Veri güvenliği
Ortopedik Grup, Tıbbi Görüntüleme Merkezleri, Evde Sağlık Sağlayıcı Raporu İhlalleri
Marianne Kolbasuk McGee (Healthinfosec) •
2 Eylül 2025
Özel sağlık hizmeti sağlayıcıları, düzensiz bir kalp atışı veya hırıltılı bir akciğer söz konusu olduğunda ne hakkında olduklarını bilirler. Siber güvenlik, çok fazla değil – özel tıp varlıklarındaki saldırıların, yüz binlerce veya hatta milyonlarca hasta kaydı tehlikeye atılmasına rağmen, on binlerce bile kolayca sonuçlanmasına rağmen.
Ayrıca bakınız: Web Semineri İsteğe Bağlı: Yeni Nesil Erişim Modellemesi: En az ayrıcalık ve sıfır güven için AI odaklı roller
Muhtemelen tek başına gastroenteroloji uygulaması, hastaların bağırsaklarını teşhis etmede zayıf noktalar için kendi BT altyapısını araştırmaktan çok daha iyidir. Sebepler arasında düşük siber güvenlik bütçeleri – cehalet veya bütçe kısıtlamalarından – ve belki de bunun başına gelemeyeceğine dair bir inanç yer alıyor.
Yakın zamanda bildirilen üç, ayrı özel tıbbi bakım sağlayıcıları içeren ihlaller, çok sayıda hastayı ve bazen de bu tür hack’lerde kişisel ve sağlık bilgileri tehlikeye atılan çalışanların altını çizmektedir.
New York Ortopedik Cerrahi Grubu, Florida Tıbbi Görüntüleme Merkezleri Operatörü ve Iowa Ev Sağlık Sağlayıcısı’nı içeren olaylar toplam yaklaşık 900.000 kişiyi etkiledi. Ayrıca, son haftalar, aylar ve yıllar boyunca benzer olaylarla da vurulan diğer tıbbi uzmanlıkların uzun ve büyüyen bir listesi arasında yer alıyorlar.
Sağlık Bilgi Paylaşımı ve Analiz Merkezi Baş Güvenlik Sorumlusu Errol Weiss, “Bu kuruluşlar gibi uzman tıbbi sağlayıcılar genellikle son derece hassas kişisel ve sağlıkla ilgili verilere sahiptir ve siber suçlu siyah pazarlarda inanılmaz derecede değerlidir.” Dedi.
Siber suçlular, özel tıbbi sağlayıcılardan çalınan verileri finansal sahtekarlığı sürdürmek için çeşitli şekillerde kullanıyor. “Bu, uzmanlık sağlayıcılarını fidye yazılımı ve veri hırsızlığı kampanyaları için kazançlı bir hedef haline getiriyor. Bu sağlayıcıların görüntüleme sonuçları, ortopedik kayıtlar veya ev bakım planları gibi verileri başka bir risk katmanı ekliyor.” Dedi.
Bu veriler kimlik hırsızlığı için değerlidir, ancak saldırganların bir fidye ödenmedikçe hassas tıbbi bilgileri serbest bırakmakla tehdit ettiği durumlarda görüldüğü gibi, gasp için de kullanılabilir.
Cuma günü, Amherst, NY merkezli Excelsior Ortopedics, LLC, 2024 hack’in yaklaşık 395.000 eski ve mevcut hasta ve çalışanı etkilediğini açıklayan güncellenmiş bir ihlal raporu sundu.
Excelsior, olayı ilk olarak Ağustos 2024’te federal düzenleyicilere yaklaşık 293.000 kişiyi etkilediğini bildirdi, ancak ortopedik bakım sağlayıcısı etkilenen verileri analiz etmeye devam ettiği için son aylarda yaklaşık 100.000 kişi yükseldi. Ağustos 2024’te fidye yazılımı çete Monti, Excelsior’u Darkweb sitesinde kurban olarak listeledi.
Hack’ten etkilenenler, Buffalo Cerrahi Merkezi ve Northtowns Ortopedi de dahil olmak üzere Excelsior’ın mevcut ve eski hastalarını ve çalışanlarını ve ilgili varlıklarını içerir.
