3. taraf risk yönetimi, veri ihlali bildirimi, veri güvenliği
Son olaylar, üçüncü taraf tedarikçilere bağlı hasta rekoru siber risklerini vurgulayın
Marianne Kolbasuk McGee (Healthinfosec) •
24 Eylül 2025
Tedarikçi güvenlik riski uzun zamandır birçok sağlık hizmeti sağlayıcısı için bir ağrı kaynağı olmuştur. Veradigm – eski adıyla Allscripts – ve Apollomd, sağlık hizmeti sağlayıcıları ve hastaları için baş ağrılarını tetikleyen düzenleyicilere hack olaylarını bildiren en son uygulama ve gelir döngüsü yönetimi yazılımı ve hizmetleri satıcılarıdır.
Ayrıca bakınız: Ondemand | Eşsiz keşif ve savunma ile API güvenliğini dönüştürün
Veradigm, bu hafta düzenleyicileri, tehlikeye atılan bir müşteri kimlik bilgisinden kaynaklanan bir hack olayının çeşitli eyaletlerinde bilgilendirmeye başladı.
Veradigm, ihlal bildiriminde, 1 Temmuz’da bazı müşterilerin verilerine yetkisiz bir aktör tarafından erişildiğini keşfettiğini söyledi. Şirket, “Veradigm, müşterilerinden birini hedefleyen bir veri güvenliği olayının ardından yetkisiz tarafın, bir Veradigm depolama birimine erişmek için o müşteriden elde edilen bir kimlik bilgisi kullandığını öğrendi.” Dedi.
Veradigm, “Olay 15 Aralık 2024 civarında meydana gelmesine rağmen, Veradigm, etkilenen müşteriyi içeren orijinal veri güvenliği olayını araştıran bir üçüncü taraf aracılığıyla son zamanlarda farkına vardı.” Dedi.
Veradigm ihlalinde tehlikeye atılan veriler bireyler arasında değişir, ancak potansiyel olarak isim, doğum verileri, iletişim bilgileri, teşhisler ve tedaviler gibi sağlık bilgileri, sosyal güvenlik numaraları, sağlık sigortası bilgileri, ödeme ayrıntıları ve sürücüler lisans numaralarını içerir.
Veradigm, siber güvenlik uzmanlarını “etkilenen depolama hesabının kapsamlı bir incelemesini yapmak için koruduğunu ve Veradigm’in müşterilerine sağladığı çözümlerin güvenli olmasını sağlamak için önemli kaynaklar tahsis ettiğini” söyledi.
Şirket ayrıca “gelecekte benzer bir olayın olasılığını daha da azaltmak için yeni teknik önlemler ve diğer önlemler” uyguladığını söyledi.
Veradigm Information Security Media Group’a yaptığı açıklamada, yakın zamanda “bazı kurumsal müşterilerimizin” hasta verilerine yetkisiz bir taraf tarafından erişildiğini öğrendiğini söyledi.
“Bu olay Veradigm’in birincil ağını, sağlayıcılar tarafından aktif olarak kullanılan müşteri sistemlerini veya günlük operasyonları etkilemedi. Etkilenen hastaları bilgilendirmeye başladık ve uygun yetkilileri bilgilendirdik.”
Veradigm, ISMG’nin olayın başlangıcında kimlik bilgileri tehlikeye atılan müşterinin kimliği ve etkilenen müşteri ve bireylerin sayısı da dahil olmak üzere ihlalle ilgili diğer ayrıntılar talebini reddetti.
Çarşamba günü, Veradigm olayı henüz 500 veya daha fazla kişiyi etkileyen büyük veri ihlallerini listeleyen ABD Sağlık ve İnsan Hizmetleri Departmanı’nın HIPAA Breach Raporlama Aracı web sitesine gönderilmemiştir.
Ancak şu ana kadar, Güney Carolina ve Teksas dahil olmak üzere eyaletlerde genel başsavcılara verilen ihlal raporları, sadece bu iki eyalette yaklaşık 70.000 hastayı etkileyen olayı gösteriyor.
Apollomd ihlali
Atlanta merkezli Apollomd Business Services, bir ihlal bildiriminde, son zamanlarda potansiyel olarak yetkisiz erişim ve hasta bilgilerinin edinilmesini içeren bir veri güvenliği olayının bağlı doktor uygulamalarını bildirmeye başladığını söyledi.
