3. taraf risk yönetimi, veri ihlali bildirimi, veri güvenliği
En az 410.000 hasta etkilendiğini, ancak muhtemelen daha fazla kurban olduğunu bildirdi
Marianne Kolbasuk McGee (Healthinfosec) •
29 Temmuz 2025
Haberlerden aylar sonra, bu yılın başlarında yapılan bir hack olayı, ana şirket Oracle’ın bulut ortamına geçecek olan Cerner Electronic Health Record sunucuları tarafından barındırılan eski hasta verilerini tehlikeye attığından aylarca, hack ile ilgili veri ihlali raporları hala düzenleyicilere kandırılıyor.
Ayrıca bakınız: Yeni Siber Güvenlik Raporlama Gereksinimlerine Hazırlık
Bugüne kadar, bu sağlık verileri ihlali raporları, bazı raporların belirli Oracle/Cerner müşterilerinden etkilenen hasta sayısında güncel sayımları açıklamadığı için toplamın çok daha yüksek olmasına rağmen, hack’in en az 410.000 kişiyi etkilediği görünmektedir.
Cerner Hack ile ilgili ihlalleri bildiren en son varlıklar arasında Mozaik Yaşam Bakımı olarak iş yapan Missouri merkezli Heartland Bölgesel Tıp Merkezi var. Mosaic, ABD Sağlık ve İnsan Hizmetleri Bakanlığı’na 27 Haziran’da Cerner olayının yaklaşık 145.300 kişiyi etkilediğini söyledi.
Ayrıca, Florida merkezli Tallahassee Memorial Hastanesi Haziran ayında, yerel medya raporlarına göre, korunan sağlık bilgilerinin Cerner Hack’te potansiyel olarak tehlikeye atıldığı hakkında açıklanmayan sayıda hastayı bilgilendirmeye başladı.
Salı günü, Tallahassee Anıtı’ndan bir ihlal raporu, HHS’nin Sivil Haklar Ofisi’nin HIPAA ihlali raporlama aracı web sitesinde 500 veya daha fazla kişiyi etkileyen HIPAA ihlallerini listelemedi.
Haziran ayında Cerner, HHS OCR’ye kendi raporunu, hack olayı 501 kişiyi etkilediğini söyleyerek, bir kuruluş hala bir ihlali değerlendirirken ve kurbanlarını sayarken kullanılan ortak bir yer tutucu tahmini etkiledi.
Son günlerde Cerner ayrıca Kaliforniya, Güney Carolina ve Teksas dahil olmak üzere çeşitli eyaletlerin başsavcılarına ihlal raporları da sundu.
California raporu etkilenen bir dizi insanı belirtmese de, Cerner sırasıyla South Carolina ve Teksas’a olayın 2.989 ve 4.082 kişiyi etkilediğini söyledi.
Bu raporlar, iki hastane ve bir tıbbi grup işleten Indiana merkezli Union Health System’i takip ederek, 21 Nisan’da HHS OCR’ye yaklaşık 263.000 kişiyi etkilediği için Cerner ile ilgili bir ihlal bildirdi (bakınız: bkz: Indiana Sağlık Sistemi 263.000 Oracle Hack’i bilgilendiriyor).
Oracle 2022’de Cerner’ı satın aldı.
Cerner veri ihlali, Oracle’ı bu yıl şimdiye kadar içeren en az iki saldırıdan biridir (bkz:: Oracle Health Legacy Cerner EHR verilerine hack’e yanıt veriyor).
Diğer hususların yanı sıra, Oracle/Cerner olayı spot ışığı, iş ortaklarına ve kapsanan kuruluşların bir hack veya başka bir olaydan sonra bir veri ihlali kapsamını değerlendirmede genellikle karşılaştıklarını söyledi.
Danışmanlık firması TW-Security’nin ortağı Keith Fricke, “İhlalin etkisinin kapsamını belirlemek ve anlamak, ihlal bildirimlerinin etkilenen gerçek hasta sayısını doğru bir şekilde açıklamasını sağlamaya yardımcı olmak zaman alıyor.” Dedi.
İhlal mi yoksa ihlal mi?
Oracle, hack konusunda tamamen şeffaf değildi, bazı uzmanlar potansiyel bir ihlalin ilk ortaya çıktığında şikayet etti (bkz:: Siber güvenlik uzmanları Oracle’ın büyük ihlalin işlenmesini slam)
Nisan ayında Oracle müşterilere, şirketin “Oracle Cloud altyapısı veya OCI olarak da bilinen Oracle Cloud’un bir güvenlik ihlali yaşamadığını açıkça belirtmek istiyor. OCI müşteri ortamı nüfuz edilmedi. OCI müşteri verileri görüntülenmedi veya çalınmadı.”
Mektup, “Hiçbir OCI hizmeti herhangi bir şekilde kesintiye uğramadı veya tehlikeye atılmadı.” Dedi.
Bununla birlikte, mektup bir hack olayı gerçekten meydana geldiğini kabul etti. “Bir hacker, asla OCI’nın bir parçası olmayan iki eski sunucudan kullanıcı adlarına erişti ve yayınladı. Hacker, bu iki sunucudaki şifreler şifreli ve/veya hashed olduğu için kullanılabilir şifreleri açığa çıkarmadı. Bu nedenle, bilgisayar korsanı herhangi bir müşteri ortamına veya müşteri verilerine erişemedi.”
