İngiliz veri ve gizlilik düzenleyicisi, ülke çapında sağlık hizmetlerini felç eden 2022 fidye yazılımı olayı nedeniyle Advance Software’e milyonlarca dolar para cezası vermeyi planlıyor.
İngiltere Bilgi Komiserliği Ofisi (ICO) 6,09 milyon sterlinlik bir teklifte bulundu [approximately US$ 7.74 million] On binlerce kişinin hassas tıbbi bilgileri de dahil olmak üzere kişisel verilerini korumada başarısız olduğu gerekçesiyle Advanced Computer Software Group Ltd. şirketine para cezası verildi.
“Hassas kişisel bilgilerin kontrolünü kaybetmek, sağlık ve bakım kuruluşlarına güvenmekten başka seçeneği olmayan insanlar için üzücü olmuştur,” dedi İngiltere Bilgi Komiseri John Edwards. “Kurumsal sistemlerine önlemler yüklemesine rağmen, geçici bulgumuz Advanced’in sağlık sistemlerini güvenli tutmada başarısız olduğudur.”
ICO, Para Cezasının Neden İleri Yazılımlara Yönelik Olduğu Konusunda Açıklama Yaptı
Ulusal Sağlık Hizmeti (NHS) de dahil olmak üzere çok sayıda kuruluşa hizmet veren önde gelen bir BT ve yazılım hizmetleri sağlayıcısı olan Advanced, müşterileri adına kişisel bilgileri işleyen bir veri işlemcisi olarak hareket etti. Önerilen para cezası, Ağustos 2022’de 82.946 kişinin kişisel verilerini tehlikeye atan bir LockBit 3.0 fidye yazılımı saldırısından kaynaklanmaktadır.
Bilgisayar korsanları, Advanced’ın sağlık ve bakım sistemlerine sızmak için çok faktörlü kimlik doğrulaması olmayan bir müşteri hesabını kullandı. Şirketin bakıcı vardiyalarını planlamak için kullanılan Staffplan Citrix sunucusundaki uzak masaüstü oturumuna erişmek için meşru üçüncü taraf kimlik bilgilerini kullanarak erişim sağladılar.
Saldırganlar daha sonra Advanced’in altyapısına daha da derinlemesine girerek ayrıcalıklarını artırdılar. Sonuç olarak, şirketin Staffplan ve Caresys hasta bakıcısı yönetim çözümlerini kullanan 16 NHS güven müşterisinin kişisel verileri çalındı. Ancak Advanced’e göre, NHS güvenleri tarafından kontrol edilen hasta verileri tehlikeye atılmadı.
Sonuç olarak, evde bakım alan 890 kişinin telefon numaraları, tıbbi kayıtları ve ev adresleri gibi hassas veriler de sızdırıldı. Karanlık ağda hiçbir veri görünmese de, olay NHS 111 gibi kritik sağlık hizmetlerini ciddi şekilde aksattı ve hasta kayıtlarına erişimi engelledi.
ICO’nun kararı geçicidir ve nihai ceza tutarı Advanced’in cevabının değerlendirilmesinin ardından değişebilir. Veri koruma yasası ihlali konusunda bir sonuca varılmamıştır.
Bilgi Komiseri John Edwards, hassas kişisel verilerin kaybının sağlık hizmeti sağlayıcılarına güvenen bireylerde önemli sıkıntılara yol açtığını belirterek bilgi güvenliğinin kritikliğini vurguladı. Siber saldırı yalnızca kişisel bilgileri tehlikeye atmakla kalmadı, aynı zamanda zaten gergin olan sağlık sektöründeki baskıları da daha da artırdı.
Edwards, Advanced’in bilgi güvenliği uygulamalarını eleştirerek, şirketin kurumsal sistemler için uygulanan önlemlere rağmen sağlık sistemlerini yeterince korumadaki başarısızlığına dikkat çekti. ICO, özellikle hassas sağlık verilerini işleyen tüm kuruluşları, düzenli güvenlik açığı değerlendirmeleri, çok faktörlü kimlik doğrulama ve güncel güvenlik yamaları gibi güvenlik önlemlerine öncelik vermeye çağırdı.
Advanced gibi veri işlemcileri, kişisel bilgileri korumak için veri denetleyicileriyle sorumluluğu paylaşır. Veri ihlallerini önlemek için riskleri değerlendirmek ve azaltmak üzere sağlam teknik ve organizasyonel önlemlerin uygulanması esastır.
İngiltere’nin NHS’si Siber Saldırılara Karşı ‘Son Derece Savunmasız’
İngiltere Ulusal Siber Güvenlik Merkezi’nin (NCSC) ilk üst düzey yöneticisi Profesör Ciaran Martin, bilgisayar sistemlerinde önemli güncellemeler yapılmadığı takdirde Ulusal Sağlık Hizmeti’nin (NHS) siber saldırılara karşı “oldukça savunmasız” olduğu konusunda uyardı. Bu, Londra genelinde sağlık hizmetlerinde ciddi aksamalara yol açan üçüncü taraf bir kan testi hizmeti sağlayıcısı olan Synnovis’e yönelik yakın zamanda gerçekleşen büyük bir fidye yazılımı saldırısının hemen ardından geldi.