Apollomd’un bildirimi, Passaic Hastane Hizmetleri, Pensacola Hastane Hekimleri, Broad River Doktorlar Grubu, Zeytin Şubesi Acil Durum Doktorları, Passaic Nehir Hekimleri, Bortolazzo Grubu, Metodist Üniversite Acil Doktorlar, Üçlü Acil Hekimler, Pennist Doktorlar dahil olmak üzere olaydan etkilenen yaklaşık bir düzine doktor uygulamasının bir listesini içerir.
Apollomd, BT ortamında olağandışı aktiviteyi tespit ettikten sonra 22 Mayıs’ta olayın farkına vardığını söyledi. Şirket, Apollomd’un kolluk kuvvetlerine de bildirdiği olayı soruşturmak için üçüncü taraf uzmanlarıyla meşgul oldu.
Soruşturma, tehdit aktörlerinin 22 Mayıs ile 23 Mayıs tarihleri arasında Apollomd’s BT ortamından dosyalara erişip satın aldıklarını buldu. Uzaklaştırılmış veriler, ApollomD’ye bağlı hekimler ve uygulamalar tarafından tedavi edilen hastalar için bilgiler içeriyor.
Etkilenen bilgiler hastaya göre değişti, ancak potansiyel olarak isim, doğum tarihi, adres, tanı bilgileri, sağlayıcı adları, hizmet tarihleri, tedavi bilgileri, sağlık sigortası bilgileri ve sosyal güvenlik numarasını içerir.
Apollomd, ISMG’nin yorum talebine ve olayla ilgili ek ayrıntılara hemen yanıt vermedi. Çarşamba itibariyle, olay henüz HHS OCR HIPAA Breach raporlama web sitesinde yayınlanmadı.
İş Önlisans Riskleri
Çarşamba günü, HHS Sivil Haklar Ofisi’nin HIPAA ihlali raporlama web sitesinde, 2025’te şimdiye kadar 41,8 milyondan fazla kişiyi etkileyen 537 büyük sağlık verisi ihlali listeleniyor.
Bunlardan, ihlallerin üçte birinden fazlası – 196 olaylar – iş ortaklarını içeriyordu. Bu olaylar 17.5 milyondan fazla insanı veya bu yılki büyük sağlık verilerinden etkilenen bireysel kurbanların yaklaşık% 42’sini etkiledi.
Çarşamba günü, 2025 yılında HHS OCR web sitesinde yayınlanan ve 5.4 milyondan fazla kişiyi etkileyen en büyük HIPAA ihlali, sağlık sigortası UnitedHealth Group’un tıbbi kodlama birimi olan Episource tarafından bildirildi (bakınız: UnitedHealth Group’un en son sağlık verileri ihlali sıkıntısı).
Başka bir gelir döngüsü yönetimi yazılımı satıcısı olan Medusind, 2025 yılında bir iş ortağı tarafından bildirilen en büyük beş ihlal arasında yer aldı.
Medusind kısa bir süre önce, Ocak ayında HHS OCR’ye yaklaşık 701.500 kişiyi etkilediği bildirilen Aralık 2023 hack olayını içeren önerilen sınıf eylem davalarında 5 milyon dolarlık bir anlaşmayı kabul etti (bakınız: bkz: bkz: Muhasebe firması 217.000 sağlık veri hackini bildiriyor).
Hales Hukuk Grubu’ndan düzenleyici avukat Paul Hales, “İhlal kurbanlarının davaları en aktif HIPAA uygulayıcılarıdır.” Dedi.
“Yetersiz sağlık bilgileri, küçük HIPAA tarafından düzenlenen varlıklar arasında gizlilik ve güvenlik önlemleri önemli, iyi bilinen endişelerdir.” Dedi. Kritik satıcıları bu küçük uygulamalara dahil eden sağlık bilgilerini korumaya yönelik güvenlik riski de riskleri arttırır.
“Teknik korumalar kendi başlarına yeterli değildir. İşgücü eğitimi esastır. Sosyal mühendislik en önemli siber güvenlik tehdididir” dedi.
En büyük ve görünüşte en olgun HIPAA iş ortakları bile müşterileri için muazzam bir risk oluşturabilir. Şubat 2024 Fidye Yazılımı Saldırısı Sağlık Hizmetleri – UnitedHealth Group’un BT Hizmetleri Birimi – aylarca binlerce sağlık uygulamasının iş ve hasta bakım operasyonlarını bozdu ve 193 milyon hastayı etkileyen rekor kıran bir veri ihlali ile sonuçlandı (bkz:: Sağlık Hizmetini Değiştirme artık 190 milyon veri ihlali kurbanını sayıyor).
Hales, “Kuruluş ne kadar büyük veya küçük olursa olsun, Phi gizliliğini ve güvenliğini korumak çok ciddiye almaları gereken bir sorumluluktur.” Dedi.