Yaklaşık 650 Ulusal Engellilik Sigorta Programı (NDIS) katılımcısı ve potansiyel katılımcıya, geçen yıl Haziran ayında hangi sağlık kayıtlarının karanlık ağda sızdırıldığı henüz söylenmedi.
İdari Temyiz Mahkemesinde (AAT) Ulusal Engellilik Sigortası Kurumu’nu (NDIA) temsil eden HWL Ebsworth’ün elinde, ihlal anında etkilenen bazı kişilerin tıbbi ve psikolojik geçmişlerini gösteren birkaç yıllık belgeler vardı.
Otoimmün hastalığı olan Bell* şunları söyledi: iTnews HWL Ebsworth’ün, NDIA’nın kendisinin NDIS’e uygun olmadığı yönündeki kararına itiraz kapsamında 900 sayfadan fazla belge elde ettiği.
Bell, “Yerel hastanemle temasa geçtiler ve görüştüğüm tüm uzman ve yardımcı sağlık profesyonellerini, yani sağlık sorunlarıma değinen herkesi çağırdılar” dedi.
Bell, HWL Ebsworth’ün elde ettiği bazı bilgilerin “değerlendirilen durumla ilgili olmadığını” söyledi; buna sağlık uzmanlarının içinde bulunduğu aile içi şiddet durumunun ayrıntılarını içeren raporları da dahil.
Bir mektup [pdf] Aralık ayında gönderilen HWL Ebsworth, Bell’e, hangi ayrıntılarının veya belgelerinin olduğunu belirtmeden, “sağlık/tıbbi bilgilerin” “erişilmiş” olmasının “olası” olarak tanımlandığını bildirdi.
“Tükenmişlik nedeniyle psikososyal, depresyon ve kaygı” sorunu yaşayan Ray*, iTnews’e, destek hizmetleri planı kapsamında daha önce aldığı fonun tahsisinin serbest bırakılması yönündeki NDIA kararına ilişkin incelemeye de itiraz ettiğini söyledi.
Bell gibi HWL Ebsworth de AAT duruşmaları sırasında Ray’in geniş bir yelpazedeki belgelerini ele geçirmişti; bunlar arasında “tüm psikoloji raporlarım, tüm OT’lerim” de vardı. [occupation therapists] raporlar, tüm akıl sağlığı geçmişimi içeriyor” dedi.
Hem Bell hem de Ray, verilerinin HWL Ebsworth ihlalinin bir parçası olduğu konusunda bilgilendirildi ancak ikisi de tam olarak neyin çalındığını bulamadı.
“[An NDIA employee] Ray, bana tıbbi kayıtlar da dahil olmak üzere bilgilerin hacklendiğini söyledi ancak hangisinin hacklendiğini söyleyemedi” dedi.
“Hala hackerların elinde ne olduğunu bilmiyorum; Hukuk firması ihtiyati tedbir için Yüksek Mahkeme’ye gittiği için kendi başıma erişemiyorum, bu yüzden yasal olarak bile öğrenemiyorum.
Karanlıkta
Bell ve Ray, NDIA’nın HWL Ebsworth veri ihlalinden etkilendiğini bildirdiği 644 kişiden oluşan bir grubun parçası.
NDIA’nın bildirmediği 644 kişi, sızıntıya dahil olan NDIS katılımcılarının ve olası katılımcıların tamamı değildir; manuel inceleme yapılmadan yalnızca verilerde kolayca tanımlanabilenler.
NDIA, verileri dahil edilen ilave kişileri belirlemek ve her bir bireyle ilgili hangi bilgilerin dahil edildiğini doğrulamak için yakın zamanda daha kapsamlı, manuel bir incelemeyi tamamladı.
Ajansın bir sözcüsü, “NDIA, etkilenenlerin uygun şekilde desteklenmesini sağlamak için çalışmaya devam edecek” dedi. iTnews.
“Bu, etkilenen bireylerle gelecekte hangi bilgilerin etkilendiği konusunda onları bilgilendirmek için iletişime geçmeyi ve kendilerini korumak için atabilecekleri ek adımları da içeriyor.”
HWL Ebsworth’ün bir sözcüsü, gecikmiş ve eksik bildirimleri “suçluların eriştiği verilerin hacmi ve yapılandırılmamış yapısına” bağladı.
Sözcü, “Veri analizinin kapsamlı ve doğru bir şekilde yapılması gereği göz önüne alındığında, analiz süreci uzun sürdü ancak artık sona gelindi” dedi.
“HWL Ebsworth, etkilenen bireylerin siber suçluların eriştiği her türlü hassas bilgiyi tam olarak anlamak istediğini anlıyor.
“Etkilenen kuruluşların büyük çoğunluğu için etkilenen bireylere yönelik bildirimlerin tamamlandığını doğrulayabiliriz.”
Ancak diğer gözlemciler mağdurlara ayrıntılı bilgi verilmemesinden duydukları endişeyi dile getirdi.
Engelli hakları savunucusu ve Her Avustralya Önemlidir’in bağımsız başkanı Dr. George Taleporos, iTnews’e, NDIA’nın iletişim eksikliğinden “endişe duyduğunu” söyledi.
“NDIS katılımcıları diğer herkesle aynı gizlilik hakkına sahiptir” dedi.
“Gizliliğimizin korunması çok önemli ve bu ihlalden ve katılımcılara hangi verilerin ihlal edildiğine dair bilgi verilmemesinden çok endişe duyuyorum.”
