2019’da Kanadalı bir tıbbi test şirketi olan LifeLabs’a bir fidye yazılımı saldırısı gerçekleşti. Fidye yazılımı 15 milyon Kanadalının laboratuvar sonuçlarını şifreledi ve 8,6 milyon kişinin kişisel bilgileri (PII) çalındı.
LifeLabs, saldırıyı fark ettikten sonra müşterilerini ve Kanada gizlilik düzenleyicilerini bilgilendirdi ve onlar da derhal bir soruşturma başlatılacağını duyurdu.
Hem British Columbia hem de Ontario’nun gizlilik komisyon üyeleri olayla ilgili bir raporu 2020’de yazmayı tamamladı ancak LifeLabs bunu dört yıl boyunca mahkemede tutmayı başardı. Artık rapor kamuya açık ve bazı bulgular hem şok edici hem de şaşırtıcı değil.
Rapora göre LifeLabs’ın ihlalden önce bazı eksiklikleri vardı:
- LifeLabs, kendi gözetimi ve kontrolü altındaki kişisel bilgileri ve kişisel sağlık bilgilerini hırsızlık, kayıp ve yetkisiz erişime, toplamaya, kullanmaya, ifşa etmeye, kopyalamaya, değiştirmeye veya imha etmeye karşı korumak için makul adımları atamadı.
- LifeLabs, PIPA ve PHIPA ile uyumlu politika ve bilgi uygulamalarını oluşturmada ve bunlara uymada başarısız oldu
- LifeLabs, toplanma amacını karşılamak için makul olarak gerekli olandan daha fazla kişisel bilgi ve kişisel sağlık bilgisi topladı.
Ayrıca soruşturma, LifeLabs’ın etkilenen kişileri ilk makul fırsatta bilgilendirme yükümlülüğüne uymadığını ortaya çıkardı. Bunun nedeni, resmi bir erişim talebinde bulunmalarını gerektirmeden, insanları hangi kişisel sağlık bilgilerinin ele geçirildiğinin ayrıntıları hakkında bilgilendirecek bir süreç uygulamamasıydı.
Ontario Bilgi ve Gizlilikten Sorumlu Komisyon Üyesi Patricia Kosseim şunları söyledi:
“Kişisel sağlık bilgileri özellikle hassastır ve gizlilik ihlalleri bireyler için yıkıcı etkiler yaratabilir.”
Düzenleyici, LifeLabs’ın dört yıllık direnişinin ardından raporun kamuoyuna açıklanmasının önemli olduğunu söyledi. Şirketlerin verilerimizi, özellikle de tıbbi verileri nasıl koruduğunu bilmenin önemli olduğu konusunda hemfikiriz. Ancak aynı zamanda sağlık sektöründeki birçok kuruluşun bu işi halledecek personele sahip olmadığını ve bu personeli işe alacak finansmana sahip olmadığını da biliyoruz. Yakalama 22.
O dönemde LifeLabs açık bir mektupta, olayı araştırması için görevlendirdiği siber güvenlik firmasının kendisine bu siber saldırıyla bağlantılı olarak müşterilerine yönelik riskin düşük olduğunu bildirdiğini yazmıştı. LifeLabs, karanlık web ve diğer çevrimiçi konumların izlenmesi de dahil olmak üzere, araştırmalarının bir parçası olarak müşteri verilerinin kamuya açıklandığını görmediğini söyledi.
Malwarebytes bu iddianın hâlâ geçerli olup olmadığını kontrol etti ve gerçekten de söz konusu ihlalden kaynaklanan herhangi bir LifeLabs müşteri verisi bulamadı.
Nedeni büyük bir sır değil. Bildirildiğine göre LifeLabs fidye yazılımı grubuna ödeme yaptı, bu nedenle saldırının arkasında hangi grubun olduğu hala bilinmiyor. Ödenen fidyenin kesin miktarı şirket tarafından açıklanmadı.
Ancak fidye yazılımı grupları yalnızca bir suçlu çetesi olduğundan, verileri bir noktada yayınlamayacaklarına dair sözlerine güvenmek zor olabilir. Biz buna dikkat edeceğiz.
Yalnızca tehditleri rapor etmiyoruz; dijital kimliğinizin tamamının korunmasına yardımcı oluyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Kimlik korumasını kullanarak sizin ve ailenizin kişisel bilgilerini koruyun.