Bir ABD laboratuvar test sağlayıcısı olan Laboratuar Services Cooperative (LSC), sağlık sektörüne yönelik artan siber tehditlerin ürpertici bir hatırlatıcısında, 1.6 milyon bireyin kişisel ve tıbbi verilerini tehlikeye atan büyük bir veri ihlalini doğruladı. Dün açıklanan Ekim 2024 Cyberattack, sosyal güvenlik numaralarından laboratuvar sonuçlarına ve sigorta detaylarına kadar oldukça hassas bilgileri ortaya çıkardı. Uzmanlar tarttıkça, bu ihlalin sadece etkilenen bireyler için değil, aynı zamanda ülke çapında sağlık altyapısının bütünlüğü için geniş kapsamlı sonuçları olduğu açıktır.
İhlalin kapsamı
Geri ihlal edilen veriler kapsamlı ve derinden kişiseldir. İhlalin kurbanları tam isimlerinin, sosyal güvenlik numaralarının, ehliyet numaralarının, teşhisler, laboratuvar sonuçları, tedavi planları, faturalandırma bilgileri ve hatta pasaport ayrıntılarının maruz kalmasıyla karşı karşıya. Planlı Ebeveynlik gibi ve 35’ten fazla eyalette faaliyet gösteren LSC hizmet kuruluşları ile olay, yılın en ciddi sağlık ihlallerinden biri hızla etiketlendi.
Uzman Yorum: Çok yönlü bir kriz
Ensar Seker, CISO at SOCRadar, Durumun yerçekimini vurgular:
“1,6 milyon kişiyi etkileyen Laboratuvar Hizmetleri Kooperatifi’ndeki (LSC) veri ihlali, bu yıl gördüğümüz en önemli sağlık sektörü olaylarından biridir. Sadece ölçek açısından değil, duyarlılık ve etki açısından. LSC’nin, Planlanan Ebeveynlik ve 35 eyaletten daha fazlası gibi kuruluşlar gibi kuruluşlar için merkezi bir laboratuar hizmeti sağlayıcısı olarak, bu sadece sağlıksız bir saldırıda değil, ancak bir sağlık yararı değil.”
Devam ediyor:
“Bu ihlali özellikle zarar verici kılan verilerin genişliğidir. Tam spektrum uzlaşmasından bahsediyoruz. Şahsen tanımlanabilir bilgiler (PII), tıbbi teşhisler ve tedaviler, laboratuvar sonuçları, finansal veriler ve hatta pasaportlar ve sosyal güvenlik numaraları gibi devlet tarafından verilen kimlikler.
“Ne yazık ki, sağlık sektörü tehdit aktörleri için ana hedef olmaya devam ediyor, çünkü veriler hem karaborsada son derece değerli hem de değişmesi zor. Bir kredi kartını iptal edebilirsiniz, ancak teşhisinizi, doğum tarihinizi veya laboratuvar geçmişinizi iptal edemezsiniz.”
Tehdit istihbarat perspektifinden bakıldığında, tehdit aktörlerinin sadece finansal kazanç için değil, özellikle üreme sağlığı gibi siyasi olarak hassas alanlarda bozulmaya neden olduklarına dair kanıtlar görüyoruz. Bu, tıbbi kuruluşların ve ortaklarının temel uyumun ötesine geçmesini ve tehditte bilgilendirilmiş, sıfır-tröst modelini benimsemesini daha da acil hale getiriyor. ”
“Bu ihlal, siber güvenliğin, özellikle kişisel ve politik olarak hassas bilgileri ele alan sektörlerde hasta güvenliği olduğunu acı verici bir hatırlatmadır.”
Paul Bischoff, Componitech’te Tüketici Gizlilik Avukatı, Ekonomik ve operasyonel etkiye ışık tutar:
“Bunun gibi sağlık hizmeti sağlayıcılarına yönelik siber saldırılar çok yaygın ve çok maliyetlidir. Genellikle fidye yazılımı saldırılarıdır. Hastaneler ve diğer sağlayıcılar kesinti süresini karşılayamaz, bu da operasyonları hızlı bir şekilde geri yüklemek için bir fidye ödeme olasılığını artırır. Kesinti süresi genellikle bir fidye ödemekten daha maliyetlidir ve fidye çeteleri bunu biliyor.”
“Bir kuruluş fidye ödemeyi reddederse, uzatılmış kesinti, veri kaybı ve veri konularını artan sahtekarlık riskine sokabilirse. 2018’den 2024’e kadar, ABD sağlık kuruluşlarına 654 onaylanmış fidye yazılımı saldırılarını izledik.
Chris Hauk, Pixel Gizlilikinde Tüketici Gizlilik Şampiyonu, Etkilenenler için pratik tavsiyeler sunar:
“Verilerini LSC ihlalinde maruz bırakmış olabilecek müşterilerin kimlik avı denemeleri için uyanık kalması, adları altında açılan yeni hesaplar, fatura tahsildarları olduğunu iddia eden çağrılar ve daha fazlası. Etkilenen taraflar, LSC tarafından sunulan kredi izleme hizmetlerinden yararlanmalıdır.”
Laboratuvar Hizmetleri Kooperatif İhlali, büyüyen sağlık siber saldırıları listesindeki başka bir çizgi değil, aynı zamanda kuşatma altındaki bir endüstri için bir uyandırma çağrısı. 1,6 milyondan fazla hastanın en samimi verileri artık siber suçluların elinde, tıbbi alandaki sağlam, proaktif siber güvenlik stratejileri için aciliyet hiç bu kadar büyük olmamıştı. Uzmanların uyarıldığı gibi, bu ihlal veri kaybının ötesine geçer – kimlik, gizlilik ve hatta temel üreme sağlığı hizmetlerine erişimi tehdit eder. Etkilenenler için uyanıklık önümüzdeki aylarda ve yıllar içinde çok önemli olacaktır.
Reklam
LinkedIn Group Bilgi Güvenlik Topluluğumuza katılın!