Veri İhlali Bildirimi, Veri Güvenliği, Sağlık Hizmetleri
Düzenleyiciler Sigortacının Etkilenen 462.000 Üyeye Bildirimde Gecikip Gecikmediğini Öğrenmek İstiyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
23 Ekim 2025
Montana eyaleti düzenleyicileri, sağlık sigortası şirketinin üçüncü taraf hizmet sağlayıcılarından birinin dahil olduğu ve 462.000 Blue Cross Blue Shield of Montana üyesini etkileyen bir veri ihlalini araştırıyor ve ihlal mağdurlarına bildirimde bulunulmadan yaklaşık 10 ayın neden geçtiğini bilmek istiyorlar.
Ayrıca bakınız: Dijital Risk Korumasını Benimsetmek: Tehdit İstihbaratınızı Bir Sonraki Seviyeye Taşıyın
Sigorta şirketinin tedarikçisi Conduent’in Ocak 2025’te tespit edilen olay hakkında federal düzenleyicilere bildirimde bulunması yaklaşık dört ay sürdü. Şirket, ihlalin “önemli sayıda” insanı etkilediğini söyledi.
Blue Cross Blue Shield of Montana, Bilgi Güvenliği Medya Grubu’na yaptığı açıklamada, Conduent’in sağlık sigortası şirketine bazı üye verilerinin etkilendiğini bildirdiğini ancak bunun Conduent tarafından ne zaman bildirildiğini açıklamadığını söyledi.
Blue Cross Blue Shield Montana yaptığı açıklamada, sistemlerinin bu olaydan etkilenmediğini ancak “Conduent ile olan ilişkimiz nedeniyle BCBSMT üyelerinin Conduent olayından etkilendiğini. Conduent’in etkilenen üyelere mektup göndereceğini” söyledi.
2017 yılında Xerox’tan elden çıkarılarak kurulan halka açık bir şirket olan Florham Park, New Jersey merkezli Conduent Inc., Blue Cross Blue Shield of Montana’ya posta odası, ödeme ve diğer arka ofis destek hizmetleri sağlıyor.
“Bir BCBSMT üyesinin verileri bu olaydan etkilendiyse bu, BCBSMT’nin Conduent ile olan ilişkisinden kaynaklanmaktadır. Üyelerimizi desteklemeye ve bu olay boyunca onlarla birlikte çalışmaya kararlıyız.”
Sağlık sigortası, ISMG’nin veri ihlaliyle ilgili ek ayrıntılara ilişkin talebine hemen yanıt vermedi.
Devlet Soruşturması
Bir Montana eyaleti sözcüsü ISMG’ye, eyalet denetçisinin ofisinin kısmen Montana Blue Cross Blue Shield’ın olayı eyalete bildirmeyi ve etkilenen üyeleri bilgilendirmeyi geciktirip geciktirmediğini belirlemek için ihlali araştırdığını söyledi. BCBSMT’nin ihlali 8 Ekim’de Montana yetkililerine bildirdiğini söyledi.
Montana eyaleti yasası uyarınca, kuruluşların büyük veri ihlallerini “makul bir gecikme olmaksızın” devlete bildirmeleri gerektiğini söyledi.
Eyaletin sigorta komiserliği, bir şirketin veri ihlali raporlama gerekliliklerini ihlal ettiğini tespit ederse, eyalet düzenleyicilerinin ihlal başına 25.000 dolara kadar para cezası uygulama yetkisine sahip olduğunu söyledi.
Conduent, veri güvenliği olayını Nisan ayında ABD Menkul Kıymetler ve Borsa Komisyonu’na bildirdi; Okahoma gibi çeşitli eyaletlerdeki kurumlar da dahil olmak üzere diğer müşterilerinden bazıları, Conduent kesintisi nedeniyle bazı hizmetlerinin kesintiye uğradığına dair kendi kamu bildirimlerini yayınladıktan aylar sonra.
Conduent, Nisan ayındaki SEC dosyasında, 13 Ocak’ta operasyonel bir kesinti yaşandığını ve bir “tehdit aktörünün” şirket ortamının sınırlı bir kısmına yetkisiz erişim elde ettiğini öğrendiğini söyledi.
Şirket, siber güvenlik müdahale planını etkinleştirdiğini ve harici siber güvenlik uzmanlarının yardımıyla etkilenen sistemleri geri yüklediğini ve günler, “bazı durumlarda saatler” içinde normal operasyonlara döndüğünü söyledi. Şirket, kesintinin Conduent’in operasyonları üzerinde önemli bir etkisi olmadığını söyledi.
Conduent’in soruşturması, tehdit aktörünün şirketin “sınırlı sayıda” müşterisiyle ilişkili bir dizi dosyayı sızdırdığını ortaya çıkardı.
“Dosyaların karmaşıklığı nedeniyle şirket, sızdırılan verileri değerlendirmek için siber güvenlik veri madenciliği uzmanlarını görevlendirdi ve yakın zamanda bu verilerin niteliği, kapsamı ve geçerliliği konusunda bilgilendirildi; veri setlerinin, müşterilerimizin son kullanıcılarıyla ilişkili önemli sayıda bireyin kişisel bilgilerini içerdiği doğrulandı.”
Conduent, ISMG’nin etkilenen müşteri ve kişi sayısı ve saldırının arkasındaki siber suçluların kimliği de dahil olmak üzere olayla ilgili ek ayrıntılara ilişkin talebine hemen yanıt vermedi.
Conduent, SEC’e Nisan ayında sunduğu dosyada, “Şirketin bilgisi dahilinde, sızdırılan veriler karanlık ağda veya başka bir şekilde kamuya açıklanmadı.” dedi.
Conduent, 22 ülkede işletmelere ve hükümetlere geniş bir hizmet yelpazesi sunuyor ve 2024’te gelirinin 3,4 milyar dolar olduğunu bildirdi; bu, bir önceki yıla göre %9,8 düşüş anlamına geliyor. Şirketin 30 Haziran’da sona eren çeyreğe ilişkin kazanç raporu, siber olaya doğrudan müdahale maliyetlerinin yaklaşık 25 milyon dolara ulaştığını gösteriyor.
Conduent, “Şirket, faaliyet ortamı üzerinde maddi bir etki veya olayın kendisinden kaynaklanan bir maliyet yaşamamış olsa da, şirket ilk çeyrekte olası bildirim gereksinimlerine dayalı olarak olayla ilgili tekrarlanmayan maddi harcamalar tahakkuk etti ve tahakkuk etti” dedi. “Şirketin bir siber sigorta poliçesi var ve ayrıca olayla ilgili federal kolluk kuvvetlerine bilgi verdi.”
Conduent ayrıca yakın zamanda veri ihlalini 8 Ekim’de Kaliforniya başsavcılığı da dahil olmak üzere çeşitli eyalet düzenleyicilerine bildirdi.
Montana eyaleti sözcüsü ISMG’ye, eyalet yetkililerinin Conduent olayından başka Montana şirketlerinin etkilenip etkilenmediğini şu anda bilmediklerini söyledi, “ancak Conduent ihlalinin kapsamlı olduğunun farkındayız.”