Avustralya’nın en büyük in vitro fertilizasyon (IVF) sağlayıcılarından biri olan Genea’da önemli bir siber güvenlik ihlali, hassas tıbbi verilerin ve tedavi programlarının tehlikeye atılabileceği endişeleri nedeniyle binlerce hasta arasında alarmlar artırdı.
Klinik Çarşamba günü, “yetkisiz bir üçüncü taraf” ın sistemlerine eriştiğini doğruladı, hastaların ilk kez telefon hatlarında ve kritik dijital platformlarda kesintiler bildirmesinden beş gün sonra.
Olay, iletişim kanallarını bozdu, bireyleri ilaç programları, test sonuçları ve embriyo implantasyon zaman çizelgeleri hakkında limbo bıraktı ve gecikmelerin aylarca pahalı ve duygusal olarak vergilendirici tedavi planlarını raydan çıkarabileceği bazı korkularla.
Genea’nın ana şirketi Liverpool Partners, siber güvenlik uzmanlarıyla uğraştı ve veri ihlalinin tam kapsamı soruşturma altında kalmasına rağmen Avustralya Siber Güvenlik Merkezi’ne haber verdi.
Siber saldırı zaman çizelgesi ve sınırlama çabaları
Genea ilk olarak 14 Şubat 2024’te ağında “şüpheli aktivite” tespit etti ve etkilenen sistemlerin daha fazla yetkisiz erişimi önlemek için derhal kapatılmasını sağladı.
Klinik henüz kimlikler, tıbbi geçmişler veya finansal detaylar da dahil olmak üzere hasta kayıtlarının ortadan kaldırıldığını henüz doğrulamamış olsa da, Avustralya Siber Güvenlik Merkezi ile temasa geçme kararı olayın ciddiyetinin altını çizmektedir.
Dış Siber Güvenlik Danışmanları ve Halkla İlişkiler Firması Porter Novelli, teknik kurtarma ve paydaş iletişimlerini yönetmek için görevlendirildi, ancak şirket ABC’den gelen soruşturmaların ardından ihlali açıkça kabul etmek için beş gün bekledi.
Bir sözcü, sistemlerin “derhal güvence altına alındığını” vurguladı, ancak izinsiz girişe veya gasp girişimlerinin izinsiz girişe eşlik edip etmediğini belirtmeyi reddetti.
Hasta Tedavisi ve İletişim Arızaları
Siber saldırı, hastaların hormon seviyelerini izlemesi, laboratuvar sonuçlarını görüntülemesi ve ilaç programlarını izlemesi için çok önemli bir araç olan Genea’nın Mygenea uygulamasını felç etti.
Telefon hatları da çalışılamazken, düzinelerce hasta kliniğin yardım için yalvaran sosyal medya hesaplarını sular altında bıraktı, reçeteli doldurma ve prosedürel güncellemeler için acil ihtiyaçları belirtti.
Bir hasta, ilaçlarının günler içinde sona ereceğini ve “bu gecikmenin aylarca hazırlanmayı mahvedebileceğini” yazdığını belirtti.
Bir diğeri, kan testi talepleri talep eden cevaplanmamış e-postalar üzerindeki hayal kırıklığını ifade etti ve kliniğin zamana duyarlı bakım için dijital altyapıya güvenmesini vurguladı.
Deneme başına 12.000 $ ‘a mal olan IVF döngüleri, ilaçların ve prosedürlerin hassas koordinasyonunu gerektirerek, başarı oranları için potansiyel olarak katastrofik küçük aksaklıklar bile yapmaktadır.
Genea, Monash IVF ve Virtus Health, Avustralya’nın 810 milyon $ IVF endüstrisinin% 80’ine hükmediyor, bu da artan infertilite oranları ile kilitlenerek büyüyen bir sektör.
Bu olay, 12 ay içinde Genea için ikinci büyük tartışmaya işaret ediyor: Kraliyet Prensi Alfred Hastane tesisinde 2023 bakteriyel kontaminasyon, operasyonel opaklık suçlamalarını kırarak üç kadına ait embriyoları yok etti.
Siber güvenlik uzmanları, doğurganlık kliniklerinin hassas genetik ve kimlik verilerinin trovlarının onları kötü amaçlı aktörler için temel hedefler haline getirdiği, ancak düzenleyici çerçevelerin geride kaldığı konusunda uyarıyor.
Avustralya yasalarına göre, kişisel bilgileri içeren ihlaller 30 gün içinde Avustralya Bilgi Komiseri Ofisi’ne bildirilmelidir, ancak uygunsuzluk cezaları tutarsız bir şekilde uygulanmaktadır.
Genea, etkilenen hastaları bireysel olarak bilgilendirip bildirmeyeceğini henüz doğrulamamıştır, bu da sadece güncellemelerin “daha fazla öğrendikçe” izleyeceğini belirtmektedir.
Kliniğin seyrek iletişimleri, IVF hastalarının güvenlik krizleri sırasında öncelikli desteği hak ettiğini iddia eden savunuculuk gruplarından eleştiriler aldı.
Sydney Üniversitesi’nden Siber Güvenlik Analisti Dr. Maria Chen, kliniklerin verileri korumak için “sıfır-tröst” BT mimarilerini benimsemesi gerektiği konusunda uyarıyor: “Tek bir ihlal, genetik profillerden finansal kayıtlara, yaşam boyu sonuçlarla derinden kişisel bilgileri ortaya çıkarabilir” diye uyarıyor. .
Şimdilik, hizmetleri geri kazanmak ve Avustralya’nın en sonuçta ortaya çıkan sağlık veri ihlallerinden birinden kaynakları azaltmak için Genea yarışları olarak umut ve belirsizlik arasında yakalanıyor.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free