Veri ihlali bildirimi, veri güvenliği, sahtekarlık yönetimi ve siber suç
Tehdit aktörleri erişti, yaklaşık 2 ay boyunca verileri çaldı; Bianlian Kredi Talepleri
Marianne Kolbasuk McGee (Healthinfosec) •
22 Ağustos 2025
Kırsal Michigan’daki bir sağlık sistemi, yaklaşık 140.000 kişiye, Kasım 2024 ve Ocak 2025 arasında meydana gelen bir veri hırsızlığı olayında bilgilerinin potansiyel olarak tehlikeye atıldığını bildiriyor. Siber suçlu çete Bianlian listeleri, karanlık web sitesinde kurban olarak kırsal sağlık sistemini arzuluyor.
Ayrıca bakınız: Ondemand | Bankacılıkta içeriden gelen tehdidi ele almanın sınırlamalarının üstesinden gelmek: Gerçek güvenlik zorlukları için gerçek çözümler
Perşembe günü Maine Başsavcısı Marlette, Mich. merkezli Aspire’ye gönderilen bir ihlal raporunda, dış sistem hackleme olayının 138.386 kişiyi etkilediğini söyledi.
Web sitesindeki Aspire, kendisini “Huron County, Sanilac County, Tuscola İlçesi ve Lapeer County’deki 70’den fazla sağlayıcının bir aile, kaliteli kırsal sağlık hizmetlerine erişilebilirliği genişletmek için birlikte çalışarak” olarak tanımlıyor.
Web sitesinde yayınlanan bir ihlal bildirimi, Aspire’nin “yetkisiz bir tarafın” Aspire’nin 4 Kasım 2024 tarihinde 6 Ocak’ta iç ağına eriştiğini öğrendiğini söyledi.
“Yetkisiz faaliyeti tespit ettikten sonra Aspire, olayı hemen içermek için çalıştı ve kapsamlı bir soruşturma başlattı.” Dedi.
Aspire, BT ortamını güvence altına almak ve kişisel bilgilerin etkilendiğinin kapsamını belirlemek için siber güvenlik profesyonellerinin dışına girdiğini söyledi.
“Kapsamlı bir adli soruşturma ve manuel belge inceleme alıştırması” ndan sonra, 18 Temmuz civarında belirlenen Aspire, tehdit aktörleri tarafından erişilen veya edinilen bazı dosyaların ve klasörlerin kişisel olarak tanımlanabilir bilgiler ve korunan sağlık bilgileri içerdiğini belirledi.
Bu bilgiler, isimler, doğum tarihleri, sosyal güvenlik numaraları, finansal hesap numaraları ve yönlendirme numaraları, tıbbi tedavi ve teşhis bilgileri, reçete bilgileri, bireysel sağlık sigortası bilgileri, ödeme kartı numaraları ve erişim pimi numaraları, ödeme kartı son kullanma tarihleri, laboratuvar sonuçları ve sağlayıcı bilgilerini içermektedir.
Ayrıca ehliyet numaraları, şifre ve kullanıcı adları, biyometrik tanımlayıcılar, hasta tanımlama numaraları, tıbbi kayıt numaraları ve pasaport numaraları da etkilenir. Aspire, etkilenen bilgilerin bireylere göre değiştiğini söyledi.
“Bugüne kadar Aspire’nin bu olayla doğrudan ilgili finansal sahtekarlık veya kimlik hırsızlığı kanıtı yoktur.” Dedi.
Fidye yazılımı grubu Bianlian listeleri, yaklaşık 553 kurbanından biri olarak karanlık web sitesinde istekliyor. Çete, Aspire Data Trove’nin finansal, insan kaynakları, hasta PHI ve kişisel olarak tanımlanabilir bilgileri, “ortakların, satıcıların ve sağlayıcıların özel verilerini”, dahili ve harici yazışmalar dahil posta kutularını ve çeşitli veritabanlarını içerdiğini iddia ediyor.
Aspire, bilgi güvenliği medya grubunun yorum talebine ve hack hakkında ek ayrıntılara hemen yanıt vermedi.
Cuma günü, Aspire olayı henüz 500 veya daha fazla kişiyi etkileyen sağlık veri ihlallerini listeleyen ABD Sağlık ve İnsan Hizmetleri Departmanı’nın HIPAA Breach Raporlama Aracı web sitesinde henüz yayınlanmadı.
Kırsal Siber Zorluklar
Bazı uzmanlar, Aspire gibi kırsal sağlık hizmeti sağlayıcılarının genellikle güvenlik olaylarına önleme, tespit ve yanıtı engelleyebilen çok sayıda siber güvenlik engeliyle karşı karşıya olduğunu söyledi.
Gizlilik ve güvenlik danışmanlığı firması Clearwater’da danışmanlık müdürü Jackie Mattingly, “Zaten sınırlı bütçeler ve yalın personel ile siber güvenlik genellikle diğer acil klinik ve operasyonel önceliklerle rekabet etmek zorunda kalıyor.” Dedi.
Kentucky’deki kırsal bir sağlık sisteminin eski uzun süreli CISO’su Mattingly, “Birçok kırsal kuruluş, güvence altına alınması daha zor ve modern güvenlik araçlarıyla daha az uyumlu olabilecek eski sistemlere ve altyapıya güveniyor.” Dedi.
“Özel siber güvenlik profesyonelleri sıkıntısı, zorluğa katkıda bulunuyor, bu da çok sayıda şapka takıyor ve ışıkları tutmaktan hassas hasta verilerini korumaya çalışmaya kadar her şeyden sorumlu ekipler bırakıyor.” Dedi.
Bir başka kritik boşluk, genellikle bir güvenlik operasyon merkezi veya yönetilen bir algılama ve müdahale hizmeti aracılığıyla 7/24 izlemenin olmamasıdır. “Kıvık günlüğünde görünürlük olmadan, saldırganların fark edilmemiş ağlardan geçme fırsatı var.” Dedi.
Kırsal sağlayıcılar genellikle satıcı güvenlik uygulamaları zayıf olduğunda ek riskler getiren elektronik sağlık kayıtları, faturalandırma ve diğer temel işlevler için üçüncü taraf satıcılara büyük ölçüde bağlıdır.
Mattingly, “Birlikte, bu gerçekler zaten pek çok ailenin bakımının omurgası olan kırsal topluluk hastanelerini, daha olgun kaynak ve savunmaya sahip daha büyük, kentsel muadillere kıyasla gerçek bir dezavantajla terk ediyor.” Dedi. “Bu, onları siber suçlular için bu kadar savunmasız ve çekici bir hedef yapan şey ve bu topluluklarda daha güçlü korumaları savunmanın neden bu kadar önemli.”
Matingly, Aspire’nin BT sistemlerine yetkisiz erişimin en az iki aydır devam ettiğini tespit etmenin belirgin bir gecikmine gelince, maalesef bu tür gecikmelerin çok olağandışı olmadığını söyledi.
“IBM’in en son sağlık analizine göre, sağlık sektöründeki ihlaller, küresel olarak 194 güne kıyasla ortalama 213 gün sürüyor” dedi.
“Aspire’nin davası zorluğun altını çiziyor: Saldırganlar Kasım 2024’ten Ocak 2025’e kadar erişimi sürdürdü ve sınırlı kaynakların zamanında tespit ve yanıtı nasıl engelleyebileceğini ortaya koydu – özellikle kırsal alanlardaki sağlık kuruluşları için.”