Genel Veri Koruma Yönetmeliği (GDPR), Standartlar, Yönetmelikler ve Uyumluluk
2019 Fidye Yazılım İhlali 70.000 Hastayı Etkiledi, 2.500 Hastanın Kaydı Yok Oldu
Marianne Kolbasuk McGee (SağlıkBilgisi) •
1 Mart 2023
İrlandalı yetkililer, bir Calum fidye yazılımı saldırısının ardından Genel Veri Koruma Yönetmeliği ihlalleri nedeniyle Dublin merkezli bir sağlık kuruluşuna 460.000 avro – yaklaşık 490.000 dolar – para cezası verdi.
Ayrıca bakınız: Araçlar ve Teknoloji: Yönetişim, Risk ve Uyum Başucu Kitabı
İrlanda Veri Koruma Komisyonu’nun Ocak ayında aldığı karara göre olay, yaklaşık 2.500 kişinin verilerinin kalıcı olarak silinmesi de dahil olmak üzere Centric Health Ltd.’nin 70.000 hastasının hassas bilgilerini tehlikeye attı.
Komisyon raporunda, olayın Ağustos 2016’da satın alınan Centric Health’in bir yan kuruluşu olan Primacare Health Professionals CLG’nin 11 pratisyen muayenehanesi de dahil olmak üzere yedi kliniği etkilediğini belirtiyor.
Rapora göre, yaklaşık 500 çalışanı bulunan Centric, İrlanda genelinde 400.000’den fazla hastaya birinci basamak sağlık hizmeti pratisyen hekiminin yanı sıra dişçilik, uzmanlık ve meslek hizmetleri sağlıyor.
İhlal Ayrıntıları
DPC, Centric’in 3 Aralık 2019’da tespit ettiği bir fidye yazılımı saldırısıyla ilgili olarak 5 Aralık 2019’da Centric’ten bir veri ihlali bildirimi aldığını söylüyor. Olay, hasta verilerinin şifrelenmesini içeriyordu. Bir fidye talebi ödendi ve ihlal, nihayetinde bazı kişisel verilerin yetkisiz erişime ve bazı kişisel verilerin değiştirilmesine ve ayrıca bazı kişisel verilerin kalıcı olarak silinmesine neden oldu.
Olaydan etkilenen hasta verileri isimleri, doğum tarihlerini, Kişisel Kamu Hizmeti Numarasını ve iletişim bilgilerini içeriyordu.
Rapor, etkilenen 70.000 hastadan, ihlal edilen verilerin “özel kategori sağlık verileri olan” klinik verileri içerdiğini söylüyor. “Sistemdeki veriler her gece yedekleniyor ve her gün verilerin bir anlık görüntüsü alınıyordu, ancak bu yedeklemeler de kötü amaçlı yazılımdan etkilendi.”
Rapora göre, veriler kısmen diğer yedeklerden geri yüklendi, ancak bir kısmı geri alınamayacak şekilde silindi. Belirli tarihler arasındaki hasta verilerinin yedekleri bulut depolama yoluyla kullanılamıyordu. Rapor, muayenehane yönetim sistemi veritabanını içeren bir sunucunun “artık mevcut olmadığını” söylüyor.
Verilerin kurtarılmasına yardımcı olmak üzere görevlendirilen adli tıp danışmanları, yaklaşık 2.500 hastanın kişisel verilerinin kalıcı olarak silindiğini belirledi.
İronik bir şekilde, Centric Health’in kontrolü altındaki eski Primacare sistemleri “olay meydana geldiğinde aşamalı olarak kullanımdan kaldırılma sürecindeydi.”
Rapora göre, Centric daha sonra bir şifre çözme anahtarı karşılığında saldırganlara belirsiz bir fidye ödedi. “Centric, anahtarın herhangi bir tehdit oluşturmadığını, ancak … geçici olarak silindiği için şifre çözücünün etkilenen verilere uygulanamayacağını tespit etti.”
DPC, Centric’in ilk ihlal bildiriminde 70.000 veri öznesinin ihlalden etkilendiğini belirtirken, yalnızca olayda verileri geri alınamayacak şekilde kaybolan 2.500 kişiye bildirim gönderdiğini söylüyor.
Etkilenen bireylere yönelik yetersiz ihlal iletişiminin yanı sıra, Centric’e verilen para cezası, Centric sunucusundaki kişisel ve özel kategori verilerine yönelik “risk düzeyine uygun teknik ve organizasyonel önlemlerin uygulanmaması” da dahil olmak üzere çeşitli diğer GDPR ihlallerini de yansıtıyor.
Raporda, “Gerekli önlemlerin uygun zamanda etkin bir şekilde uygulanmaması, hastaların kişisel verilerinin yetkisiz kişilere yanlışlıkla ifşa edilmesi olasılığına yol açtı” deniyor.
Centric, Information Security Media Group’a verdiği bir açıklamada, siber saldırı anında DPC’yi derhal bilgilendirdiğini ve soruşturmada tam işbirliği yaptığını söylüyor.
Centric, “Hastalarımıza, verilerini koruma ve BT sistemlerimizin güvenliğini sağlama sorumluluğumuzu çok ciddiye aldığımız konusunda güvence vermek istiyoruz” diyor. “Gelecekteki olası herhangi bir suç saldırısına karşı önlem almak için elimizden gelen her şeyi yapıyoruz. Siber güvenlik ve veri koruma süreçlerimize ve prosedürlerimize önemli ölçüde yatırım yapmaya devam ediyoruz ve bu alanlarda uluslararası en iyi uygulamalar doğrultusunda faaliyet gösteriyoruz.”
Daha Geniş Dersler
Bazı uzmanlar, Centric’e yönelik yaptırım eyleminin, bir kuruluşun Avrupa’da GDPR, ABD’de HIPAA veya diğer küresel bölgelerde sağlık verileri gizliliği ve güvenlik düzenlemeleri tarafından yönetilip yönetilmediği fark etmeksizin, sağlık sektörü için kritik hususları ortaya koyduğunu söylüyor.
Hukuk firması Reed Smith’in düzenleyici avukatı Brad Rostolsky, Centric’e verilen para cezasının “anahtarı uygun güvenlik ve iyi yönetişim sağlamak olan” birkaç faktöre dayandığını söylüyor.
“Verileri yeterince koruyan veya iyi belgelenmiş yönetişim süreçlerine sahip olan sağlık şirketleri için bunda alınacak bir ders var” diyor. “Kuruluşlar, düzenli veya yıllık bazda risk değerlendirmeleri yapmalı ve hasta verilerini yetkili erişim veya imhadan korumak için mümkün olduğunca çok şey yaptıklarından emin olmalıdır” diyor.
Rostolsky, “Bir fidye yazılımı saldırısının kurbanı olduğunu iddia etmek, sistem güvenliği en başta standartların altındaysa yeterli olmaz” diyor.