Salı günü Oracle, bilgi güvenliği medya grubunun, etkilenen toplam müşteri ve birey sayısı da dahil olmak üzere Cerner verilerini içeren hack olayı hakkında bir güncelleme taleplerine hemen yanıt vermedi.
Olay Ayrıntıları
Mozaik ve Union Health dahil olmak üzere örtülü kuruluşlar, şimdiye kadar Cerner Hack’i içeren HHS OCR’ye bildirme ihlalleri, her biri, olaydan etkilenmeyi sadece siber suçlularla temasa geçtikten sonra öğrendikleri ihlali bildirimlerinde belirtmiştir.
Mozaik Life Care, web sitesinde yayınlanan ihlal bildiriminde, “bilinmeyen bir parti” nin sahip oldukları bazı hasta bilgilerine sahip olduklarını iddia ederek Mozaik ile temasa geçtiğini söyledi. Mosaic, iddiayı 29 Nisan’da doğruladığını ve daha sonra “gerçekleştirdiği veri taşıma hizmetleriyle ilgili Oracle Health/Cerner sistemlerinden elde edildiği gibi” bilgileri belirlediğini söyledi.
Mosaic, kolluk kuvvetlerini bildirdiğini ve olay hakkında Oracle’a ulaştığını söyledi.
Mosaic, “2 Mayıs’ta Oracle Health/Cerner, bilinmeyen partiden alınan dosyaların Oracle Health/Cerner’ın ortamından geldiğini doğruladı.” Dedi.
“Oracle Health/Cerner ayrıca Mozaik’e, bilinmeyen bir partinin en az 22 Ocak 2025’e kadar uzlaşmış kimlik bilgilerini kullanarak Oracle Health/Cerner’ın göç ortamına eriştiğini bildirdi. 6 Haziran’da Oracle Health/Cerner bize bilgilerinin dahil olduğu mozaik hastaların bir listesini sağladı.”
Olay, “Mozaik’in canlı EHR dahil olmak üzere Mozaik’e ait, işletilen veya uygulanan sistemlerin herhangi birine erişim veya uzlaşma içermiyordu.
Etkilenen dosyalar bireye göre değişen ancak hastaların isimlerini, sosyal güvenlik numaralarını, ehliyet numaralarını, doğum tarihlerini, doktorları tedavi etme, hizmet tarihleri, ilaç bilgileri, sigorta bilgileri ve/veya teşhis bilgilerini içerebilecek bilgileri içeriyordu.
Önceden Planlama
Oracle, Salı günü itibariyle, hack’ten kaynaklanan sağlık verileri ihlalini içeren yaklaşık 20 bireysel dava içeren konsolide önerilen federal sınıf eylem davalarıyla karşı karşıya kaldı.
Öyleyse, bir hack olayı ve potansiyel veri ihlali muzdarip kritik sağlık BT satıcıları hakkında haberler kırıldığında, kapsanan varlıklar ne gibi önlemler almalıdır?
Danışmanlık şirketi Clearwater CEO’su Steve Cagle, “Sağlık hizmeti sağlayıcıları resmi olarak satıcılarıyla temasa geçmeli ve hastalarının veya diğer hassas verilerin ihlalde yer alıp almadığını sormalıdır.” Dedi.
Cagle, “Bu satıcı ile iş ortak anlaşmalarını gözden geçirmeli ve satıcıya yükümlülüklerini hatırlatmalıdır. Ayrıca satıcının soruşturma sürecini anlamalarını ve bundan memnun olup olmadıklarını belirlemelerini sağlamalıdırlar.” Dedi.
Sağlık hizmeti sağlayıcısının hasta verilerinin tehlikeye girmesi durumunda, kuruluşun uygun zaman çizelgelerini karşıladıklarından ve etkilenen bireyleri mantıksız bir gecikmeden bilgilendirmelerini sağlamak için satıcı ile ihlal raporlama ile ilgili çabaları koordine etmelidir.
Fricke ayrıca, iletişim kanallarını açık tutmak için tehlikeye atılmış bir satıcının iletişim bilgilerinin olmasının kritik öneme sahip olduğunu söyledi. Yetkili, “Sözleşmeler, ihlal bildirimi için hizmet düzeyinde anlaşmaların tanımlanmasında yetersizse, sağlık kuruluşları iş ortak sözleşmelerinde dili güncellemelidir.” Dedi.
Yetkili, mümkünse tedarik zincirinde ürün ve hizmet sağlayabilen alternatif satıcılarla ilişkilerin olması da önemlidir. “Olay müdahale planlarınızın güncel ve test edildiğinden emin olun. IR planınız yoksa, bir tane oluşturmayı ve periyodik olarak test etmeyi bir öncelik haline getirin.”
Son olarak, üçüncü taraf bir olayı hala aktifse, sağlık hizmetleri müşterileri “bu satıcı ile herhangi bir bağlantıyı kesmeyi ve bu hizmetler için iş sürekliliği planlarını etkinleştirip etkinleştirmeyeceğini düşünmelidir.” Dedi.