Sağlık sektörünün tek sıkıntısı COVID-19 salgınıyla mücadele değil. Yapılan bir analize göre sektöre yönelik siber saldırılar yalnızca ABD’de 73 günde 7.3 milyon kişiyi etkiledi.
ABD Sağlık ve Sosyal Hizmetler Bakanlığı’nın veri ihlali raporlama aracındaki verilere göre 2021’in ilk 2,5 aylık döneminde 7.3 milyondan fazla kişiyi etkileyen 89 büyük çaplı veri ihlali olayı yaşandı. Bu vakalardan yaklaşık 60’ı bilgisayar korsanlığı ve BT sistemlerine saldırı olarak bildirildi.
Konuyla ilgili Healthcare Info Security’de yayınlanan bir analize göre uzmanlar bu durumu 2020’nin büyük bölümünde yaşanan olayların devamı olarak nitelerken bazı uzmanlar daha da artacağını öngörüyor. Örneğin geçtiğimiz günlerde veri ihlali çözümleri sunan Breach Clarity’yi satın alan Sontiq’in Kıdemli Başkan Yardımcısı Jim Van Dyke, sağlık hizmeti sağlayıcılarının ve bunlara ürün/çözüm satanların çok daha uyanık davranması gerektiğini ifade ediyor. Gerekli ayarların kontrolü, yamaların uygulanması ve parolaların güncellenmesi gerektiğini kaydeden Van Dyke, sektördeki tüm çalışanların en son dolandırıcılık türlerine göre eğitilmesinin önemli olduğunun altını çiziyor.
Rekor vakada 3,5 milyon çocuğa ait veriler ele geçirildi
Bakanlığın açıkladığı verilere göre 2021’in en fazla kişiyi etkileyen olayı Florida Healty Kids Corp.’un çocuk ve diş sağlığı bölümlerinde yaşandı. 29 Ocak’ta bildirilen bu olayda 3,5 milyon kişinin verilerinin etkilendiği açıklandı. Kurum, yaptığı ihlal bildiriminde web sitesini barındıran şirketin 7 yıllık bir süre boyunca güvenlik açıklarını ele almadığını ve bunun sonucunda hasta verilerinin ifşa edildiğini belirtti. Bu vaka, son 24 aylık dönemde en fazla verinin etkilendiği ikinci olay olma niteliği de taşıyor.
Listenin ikinci sırasında ise 1.27 milyon kişinin etkilendiği American Anesthesology bulunuyor. 8 Ocak’ta bildirilen olayda ihlalin, anesteziyoloji uygulamasını veren bir hizmet sağlayıcı ve iş ortağı olan MEDNAX Services’de 16 Temmuz’da keşfedilen bir kimlik avı olayının parçası olarak yaşanan bu vaka 24 aylık listede 6. sırada bulunuyor.
Bağlantılı olaylar yalnızca sağlık hizmet sağlayıcılarını değil, ilişkili oldukları kurumları da etkileyebiliyor. Örneğin 19 Şubat tarihli Kroger vakasında şirket doğrudan bir sağlık işletmesi olmasa da süpermarket ve eczane zinciri olmasıyla resmi listeye ekleniyor.
Güncel listeyi görüntülemek için tıklayın…
Fidye yazılımları da etkisini sürdürdü
2021’in ilk döneminde veri ihlali kadar fidye yazılımlar temelli vakalar da dikkat çekiyor. Örneğin Teksas merkezli Hendrick Health, 640 bin kişiyi etkileyen bir fidye yazılımını da içeren bilgisayar korsanlığı vakasını bildirmiş durumda. Washington merkezli MultiCare Helath System ise tıbbi uygulama yönetimi hizmeti sağlayan iş ortağı Woodcreek Provider Services üzerinden 207 bin hasta ve çalışanın etkilendiğini bildirdi.
Yalnızca sistemler değil, akıl sağlığı da tehlikede
Sistemlere bu yoğun saldırı sağlık hizmeti sağlayanlar kadar hastaları da etkiliyor. Örneğin bazı uzmanlar, akıl sağlığı kayıtları gibi kritik ve gizlilik gerektiren verilerin ifşasının endişe verici olduğunu ifade ediyor. Bu tip durumların bireylerin en özel düşünce ve endişelerini taşıdığını belirten Tw-Security Güvenlik Danışmanı Susan Lucci, hasta ve doktor arasındaki ilişkinin bu tip olaylar nedeniyle bozulması durumunda hastanın aynı kurumla çalışmayı bırakacağını ve bunun tedavi sürecini etkileyeceğine dikkat çekiyor.
2009’dan bu yana yaklaşık 300 milyon kişi etkilendi
ABD’de bakanlık bu listeyi 2009’dan bu yana tutuyor ve Eylül 2009’dan bu yana listelenen vakalardaki etkilenen kişi sayısı 280 milyona yaklaşmış durumda. Listede 3800 kadar vaka büyük çaplı veri ihlali olarak yorumlanırken, 90.6 milyon kişiyi etkileyen 934 vakanın iş ortakları nedeniyle yaşanması önemli bir veri olarak karşımıza çıkıyor. 2009’dan bu yana bildirilen en büyük vaka ise 2015’te yaşanan ve 79 milyon kişiye ait verinin etkilendiği Anthem olayı.
ABD Sağlık ve Sosyal Hizmetler Bakanlığı’nın düzenli olarak güncellediği listeye ulaşmak için bu linki kullanabilirsiniz.
Haber görseli: Unsplash