Geçen hafta İçişleri’nden hack’e yakalanan tüm devlet kurumlarının bir listesini alan Gölge Siber Güvenlik Bakanı James Paterson [pdf]söylenmiş iTnews Etkilenen bireylerin daha hızlı iletişimden faydalanacağı düşünülüyor.
“Potansiyel mağdurların kendilerini siber suçluların daha fazla mağduriyetinden korumak için gerekli adımları atabilmeleri için hızlı bildirim hayati önem taşıyor.
“HWL Ebsworth ve federal hükümetin hangi belgelerin kaybolduğunu belirlemesinin ve kurbanlara haber vermesinin bu kadar uzun sürmesinden endişe ediyorum” diye ekledi.
Sağlık belgeleri için “balık tutma gezisi”
Temyiz işlemlerinin bir parçası olarak hukuk firmasının NDIA adına neden bu kadar büyük miktarda hassas bilginin toplanması gerektiğine dair hala cevaplanmamış sorular var.
Ray, AAT duruşmaları sırasında “çok fazla soru sorulduğunu” söyledi.
Bell de aynı fikirde ve şunu ekledi: “Tüm bu sağlık uygulayıcılarıyla tüm tıbbi geçmişim hakkında iletişime geçmenin süreçle alakası yok.”
“Bu, hem uygulayıcılar hem de başvuranlar üzerinde caydırıcı bir etki yaratan bir balık tutma gezisidir; bizi yabancılaştırıyor… Bunu gelişigüzel toplamak için yaptıklarını önerdim” dedi.
“NDIS’e başvurdum çünkü birincil durumum olan ankilozan spondilit (AS) dahil otoimmün rahatsızlıklarım var.
“AS dejeneratif bir durumdur. Kararlı olmadığı gerçeği, birçok ve değişen argümanın bir parçasıydı. [HBL Ebsworth] AAT süreci sırasında başvurumu reddetmek için kullanılır.
“Bir keresinde acil bir alevlenme sonrasında hastanedeydim ve birçok hastane uygulayıcısı kısa süreliğine başucumu ziyaret ederek not aldı.
“Bir tür soru ‘hasta 100 adım yürüyebilir mi’ idi ve personel ‘evet’ cevabını verdi ve ret argümanlarında buna atıfta bulundular.”
HWL Ebsworth cevap vermedi iTnews’ neden bu kadar çok bilgi topladığı veya süresi dolduğunda hassas bilgileri silecek bir veri saklama politikasının olup olmadığı hakkında sorular.
Senatör Paterson bunların yanıtlanması gereken sorular olduğunu söyledi.
“Bunlar gibi veri ihlallerinin her zaman mevcut olduğu risk ve bunun potansiyel mağdurlar üzerinde yaratabileceği ciddi etki göz önüne alındığında, NDIS, iddiayı esasına göre değerlendirmek için kesinlikle gerekli olandan daha fazla bilgi talep etmemelidir” dedi.
“Bu bilgiler, Gizlilik Yasası kapsamında özel kuruluşlara uygulanan gerekliliklere uygun olarak yalnızca kesinlikle gerekli olduğu sürece saklanmalıdır.
“Bu miktarda bilginin neden gerekli olduğunu ve neden daha iyi korunmadığını açıklamak NDIS’e kalmıştır.
Dr Taleporos şunları söyledi: “Katılımcıların vermeye zorlandığı kişisel bilgilerin miktarı beni de dehşete düşürdü. Ajansın bunun bir daha asla olmayacağından emin olması önemlidir.
HWL’nin tedbiri, etkilenen bireylerin kendilerini kontrol etmelerini engelledi
HWL Ebsworth, Haziran ayında NSW Yüksek Mahkemesine, sızdırılan verilere “daha fazla erişimin veya bu verilerin yayılmasının” engellenmesi için tedbir kararı alınması amacıyla başarıyla başvurdu.
HWL Ebsworth sözcüsü, “Yaklaşımımız, sızdırılan verilerin kötüye kullanılma olasılığını kısıtlarken, etkilenen bireylerin bu olaydan etkilenen hassas verileri konusunda bilgilendirilmesini sağlamaya devam ediyor” dedi. iTnews.
Veriler üç hafta boyunca yalnızca fidye yazılımı çetesi ALPHV/BlackCat’in blogunda kaldı.
HWL Ebsworth sözcüsü, tedbirin “son derece başarılı olduğunun kanıtlandığını” söyledi.
“Tedbir kararı olmasaydı, karanlık ağa erişimi olan hiç kimse, sızdırılan verilerin yayınlanmış kısmına, erişilebilir olduğu kısa süre boyunca erişim konusunda herhangi bir yasal kısıtlamaya sahip olmayacaktı.”
Ray, tedbir kararının dezavantajının, etkilenen kişilerin hangi belgelerin sızdırıldığını kendilerinin kontrol etmesini yasa dışı hale getirmesi olduğunu söyledi.
Senatör Paterson ayrıca, ihtiyati tedbirin bireylerin verileri kendilerinin incelemesini engellemesinin “talihsiz” olduğunu söyledi.
“Böyle bir tedbirin istenmesi son derece alışılmışın dışındadır. Kurbanların verilerinin çalınması konusunda karanlıkta kalmasına yol açması çok talihsiz bir durum.
“Federal hükümet, HWL Ebsworth’ün bunu yapmasını destekleyip desteklemediğini ve nedenini açıklamalıdır.”
*Gerçek isimleri değil.