Synnovis, Birleşik Krallık’taki Veri Hırsızlığı Sağlayıcılarını 2024 Saldırısında Bildiriyor

Patoloji laboratuvar hizmetleri firması Synnovis, Haziran 2024’teki fidye yazılımı saldırısında çalınan verilere ilişkin son derece karmaşık bir adli tıp incelemesini tamamladığını ve sağlayıcıları 21 Kasım’a kadar bilgilendireceğini söyledi. Şirket, Birleşik Krallık yasalarına göre, gerekli görülmesi halinde sağlayıcıların etkilenen kendi hastalarına bildirimde bulunmaktan sorumlu olacağını söyledi.

Pazartesi günü Synnovis, siber suçluların firmanın verilerini “çalışan bir sürücüden aceleyle, rastgele ve hedefsiz bir şekilde” çaldığını, bu durumun parçalanmış ve yapılandırılmamış etkilenen verilerin analizini zorlaştırdığını söyledi.

Synnovis CEO’su Mark Dollar yaptığı açıklamada, “Bu parçala ve yakala siber saldırısında çalınan verilerin şifresini çözmek ve parçaları bir araya getirmek bir yıldan fazla süren özenli bir araştırma gerektirdi” dedi. Şirket, etkilenen verilerin hiçbirinin Synnovis’in birincil laboratuvar veri tabanından çıkarılmadığını söyledi.

Şirketin açıklamasında, Birleşik Krallık’ın veri koruma yasası uyarınca “etkilenen her kuruluşun Synnovis tarafından sağlanan bilgilerin değerlendirilmesinden ve hastalara ilgili bildirimde bulunma konusundaki sonraki yükümlülüklerini belirlemekten sorumlu olduğu” belirtildi.

Synnovis, Information Security Media Group’un veri ihlalinden etkilenen sağlık kuruluşu ve hasta sayısına ilişkin talebini reddetti.

Bir Synnovis sözcüsü ISMG’ye yaptığı açıklamada, “Kuruluşları çalınan verileri hakkında bilgilendirme sürecindeyiz, böylece hastaları üzerindeki etkisine ilişkin uygun bir analiz yapabilirler. Bu süreçte etkilenen kuruluşlara destek ve rehberlik sunarken, bu kuruluşların her birinin hasta etkisini nasıl tanımlayacağına dair herhangi bir varsayımda bulunmamız uygun olmaz.” dedi.

Karmaşık Veri Analizi

Synnovis, verileri analiz ederken müşteri kodlarını, ODS kodlarını veya verilerde mevcut olan SAP kodlarını kullanarak “kapsamlı bir” sağlık hizmeti sağlayıcısı haritalama süreci “gerçekleştirdiğini” söyledi.

Şirket, web sitesinde yayınlanan bir açıklamada, kodların bulunmadığı durumlarda Synnovis ve adli tıp ekibinin, etkilenen verileri dosya adlarını, klasör konumlarını ve diğer referans verilerini kullanarak sağlık hizmeti sağlayıcılarıyla manuel olarak eşleştirmeye çalıştığını söyledi.

Şirket, Synnovis’in çalınan verilerinden bazılarının hastanın NHS numarası, adı veya doğum tarihi gibi kişisel veri unsurlarını içerdiğini söyledi. Synnovis, “Çalınan verilerin çok küçük bir kısmı, bir kişiyle eşleştirebileceğimiz test sonuçlarını içeriyordu” dedi.

“Bu veriler, basit test sonuçları, test kodları, sayısal sonuçlar, referans aralıkları, anlatı bilgileri veya bunların bir aralığı dahil olmak üzere çeşitli formatlarda ortaya çıktı. Test sonuçlarının çoğunluğu, örneğin pozitif veya negatif yerine aralıklara yapılan sayısal referansları yorumlamak için klinik bilgi veya daha fazla zenginleştirme gerektirecektir.”

Yıkıcı, Tehlikeli Saldırı

Synnovis’in Guy’s ve St Thomas’ NHS Foundation Trust, Londra’daki King’s College Hospitals NHS Trust ve Synlab arasında bir patoloji ortaklığı vardır.

Synnovis fidye yazılımı saldırısı, Amerika Birleşik Devletleri dışındaki sağlık sektöründeki en yıkıcı saldırılardan biriydi. Saldırının sorumluluğunu Rusça konuşan fidye yazılımı grubu Qilin üstlendi.

Synnovis, “Birleşik Krallık’ın kritik sağlık altyapısına yönelik bu hesaplı saldırı, neredeyse tüm BT sistemlerimizi etkiledi ve birçok patoloji hizmetimizde kesintiye yol açtı.” dedi.

Siber saldırı, Synnovis’in kan testi de dahil olmak üzere bir dizi hizmeti gerçekleştirme yeteneğini bozdu ve en çok etkilenen NHS vakıflarında (Londra’daki King’s College Hastanesi ve Guy’s ve St. Thomas hastaneleri) 10.152 akut ayakta tedavi randevusunun ve 1.710 seçmeli prosedürün iptal edilmesine veya ertelenmesine yol açtı.

Her ne kadar tüm Synnovis BT hizmetleri geçen sonbaharın sonlarında restore edilmiş olsa da, siber saldırı ve kan stoklarının daha önce görülmemiş derecede düşük seviyelere düşmesine neden olan koleksiyonların azalması nedeniyle Birleşik Krallık’ta O-negatif tip kan kıtlığı birkaç ay sonra da devam etti (bkz.: NHS: Kan Temini Haziran 2024’teki Satıcı Saldırısından Hala Etkileniyor).

Haziran ayında – Synnovis saldırısından bir yıl sonra – İngiltere’deki Ulusal Sağlık Servisi, olayı bir hastanın ölümüne katkıda bulunan bir faktör olarak gösterdi. NHS, bir soruşturmanın “hastanın ölümüne yol açan bir dizi katkıda bulunan faktörü tanımladığını” söyledi. Bu, o sırada patoloji hizmetlerini etkileyen siber saldırı nedeniyle kan testi sonucu için uzun süre beklenmeyi içeriyordu, “dedi NHS (bkz:: İhlal Özeti: Birleşik Krallık NHS, Hasta Ölümünü Fidye Yazılımı Saldırısına Bağladı).

Synnovis sözcüsü ISMG’ye şöyle konuştu: “Siber saldırının ardından, yalnızca BT uzmanlarımızdan değil aynı zamanda NHS ve üçüncü taraf danışmanlardan oluşan bir görev gücüyle işbirliği yaparak BT altyapımızın daha da güvenli olmasını sağlamak için çalıştık.” “Kritik olarak, uygulamalarımızın çoğunu sıfırdan yeniden oluşturduk, bu da saldırıdan etkilenen hiçbir BT altyapısının kalmadığı anlamına geliyor.”

Synnovis, ISMG’nin fidye yazılımı çetesi Qilin’in saldırıya karıştığı konusunda yorum yapma talebini reddetti ve yalnızca olayın arkasındaki siber suç grubunun sağlık hizmetleri de dahil olmak üzere kritik sektörleri hedef aldığını ve “mümkün olan en fazla zarar ve kesintiye yol açmayı amaçladığını ve temel amacı mali gasp olduğunu” söyledi.

Synnovis, saldırganlara fidye ödemediğini söyledi. “NHS Trust ortaklarımızla işbirliği içinde alınan bu karar, etik ilkelere olan bağlılığımızı ve kritik altyapıyı, hasta mahremiyetini ve ulusal güvenliği tehdit eden gelecekteki siber suç faaliyetlerine fon sağlamayı reddettiğimizi yansıtıyor.”