Önde gelen kar amacı gütmeyen sağlık hizmeti sağlayıcısı MedStar Health, ABD’nin Baltimore-Washington bölgesinde işlettiği yüzlerce bakım noktasında 183.000’den fazla hastayı etkileyen bir veri ihlalini açıkladı
Kâr amacı gütmeyen sağlık hizmeti sağlayıcısı 7,7 milyar dolar değerinde ve 10 hastane ve 33 acil bakım kliniği, ayaktan bakım merkezleri ve birinci basamak ve özel bakım sağlayıcıları dahil olmak üzere 300 bakım noktasında çalışan 34.000’den fazla çalışanı ile bölgedeki en büyük işverenlerden biri. . Birlikte her yıl yüzbinlerce hastayı tedavi ediyorlar.
MedStar Health, veri ihlaliyle ilgili yaptığı açıklamada, dışarıdan birinin üç çalışanın e-postalarına ve dosyalarına erişim sağlaması durumunda etkilenen bireylerin kişisel verilerinin tehlikeye girmiş olabileceğini söyledi.
MedStar Health, etkilenen 183.709 hastaya mektup yoluyla bildirimde bulunduğunu bildirdi ve Sağlık ve İnsani Hizmetler Bakanlığı’na bir bildirimde bulundu.
Yetkisiz erişim, geçen yılın Ocak ve Ekim ayları arasında ara sıra gerçekleşti; ihlal edilen dosyalarda ve e-postalarda hasta bilgileri bulundu. Hasta verilerinin fiili olarak elde edildiğine veya görüntülendiğine dair bir gösterge olmamasına rağmen şirket bu tür bir erişimi göz ardı edemedi.
MedStar Health, ele geçirilen e-postalarda ve dosyalarda isimler, adresler, doğum tarihleri, hizmet tarihleri, sağlayıcı adları ve sigorta ayrıntıları dahil olmak üzere hasta bilgilerinin bulunduğunu söyledi.
Sağlık hizmeti sağlayıcısı, etkilenen hastalara olağandışı faaliyetlere karşı sağlık beyanlarını takip etme çağrısında bulundu ve gelecekteki ihlalleri önlemek için yeni önlemlerin uygulanmasına güvence verdi.
Daha Önceki MedStar Sağlık Verileri İhlali
Sağlık hizmeti sağlayıcılarının dijital sorunları yeni değil. Aslına bakılırsa bu, MedStar Health’in on yıl içinde ikinci kez büyük bir veri ihlali korkusuyla karşı karşıya kalmasıdır.
2016 yılında, muhtemelen bir fidye yazılımı olan kötü amaçlı yazılım, MedStar Health’in bilgisayar ağına bulaştı. Bu, sağlık devi için hizmetlerin tamamen kapatılmasına neden oldu; bu da yeni hastaların başka hastanelere yönlendirilmesine ve bakıcıların düzenli operasyonlara devam etmek için kalem ve kağıda başvurmak zorunda kalmasına neden oldu.
Etki öyle oldu ki, Kaliforniya ve Kentucky’deki en az üç sağlık kurumuna yapılan benzer siber saldırıların ardından MedStar Health veri ihlalini araştırmak için FBI çağrıldı.
Sağlık İhlalleri Artıyor
Bu olay, ABD genelinde yaygın kesintilere neden olan Change Healthcare dahil olmak üzere giderek büyüyen sağlık hizmeti ihlalleri ve fidye yazılımı saldırıları listesine eklendi. Başlangıçta “kurum çapında bir bağlantı sorunu” olarak tanımlanan saldırının ciddiyeti, Blackcat olarak da bilinen Blackcat ile birlikte bir bar daha arttı. Alphv – fidye yazılımı çetesi bunun sorumluluğunu üstlendi.
Rusya merkezli fidye yazılımı ve gasp çetesi, milyonlarca Amerikalının hassas sağlık ve hasta bilgilerini çaldığını iddia etti; bu, fidye yazılımı çetelerinin kurbanlar üzerinde baskı kurmak için yaygın olarak kullandığı bir taktikti. Ancak 29 Şubat’ta Blackcat, sağlık grubunun ihlal edilen verilerine ilişkin iddiasını geri çekerek fidye ödenip ödenmediği konusunda soru işaretleri yarattı.
Şirket daha sonra 22 milyon dolarlık fidye ödendiğini doğruladı ancak şimdi müşterilerin kişisel bilgilerinin korunmasında ihmal iddiası nedeniyle çok sayıda davayla karşı karşıya bulunuyor. Ana şirket UnitedHealth, Change Healthcare veri ihlalinin etkileriyle mücadele etmek için 2 milyar dolardan fazla para ayırdı.
Şirket geçen hafta ayrıca çok faktörlü kimlik doğrulamanın (MFA) eksikliğinin büyük bir saldırıyla sonuçlandığını belirtti.
Blackcat, Eylül 2023’te McLaren Healthcare’de de benzer bir veri ihlali yaşandığını ve yaklaşık 6 terabayt değerinde verinin çekildiğini iddia etmişti. Bu kadar büyük ölçekli sağlık hizmeti veri ihlalleri nedeniyle, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı Mart ayında sağlık sektörüne yönelik, gelişen tehditlere karşı savunmalarını güçlendiren gelişmiş araçları uygulamalarına yardımcı olacak bir siber güvenlik araç setini açıkladı.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.