığı belli değil” dedi.
Weinberg, DaVita’nın aksama ve hasta hizmetleri üzerindeki potansiyel etkinin ilgilendiğini söyledi. “Hayatta kalmak için düzenli tedavilere ihtiyaç duyan diyaliz hastaları için bu saldırı son derece ciddidir” dedi. Diyerek şöyle devam etti: “Yıkılmış zamanlama veya erişilemeyen kayıtlar nedeniyle, bu sağlık komplikasyonlarına yol açabilir. Sağlık hizmetlerindeki fidye yazılımı kesintileri, özellikle diyaliz gibi zamana duyarlı tedaviler için mortalite oranlarında bir artışa yol açabilir.”
Güvenlik firması Knowbe4’teki güvenlik farkındalığı savunucusu Erich Kron, risk altındaki kayıt hacmine ek olarak, diğer ülkelerdeki operasyonun potansiyel olarak DaVita için önemli bir düzenleyici sorun olabileceğini söyledi.
“Düzenlemeler, ülkeye ve hatta hastaların yaşadığı veya tedavi edildiği devlete dayalı bir ihlalden sonra cezalar ve raporlama gereksinimleri açısından farklılık gösterebilir.” Dedi.
Kron, birden fazla ülkedeki bireyleri etkileyen ciddi bir siber güvenlik olayı “bazı kuruluşlar için yasal bir kabus olabilir” dedi.
“Ancak bu, kuruluşların bir olaydan önce planlanması ve hazırlanması gereken bir şey” dedi. Diyerek şöyle devam etti: “Çalıştıkları bölgeler için düzenleyici standartları karşılamak için neyin gerekli olacağını zaten bilmeliler.”
DAVITA, olayın veri açığa çıkıp çıkmadığı da dahil olmak üzere, Fidye Yazılımı saldırısı hakkında bilgi güvenliği medya grubunun ek ayrıntı talebini reddetti.
“Hasta bakımında kesintinin olmamasını sağlamak için yedekleme sistemlerini ve manuel süreçleri etkinleştirdik.” Dedi. “Ekiplerimiz, dış siber güvenlik uzmanları ile birlikte, bu konuyu aktif olarak araştırıyor ve sistemleri mümkün olduğunca çabuk geri yüklemek için çalışıyor.”
Çekici hedefler
Tabii ki, Davita’ya yapılan saldırı, son yıllarda sağlık sektöründeki benzer şekilde yıkıcı diğer olayları paralellik ediyor.
Güvenlik firması Semperis olay müdahalesi direktörü Jeff Wichman, “Sağlık sektörü, operasyonların bozulduğunda ciddi aciliyet duygusu nedeniyle her zaman kazançlı bir hedef olarak kabul ediliyor, potansiyel olarak engellilerden bahsetmiyoruz.” Dedi.
“Fidye yazılımı saldırıları durumunda, bu kurbanı fidye ödemeye zorlamak için başka bir araç olarak hizmet ediyor” dedi.
“Şu anda, diyaliz uygulayan herhangi bir sistem bozulursa, Davita’nın ağı içindeki klinikler ve hastaneler kesinlikle son çare olarak manuel olarak işletme makineleridir ve personel hasta bakımının acı çekmemesini sağlamak için son derece çok çalışmaktadır.” Dedi.
“Ağlarındaki herhangi bir elektronik makine düşerse, personelin titizliği elektronik ekipman geri alınana kadar boşlukları dolduracaktır.”
Davita ayrıca son aylarda önemli hack olayına kurban düşen diğer birçok özel sağlık hizmeti sağlayıcısı arasında yer alıyor. 2025 yılında şu ana kadar büyük ihlalleri bildiren diğer özel tıp varlıkları, Rhode Island’daki akıl hastalığı, bağımlılık, konut sorunları ve travma ile ilgili sorunlarla ilgilenen bireyler için programlar sunan Toplum Bakımı İttifakı’nda bir hack içermektedir. Bu olay 115.000 kişiyi etkiledi.
DAVITA’ya gelince, şirket daha önce ABD Sağlık ve İnsan Hizmetleri Departmanı’na ve devlet düzenleyicilerine en az üç büyük sağlık veri ihlali bildirmişti.
Mevcut fidye yazılımı saldırısı ile uğraşmanın yanı sıra, DaVita, Temmuz 2024’teki en büyük ihlalini 67.443 kişiyi etkileyen bir ağ sunucusunu içeren yetkisiz bir erişim/açıklama olayı olarak bildirdi. Bu olay, Davita’nın daha önce hasta portalı ve mobil uygulamalarında çevrimiçi izleme piksellerini kullanmasına bağlıydı.