Siber suç, veri ihlali bildirimi, veri güvenliği
Olay, 2025’te şimdiye kadar bildirilen en büyük sağlık verileri ihlali
Marianne Kolbasuk McGee (Healthinfosec) •
24 Nisan 2025
Connecticut merkezli Yale New Haven Sağlık Sistemi, 5.5 milyondan fazla hastaya sosyal güvenlik numaraları da dahil olmak üzere kişisel bilgilerinin bir Mart hackinde çalınmış olabileceğini bilgilendiriyor. Son zamanlarda yapılan diğer büyük sağlık veri hackleri arasında yer alan olay, bu yıl şimdiye kadar federal regülatöre bildirilen en büyük sağlık veri ihlali olarak yer alıyor.
Ayrıca bakınız: 2024 Sahtekarlık Anlaşmaları Raporu
Olayda potansiyel olarak tehlikeye atılan hasta bilgileri bireysel olarak değişiyor, ancak isim, doğum tarihi, adres, telefon numarası, e -posta adresi, yarış veya etnik köken gibi demografik bilgileri ve sosyal güvenlik numarası, hasta türü ve tıbbi kayıt numarası içerebilir.
Hackers, sağlık sisteminin destansı elektronik tıbbi kayıtlarına ve tedavi bilgilerine erişmediğini ve Yale New Haven Sağlık Sistemi, finansal hesap veya ödeme bilgilerinin dahil olmadığını söyledi.
Bir YNHHS sözcüsü Infor Security Media Group’a verdiği demeçte, “Epic dahil çoğu uygulama etkilenmedi ve olay boyunca tam olarak işlev görmedi. Başlangıçta internet ve telefon sistemlerimizle periyodik bağlantı sorunlarıyla yüzleştik, ancak bu bağlantı geri yüklendi.”
Sözcü, “Kapsamlı siber güvenlik protokollerimiz, bu olayı azaltmak ve hasta bakımı üzerindeki etkileri en aza indirmek için hızlı bir şekilde tespit etmemize ve harekete geçmemize izin verirken, sürdürdüğümüz verileri korumak için sistemlerimizi sürekli olarak inceliyor ve güncelliyoruz.” Dedi.
YNHHS, ihlal bildiriminde, hack olayının 8 Mart’ta, işletmenin BT sistemlerini etkileyen “olağandışı faaliyet” belirlediği keşfedildiğini söyledi.
Ynhhs, “olayı hemen dahil etmek için adımlar attık ve dış siber güvenlik uzmanlarının yardımını içeren bir soruşturmaya başladık,” dedi YNHS ihlal bildiriminde, kuruluşun kolluk kuvvetlerini bildirdiğini de sözlerine ekledi.
YNHS’in soruşturması, yetkisiz bir üçüncü tarafın ağına erişim kazandığını ve 8 Mart’ta belirli verilerin kopyalarını aldığını belirledi. YNHHS, “Bu olay hiçbir noktada hasta bakımı sağlama yeteneğimizi etkilemedi.” Dedi.
YNHS, sosyal güvenlik numarası etkilenen kişilere ücretsiz kredi izleme ve kimlik koruma hizmetleri sunmaktadır. Sağlık sistemi, bugüne kadar, kimlik hırsızlığı veya sahtekarlık için kullanılan herhangi bir hasta bilgisinin farkında olmadığını söyledi.
YNHHS, ISMG’nin herhangi bir BT sisteminin veya verilerinin fidye yazılımı şifrelemesini içerip içermediği ve bir fidye talep edilip edilmediği de dahil olmak üzere ek ayrıntılar talebini reddetti.
YNHS sözcüsü, “Konuşma ile işbirliği yapıyoruz ve devam eden soruşturma göz önüne alındığında belirli ayrıntılar hakkında yorum yapamıyoruz. Bunun, bu tür olayların bir modeli olan bir birey veya grup tarafından gerçekleştirilen sofistike bir saldırı olduğu görülüyor.” Dedi.
Perşembe itibariyle, YNHH’ler, sağlık sisteminin davacıları ve sınıf üyelerinin kişisel tanımlanabilir bilgileri ve korunan sağlık bilgilerini yeterince korumaması konusunda ihmal edildiğini iddia ederek, hack olayı ile ilgili en az beş federal sınıf eylem davasıyla karşılaşmıştır.
Sekiz hastane ve diğer tıbbi bakım tesislerini işleten YNHHS, Connecticut’un en büyük ikinci işvereni – 31.000 işçiyle – bekleyen davalar hakkında yorum yapmayı reddetti.
Diğer Son Hacks
YNHS Hack, bu hafta ABD Sağlık ve İnsan Hizmetleri Bakanlığı’nın 500 veya daha fazla kişiyi etkileyen büyük sağlık veri ihlallerini listeleyen HIPAA Breach Raporlama Aracı web sitesine eklenen diğer bazı büyük olaylara katılıyor.
Buna, yerinde kadın sağlığı olarak iş yapan, 357.265 kişiyi etkileyen yerinde mamografi tarafından bildirilen bir e -posta hackini de içeriyor. Perşembe itibariyle, bu olay HHS’nin Sivil Haklar İhlali Raporlama Web Sitesinde yayınlanan sekizinci en büyük sağlık ihlali olarak yer aldı.
Massachusetts merkezli yerinde, kendisini hastalara sunulan görüntüleme hizmetlerini desteklemek için sağlık hizmeti sağlayıcılarıyla birlikte çalışan ulusal bir hizmet firması olarak tanımlamaktadır. Şirket, ihlal bildiriminde, Ekim 2024’te keşfedilen hack olayının bir çalışanın e -posta hesabını etkilediğini ve yerinde BT ağındaki diğer sistemlere erişmeyi içerdiğini söyledi.
“Soruşturmaya göre, yetkisiz bir aktör bireyin e -posta hesabına kısa bir zaman penceresi için erişti.” Dedi. Diyerek şöyle devam etti: “Bu çalışanın gelen kutusundaki bazı e -postaların doğası nedeniyle, herhangi bir PHI’nin dahil olup olmadığını belirlemek için etkilenen dosyaların kapsamlı bir incelemesini yapan bir dış veri analizi satıcısının hizmetlerini verdik.”
Meydan okulu e -posta hesabında yer alan korumalı sağlık bilgileri, yerinde ihlal bildiriminde veya düzenleyicilere örnek ihlal mektubu sağlayıcısında belirtmediği hasta adını ve diğer bilgileri içermektedir. Şirket etkilenen hastalara ücretsiz kredi ve kimlik izleme sunmaktadır.
İhlal raporunda yerinde temsil eden bir avukat, ISMG’nin ihlalle ilgili ek ayrıntılar talebine hemen yanıt vermedi.
YNHS ve yerinde ihlallerin yanı sıra, bu hafta HHS OCR web sitesine eklenen, 14 Nisan’da Wisconsin merkezli Bell Ambulance tarafından 114.000 kişiyi etkilediği bildirilen bir hack olayı. Şirket, Şubat ayında keşfedilen olayın potansiyel olarak tehlikeye atılan verilerin hasta doğum tarihini, sosyal güvenlik numarası, ehliyet numarası, finansal hesap bilgileri, tıbbi bilgiler ve sağlık sigortası bilgilerini içerdiğini söyledi.