Veri Gizliliği, Veri Güvenliği, Yönetişim ve Risk Yönetimi
Maryland Üniversitesi Tıp Merkezi FBI’ın da davayı araştırdığını söyledi
Marianne Kolbasuk McGee (Healthinfosec) •
8 Nisan 2025
Maryland Üniversitesi Tıp Merkezi, eczacılarından birinin on yıl boyunca en az 80 iş arkadaşının kişisel yaşamlarını ve samimi anlarını gözetlemek için 400 dizüstü bilgisayar ve iş istasyonuna Keylogging yazılımı kurduğunu iddia eden bir sınıf eylem davasıyla karşı karşıya.
Ayrıca bakınız: Netskope Ferpa Haritalama Kılavuzu
Avukatlar, UMMC eczacı Matthew Bathula’nın, geçen hafta bir Baltimore mahkemesinde açılan bir davaya göre, kişisel bilgilere erişmek ve iş arkadaşlarına gizlice ev arkadaşlarına ve işyerinde gizlice kaydetmek için çalınan kimlik bilgilerini kullandığını söylüyor. Üniversite, eczacının kovulduğunu ve federal kolluk kuvvetleri tarafından ceza soruşturması altında olduğunu söyledi.
Davacıları temsil eden avukatlar, Bathula’nın kliniklerde, tedavi odalarında, laboratuvarlarda ve akademik tıp kurumunun kampüsünde çeşitli konumlarda yüzlerce bilgisayar ve iş istasyonuna anahtarlog yazılımı kurduğunu iddia ediyor. Bathula daha sonra banka hesapları, e -posta, ev gözetim sistemleri, damla kutusu hesapları, Google sürücüleri, buluşma uygulamaları, Google Nests ve iCloud hesapları gibi kişisel hesapları için iş arkadaşlarının kullanıcı adları ve şifreleri aldı.
“Bathula, tıp merkezi çalışanlarının giriş bilgilerinin listelerini yakaladı ve korudu. Bu bilgileri daha sonra iş arkadaşlarının kişisel hesaplarına erişmek için kullandı.”
“Bu hesapların içine girdikten sonra, tıp merkezi çalışanlarının özel fotoğraflarını, videolarını ve kişisel olarak tanımlayıcı bilgileri indirip korudu. Ayrıca, kendi evlerinin mahremiyetinde gerçek zamanlı olarak destekledi ve eşleri ve aileleriyle özel ve samimi anlar çekti ve kaydetti.”
Bathula’nın ayrıca, yeni anneler olan UMMC iş arkadaşlarının kapalı tedavi odalarında anne sütü pompaladığı gibi, işyerinde özel anlarda genç doktorların ve tıp sakinlerinin videolarını kaydetmek için web kameralarına uzaktan erişim elde etmek için bu giriş kimlik bilgilerini kullandığı iddia ediliyor.
UMMC, Bilgi Güvenliği Medya Grubu’na yaptığı açıklamada, tıp merkezine karşı devam eden dava ve kolluk kuvvetleri tarafından Bathula’ya ilişkin ceza soruşturması nedeniyle davadaki belirli iddialar hakkında yorum yapamayacağını söyledi.
UMMC ISMG’ye verdiği demeçte, “Kuruluşumuz ekip üyelerini Ekim 2024’te BT ile ilgili ciddi bir güvenlik tehdidine bildirdi ve hemen FBI ile temasa geçti.” Dedi.
UMC, “Bay Bathula hemen daha sonra feshedildi. Bu bir FBI soruşturması olduğu için, bu ajans etkilenen ekip üyeleriyle iletişim/röportajlara liderlik ediyor.
Hastane, olaydan bu yana güvenlik sağladığını söyledi. UMMC, “Ortamımızı güvende tutmak için büyük ve son derece yetenekli bir ekip kullanıyoruz ve altyapımızı daha da güçlendirmek için düzinelerce dünya standartlarında ortak ve satıcılarla ortaklık yapıyoruz. Ayrıca, bu olaya yanıt olarak, yetkisiz erişimi daha iyi tespit etmek için ağımızda gözetim arttırdık.” Dedi.
Davadaki davacıları temsil eden hukuk bürosu Grant & Eisenhofer PA’nın avukatı Cindy Morgan, ISMG’ye müşterilerinin UMMC’nin iddia edilen suistimalden nasıl ve ne zaman farkında olduklarını bilmediklerini, ancak yıllar önce olabileceğini söyledi.
“Şikayet detaylarımız, UMMC’nin bilgisini gösteren BT personelinin yaptığı açıklamalar birkaç yıl önce uzayabilir. Mevcut çalışanlarına 1 Ekim 2024 yazışmalarında UMMC, siber saldırıyı son haftalarda araştırdıklarını söyledi.” Dedi.
Morgan, “Yüzlerce farklı bilgisayarı tehlikeye atan bu büyüklüğün gizlilik istilası, UMMC’nin on yılın daha iyi bir kısmı için makul ve mevcut veri güvenliği önlemleri alamaması olmadan gerçekleşmeyecekti.”
Bu önlemler, kullanıcı izinlerinin kısıtlanması, USB cihazlarının devre dışı bırakılması, USB veri engelleyicilerinin ve tuş vuruşu şifreleme yazılımlarının yüklenmesi, sağlam güvenlik duvarları kullanma ve düzenli BT güvenlik denetimleri yapmayı içerir.
