Metomic’e göre sağlık kuruluşları, işlerini ve hastalarını en hassas verilerinin ifşa olma riskiyle karşı karşıya bırakmaya devam ediyor.
Sağlık kuruluşlarına ait kamuya açık dosyaların %25’i Kişisel Tanımlayıcı Bilgiler (PII) içermektedir. Kuruluş dışından kişilere erişim sağlayan harici olarak paylaşılan özel dosyaların %68’i PII içerirken, kuruluş içinde paylaşılan özel dosyaların %77’si kişisel tanımlayıcı bilgi içermektedir.
Herkese açık olarak paylaşılan dosyalar genellikle hassas verileri sızdırır
Son derece hassas veriler içeren, herkese açık olarak paylaşılan dosyalar sağlık kuruluşları için en büyük riski oluştururken ve veri güvenliği ve DLP (veri kaybı önleme) araçlarına olan ihtiyacı vurgularken, özel dosyalara ilişkin erişim izinlerinin çoğu asla güncellenmez veya kaldırılmaz. Bu, birden fazla kişinin artık ihtiyaç duymadığı veya alamaması gereken dosyalara erişmeye devam ettiği Google Drive gibi yerlerde “eski verilerin” kalmasına yol açar ve kolayca veri ihlaline yol açabilecek yüksek riskli ortamlar yaratır.
Genellikle hassas veriler, çalışanların denetimi nedeniyle herkese açık olarak paylaşılan dosyalarda açığa çıkar. Örneğin, çalışanların bu ayarda şirket içindeki diğer kişilerle dosya paylaşması ve ardından izinleri iptal etmeyi unutması. Bazı durumlarda, çalışanlara bunu yapmamaları gerektiği söylenmemiş olabilir ve bu da bulut sağlayıcısının herhangi bir güvenlik sorunuyla otomatik olarak ilgileneceğini yanlış bir şekilde varsaymalarına yol açabilir.
Metomic’in bulguları, HIPAA ve GDPR gibi katı veri standartlarına ve yasal politikalara uyması gereken, sıkı şekilde düzenlenen bir sektör olan sağlık sektöründe yaşanan veri ihlallerinin giderek artan eğilimi göz önüne alındığında son derece endişe verici.
HIPAA Journal’a göre, sağlık sektörü 2021’de önceki yıllardan daha fazla veri ihlali yaşadı. Bu yükseliş eğilimi artmaya devam etti. 2023’te sadece rekor sayıda veri ihlali yaşanmadı, aynı zamanda 133 milyondan fazla kaydın ifşa edildiği rekor sayıda “en çok ihlal edilen kayıt” da yaşandı.
Veri ihlalleri sağlık sektörüne milyonlarca dolara mal oluyor
Bu yıl, Change Healthcare’e yönelik fidye yazılımı saldırısı sektörde büyük bir tahribata yol açtı ve hastanelere, eczanelere ve sağlık hizmeti sağlayıcılarına yapılan ödemeleri bir haftadan uzun süre aksattı. UnitedHealth, saldırının yıl sonuna kadar şirkete muhtemelen 1,35 milyar ila 1,6 milyar dolara mal olacağını iddia ediyor.
“Sağlık sektörü, kuruluşlara milyonlarca dolara mal olan ve son derece hassas hasta verilerini ve finansal bilgileri riske atan yaygın veri ihlalleriyle boğuşuyor. Bu bulguları inceledikten sonra, sağlık güvenliği liderlerinin günlük olarak karşılaştıkları çok sayıda veri güvenliği zorluğunun üstesinden gelmek için daha fazla kaynağa, DLP çözümlerine ve veri güvenliği araçlarına ihtiyaç duyduğu açık,” dedi Metomic CEO’su Rich Vibert.
Vibert, “Sağlık kuruluşlarının yalnızca son derece hassas bilgileri korumaya yardımcı olmakla kalmayıp aynı zamanda çalışanların yanlışlıkla veri paylaşmamasını veya kuruluşu riske atan dosyalara erişim sağlamamasını sağlayan araçlar sağlayan veri güvenliği ve DLP platformlarına ihtiyacı var” diye ekledi.
Bir diğer endişe verici eğilim ise kredi kartı numaraları ve bankacılık bilgileri gibi PCI bilgilerinin kamuya açık ve harici dosyalarda saklanan miktarının artmasıdır.
Metomic’in araştırmasına göre, sağlık kuruluşlarına ait kamuya açık dosyaların %1’i PCI içeriyor. Bu sayı ilk bakışta oldukça küçük görünse de, %1, son derece hassas finansal veriler içeren, kolayca erişilebilen dosyaların da olduğu anlamına geliyor.