Bölgede sekiz tıbbi görüntüleme ve test tesisi işleten Florida merkezli hayati görüntüleme tıbbi teşhis merkezi Miami, son zamanlarda yüz binlerce hastayı etkileyen bir hack olayı bildirdi.
21 Ağustos’ta ABD Sağlık ve İnsan Hizmetleri Bakanlığı’na 13 Şubat’ta ilk tespit edilen bir hack olayın 260.000 kişiyi etkilediğini bildirdi.
“Soruşturmada bu aşamada, hangi belirli bilgilerin dahil olduğunu söylemek için çok erken. Ancak, olaydan etkilenen bilgilerin tıbbi bilgiler, sigorta bilgileri ve demografik bilgileri – örneğin iletişim bilgileri, doğum tarihi, doğum tarihi içerebileceğine inanıyoruz.” Dedi.
Cuma günü Iowa Üniversitesi Sağlık Hizmetleri, Iowa, Western Illinois ve kuzey Missouri’deki hastalara tam hizmet ev infüzyonu ve tıbbi ekipman hizmetleri sunan bir bağlı kuruluş – Iowa Üniversitesi Topluluk Homecare’i içeren bir hack olayı 211.000 kişiyi bilgilendirmeye başladı.
Cuma günü web sitesinde yayınlanan bir ihlal bildiriminde, uygulama 211.000 kişiyi etkileyen olayın Iowa Üniversitesi Topluluk Homecare’i bir bağlı kuruluş olan dahil ettiğini söyledi.
UI Health Care, “Kullanıcı arayüzü topluluğu ve UI sağlık hizmetlerinin ayrı işletim sistemleri, elektronik sağlık kayıt sistemleri ve bilgi teknolojisi hizmetlerine sahip olsa da, ilişkileri tarihsel olarak bazı hastaları, çalışanları ve veri dosyalarını paylaşmayı içeriyordu.” Dedi.
Potansiyel olarak tehlikeye atılan veriler, isim, doğum tarihi, adres, telefon numarası, tıbbi sağlayıcı, hizmet tarihleri, sağlık sigortası bilgileri, sosyal güvenlik numarası ve ziyaret türünü içerir.
Excelsior, hayati görüntüleme ve UI sağlık hizmetleri tarafından bildirilen ayrı olaylar, diğer birçok özel sağlık hizmeti sağlayıcısını da içeren en son büyük hack ihlalleri grubu arasındadır (bkz: bkz: Tıbbi Uzmanlık Grupları: Siber suçlular neden onların peşindedir?).
Veri hırsızlığı ve fidye yazılımı saldırıları da dahil olmak üzere benzer olaylar yaşayan diğer özel tıbbi sağlayıcılar, kanser bakım merkezlerinden, uyku kliniklerinden, plastik cerrahi uygulamalarından ve genellikle özellikle hassas hasta kayıtlarını yöneten diğer varlıklardan koşmaktadır.
Bu medial uygulamaların çoğunda genellikle derin, hatta temel siber tezgah gücünden yoksundur.
Weiss, “Birçok uzmanlık sağlayıcısı ciddi kısıtlı bütçeler ve sınırlı siber güvenlik uzmanlığı altında faaliyet göstermektedir. Daha küçük uygulamalar genellikle yeterli siber güvenlik önlemleri uygulamak için gereken kaynaklardan yoksundur ve bunları fırsatçı saldırılara maruz bırakır.” Dedi.
Saldırılmamış yazılım, yanlış yapılandırılmamış sistemler ve desteklenmeyen işletim sistemlerini çalıştıran eski tıbbi cihazlar savunmasız ortamlar oluşturur. “Siber suçlular, bu örgütlerin müdahaleleri etkili bir şekilde tespit etme veya yanıtlama kapasitesine sahip olmayabileceğini bilerek bu boşlukları kullanıyor” dedi.
Bahisler sadece kuruluşların kendileri için değil, hizmetlerine bağımlı hastalar için yüksektir. Weiss, uzmanlık sağlayıcılarının hasta bakımını tehlikeye atmadan uzun süreli kesinti süresini karşılayamayacağını söyledi. Diyerek şöyle devam etti: “Bu aciliyet genellikle operasyonları geri yüklemek için fidye ödemeye zorlar ve bu da onları fidye yazılımı grupları için ana hedefler haline getirir.”