“UMMC veri güvenliğinin her alanında başarısız olduğu için, suçlunun, daha sonra UMMC çalışanlarına ve işçilerin özel ve kişisel fotoğraf depolama hesaplarına ve ev gözetim sistemlerine erişmek için kullandığı yüzlerce bilgisayara tuş kartı yazılımı yükleyebildiği iddia edildi.”
Bathula, samimi fotoğraflar çekti ve korudu ve iş arkadaşlarını ve ailelerini – küçük çocuklar da dahil olmak üzere – evlerinin mahremiyetinde gözetledi.
Diyerek şöyle devam etti: “Suçlunun cyberstaling saldırısının kapsamı ve ölçeği benzeri görülmemiş. Kurumun ihmal edilebilir davranışları olmadan meydana gelemezdi.”
FBI, ISMG’nin yorum talebini reddetti ve “herhangi bir teması veya bir soruşturmanın potansiyel varlığını onaylayamayacağını veya reddedemeyeceğini” söyledi.
Maryland Eczacılık Kurulu, ISMG’ye yaptığı açıklamada, özellikle UMMC meselesi hakkında yorum yapamayacağını söyledi. Devlet sözcüsü, “Genel olarak, Eczacılık Kurulu eczacılara, eczane teknisyenlerine, eczane stajyerlerine, eczanelere ve toptan distribütörlere karşı şikayetleri alıyor ve araştırıyor.” Dedi.
Spokesperson, “Kurulun soruşturmaları gizlidir ve bu nedenle, bekleyen soruşturmalarla ilgili herhangi bir bilgi paylaşamıyoruz. Bununla birlikte, bir soruşturma tamamlandıktan sonra, Kurul bir lisans sahibine karşı resmi disiplin cezası almaya karar verebilir, bu da sonuçta resmi bir sırayla sonuçlanacaktır.” Dedi.
Sözcü, resmi emirlerin kamuya açık belgeler olduğunu, ancak sözcü, davanın koşullarına bağlı olarak birkaç ay sürebileceğini söyledi.
Bathula şimdiye kadar ISMG’nin iddialar hakkında yorum talebine cevap vermedi.
Acımasız iddialar
Bazı uzmanlar, davadaki gizlilik ve güvenlik iddialarının son derece ilgili olduğunu söyledi.
Hukuk firması Reese Marketos LLP’de bir avukat olan UMMC hukukuna dahil olmayan bir avukat olan eski federal savcı Andrew Wirmani, “Bu, şimdiye kadar gördüğüm en korkunç siber güvenlik vakalarından biri, bu alandaki risklerin sadece finansal zararla sınırlı olmadığını, hayatımızın en samimi alanlarına yayıldığını gösteriyor.” Dedi.
“Neredeyse tüm kişisel bilgilerimizin – mesajlar, resimler vb. – elektronik olarak saklandığı bir dönemde, kötü bir aktör yüzlerce insanın hayatına zarar verme yeteneğine sahiptir.”
UMMC davasında da yer almayan düzenleyici avukat Rachel Rose, iddiaların oldukça rahatsız edici olduğunu söyleyerek benzer bir bakış açısı sundu.
“Etkinlik, sadece hastaneyle sınırlı olanlara değil, kişisel alanlara ve kişisel hesaplara erişmeye geçti; çekilen davranışın hassas ve/veya cinsel doğası ve kötü amaçlı yazılımın tespit edilmediği süre.” Dedi.
Diyerek şöyle devam etti: “Bu bireyin bu davranışta bulunduğu iddia edildiği 10 yıl gelince, üçüncü taraf risk analizi veya penetrasyon testinin bunu keşfetmemesi şaşırtıcı.”
Rose, suistimalin gerçekleştiği uzun süreye dayanarak, “benim bakış açımdan gerekli teknik, idari ve fiziksel önlemlerin kederli bir şekilde eksik olduğunu” söyledi.
“Makul bir açıklama yok çünkü yeterli teknik önlemler, yıllık risk analizi ve penetrasyon testleri yapılırsa, tanımlanmış olurdu.” Dedi. “Dahası, davranış, sınıf eylemi bunları adlandırmasa da, saklanan İletişim Yasası’nı ve diğer federal yasaları da ihlal ediyor. SCA, özel bir eylem hakkı ve hükümet avukatlarının izlemesi için bir ceza yolu sunuyor.”
Wirmani, UMMC’nin güvenlik programının ayrıntılarına özel olmasa da, diğer sağlık kuruluşlarının dava tarafından dikkat çeken potansiyel zayıflıkları fark etmesi gerektiğini söyledi.
“Hastaneler, dış aktörlerin sistemlerine erişme ve potansiyel olarak hasta güvenliğini tehlikeye atma potansiyeliyle karşılaştıklarında, bu tehditlerin öncelikli olabileceğini ve bu tür ‘Truva atı’ durumlarına nasıl izin verebileceğini görmek kolaydır.” Dedi.
“Siber güvenlik, sistemlere yetkilendirilmiş olanların tamamen incelenmelerini ve izlenmesini sağlamakla başlamalıdır. Arka plan kontrolleri ve benzer veteriner uzun bir yol kat edebilir.”
Davacıların avukatı Morgan, sağlık sektörü, sakladıkları hassas, gizli ve HIPAA korumalı veriler nedeniyle artan siber güvenlik gereksinimleriyle karşı karşıya.
“Bu varlıklar tüm yasal gerekliliklere bağlı kalmalı ve bir bütün olarak, çalışanlarının verilerinin ve hastalarının güvenliğini sağlamak için makul tüm önlemleri almalıdır.” Dedi.