Birleşik Krallık’ın önde gelen patoloji hizmetleri sağlayıcılarından biri olan Synnovis, sağlık hizmeti sağlayıcılarına Haziran 2024’te bazı hastaların verilerinin çalınmasıyla sonuçlanan bir fidye yazılımı saldırısının ardından bir veri ihlali meydana geldiğini bildiriyor.
Eski adıyla Viapath olarak bilinen Synnovis, 2009 yılında GSTS Patoloji olarak kuruldu ve Ekim 2022’de Synnovis markasına geçti.
Synnovis, uluslararası tıbbi teşhis sağlayıcısı SYNLAB, Guy’s ve St Thomas’ NHS Foundation Trust ve King’s College Hospital NHS Foundation Trust arasındaki bir ortaklıktır ve Ulusal Sağlık Hizmeti (NHS) de dahil olmak üzere Birleşik Krallık sağlık kuruluşlarına patoloji hizmetleri sağlamaktadır.
Synnovis artık NHS hastaneleri ve klinikleri de dahil olmak üzere etkilenen kuruluşlara ulaşıyor ancak hastalarla doğrudan iletişime geçmeyecek. Hasta bildirimleri, Birleşik Krallık veri koruma yasasının gerektirdiği şekilde etkilenen NHS kuruluşları tarafından ele alınacaktır.
Synnovis Pazartesi günü yaptığı basın açıklamasında, “Verileri etkilenen kuruluşlara bildirimde bulunmaya başladık ve bu süreci 21 Kasım 2025’e kadar tamamlamayı bekliyoruz. Bu, adli tıp uzmanları ve veri uzmanlarından oluşan büyük bir ekibin tamamlanması bir yıldan fazla süren soruşturmanın en son aşamasını işaret ediyor.” dedi.
“Çalınan veriler yapılandırılmamış, eksik ve parçalıydı; parçaları bir araya getirmek için son derece uzmanlaşmış platformların ve özel süreçlerin kullanılmasını gerektiriyordu; bu da soruşturmanın süresini büyük ölçüde etkileyen faktörlerdi.”
Çalınan veriler, etkilenen hastaların NHS numaraları, isimleri, doğum tarihleri ve bazı durumlarda bir kişiyle eşleştirilebilecek test sonuçları gibi kişisel bilgileri içeriyor. Ancak Synnovis, çalınan bilgilerin çoğunun “klinik bilgi veya yorumlamak için daha fazla zenginleştirme” gerektirdiğini söylüyor.
Qilin fidye yazılımı çetesiyle bağlantılı ihlal
3 Haziran 2024’te Synnovis, aralarında King’s College Hastanesi, Guy’s Hastanesi, St Thomas’ Hastanesi, Royal Brompton Hastanesi ve Evelina Londra Çocuk Hastanesi’nin de bulunduğu Londra’daki çok sayıda büyük NHS hastanesindeki prosedürler ve operasyonlar üzerinde “büyük etkiye sahip” bir fidye yazılımı saldırısına uğradı.
Etkilenen Londra hastanelerindeki acil olmayan patoloji randevuları ve kan nakilleri ya iptal edildi, ertelendi ya da başka sağlayıcılara yönlendirildi. Olay ayrıca Londra’da kan sıkıntısına yol açtı ve etkilenen hastaneleri “800’den fazla planlı ameliyatı ve 700 ayakta tedavi randevusunu” iptal etmeye zorladı.
20 Haziran 2024’te saldırganlar, Synnovis’in sisteminden çalındığı iddia edilen verileri yayınladı ve şirketin Bilgi Komiseri Ofisi’ni bilgilendirmesine ve daha fazla kullanıma karşı yasal tedbir almasına neden oldu.
Synnovis, geçen yılki fidye yazılımı saldırısının arkasındaki tehdit grubunu henüz isimlendirmese de olay, Ulusal Siber Güvenlik Merkezi’nin (NCSC) kurucusu ve ilk CEO’su Ciaran Martin’in Qilin fidye yazılımı operasyonuyla bağlantılıydı.
Özel bir sitede şirket, NHS Trust ortaklarıyla “etik ilkelere olan bağlılığımızı ve kritik altyapıyı, hasta mahremiyetini ve ulusal güvenliği tehdit eden gelecekteki siber suç faaliyetlerine fon sağlamayı reddettiğimizi yansıtan” ortak bir kararın ardından olayın ardından fidye ödemediğini doğruladı.
Qilin, Ağustos 2022’de “Gündem” adı altında bir Hizmet Olarak Fidye Yazılımı (RaaS) operasyonu olarak ortaya çıktı ve o zamandan beri, aralarında otomotiv devi Yangfeng ve yayıncılık devi Lee Enterprises’ın da bulunduğu karanlık web sızıntı sitesindeki 300’den fazla kurbanın sorumluluğunu üstlendi.
BleepingComputer bugün erken saatlerde daha fazla ayrıntı talebinde bulunduğunda Synnovis sözcüsü bir açıklama yapamadı.
Bütçe mevsimi! 300’den fazla CISO ve güvenlik lideri, önümüzdeki yıl için nasıl planlama, harcama ve önceliklendirme yaptıklarını paylaştı. Bu rapor onların içgörülerini derleyerek okuyucuların stratejileri karşılaştırmasına, ortaya çıkan trendleri belirlemesine ve 2026’ya girerken önceliklerini karşılaştırmasına olanak tanıyor.
Üst düzey liderlerin yatırımı nasıl ölçülebilir etkiye dönüştürdüğünü öğrenin.