Geçen haftalarda Amerika’daki laboratuvar test merkezi Quest Diagnostics’in açıklamaları sağlık sektöründe şok etkisi yarattı. Yapılan basın bildirisinde, Quest Diagnostics’e ve Amerika’daki birçok sigorta şirketine fatura tahsilatı hizmeti veren Amerikan Tıbbi Tahsilat Şirketi’nin verilerine, siber saldırganlar tarafından erişildiği ve 12 milyon hastanın ihlalden etkilendiği duyuruldu. Uzmanlara göre, Amerikan sağlık sektörünü etkileyen böylesi büyük çaplı bir veri ihlalinin etkileri sağlık sektörüyle sınırlı kalmayabilir.
12 MİLYON HASTANIN VERİLERİ SIZDI?
Gerçekleşen veri ihlalinin detaylarına bakıldığında, siber saldırganların üçüncü taraf hizmet sağlayıcısının sistemlerinden birine erişim sağlayarak hareket ettiği görüldü. Sekiz ay boyunca tespit edilemeyen veri ihlalinde, yaklaşık 12 milyon hastanın verilerinin çevrimiçi olarak sızdığını belirten uzmanlar, saldırganlar tarafından hastaların kredi kartı numaraları, banka hesapları, sağlık geçmişi ve sosyal güvenlik numaraları gibi önemli verilere ulaşılmasının tehlikeli sonuçlar doğurabileceğine dikkat çekiyor. Konuyla ilgili fatura tahsilat hizmeti veren şirket yetkililerinin açıklamasına göre, hastaların laboratuvar testlerine erişimin gerçekleşmediğini, ancak şirketin ödemeler sayfasının kullanıma kapatıldığı belirtildi.
DARK WEB’DE SATIŞA ÇIKARILAN 200 BİN HASTA KAYDI
Yaşanan veri ihlali ile ilgili ilk sinyalleri Data Breaches adlı siteye şubat ayı ortalarında demeç veren Gemini Danışmanlık adındaki şirket verdi. Dark Web’de 200 bin hastanın kayıt bilgilerini satışa çıkarıldığını gördüklerini belirten danışmanlık şirketi, fatura tahsilat hizmeti veren şirkete konu hakkında bilgi verdiklerini de dile getirdiler. Satışa çıkarılan verileri inceleyen uzmanlar ise hastalara ait verilerin hizmet sağlayıcı şirketin çevrimiçi portallarından çalındığını ve %15’inin kişisel veriler olduğunu belirtiyor.
SORUŞTURMA DEVAM EDİYOR
Amerikan Tıbbi Tahsilat Şirketi’nin hizmet sağladığı şirketlere bilgi vermesinin ardından, şirket içi soruşturmalara hız kesmeden devam ettiği ve saldırganın kimliğini çıkarmak için mesai harcadığı biliniyor. Şirketin çevrimiçi portallarına giriş yapılarak verilere ulaşıldığı tespit edilen soruşturmada, verileri ele geçirenlerin kimliğinin ise henüz açıklığa kavuşmadığı görülüyor. Uzmanlara göre, Amerika’da yaşanan ve etkileri daha da görülecek olan bu veri ihlalinden, başta sağlık sektörü olmak üzere diğer birçok sektörün ders çıkarması ve önemli adımlar atması gerekiyor.