2024 Sağlık Veri İhlalleri 720 Olayda 186 Milyon Kaydı Açığa Çıkardı
2024'te ABD sağlık sektörü, tahmini 186 milyon kullanıcı kaydını tehlikeye atan 720 bildirilen veri ihlaliyle karşı karşıya kaldı. Sağlık ve İnsan Hizmetleri Bakanlığı Sivil Haklar Ofisi'ne (HHS OCR) bildirilen bu ihlaller, sağlık kuruluşlarının karşı karşıya olduğu artan siber güvenlik risklerini vurgulamaktadır. Açığa çıkan kayıt sayısı çok büyük olsa da, bazıları birden fazla ihlalden etkilenmiş olabileceğinden, etkilenen kişilerin gerçek sayısı daha düşük olabilir.
Tehlikeye atılan veriler arasında isimler, iletişim bilgileri, Sosyal Güvenlik numaraları, doğum tarihleri, sigorta verileri, tıbbi kayıtlar ve finansal bilgiler gibi hassas kişisel ve tıbbi bilgiler yer alıyordu. Sağlık hizmeti sağlayıcıları en sık hedef alınan kuruluşlardı ve yaklaşık 520 olaya neden oldular. Sağlık hizmeti kuruluşlarının iş ortakları da ağır şekilde etkilendi ve 120 ihlal bildirildi. Yaklaşık 100 olay sağlık planlarını içeriyordu.
İçindekiler
Bilgisayar korsanlığı ve BT olayları başı çekiyor
Bildirilen ihlallerin çoğunluğu (yaklaşık 600) fidye yazılımı saldırılarını da içeren bilgisayar korsanlığı veya BT olayları olarak kategorize edildi. Yetkisiz erişim veya ifşa, ihlallerin en yaygın ikinci nedeniydi. Ağ sunucuları yaklaşık 450 olayda birincil hedefti, e-posta sistemleri (genellikle kimlik avı ve kötü amaçlı yazılım dağıtımı için kullanılır) ise 160 ihlalde yer aldı.
İhlallerin Durumsal Dağılımı
HHS OCR veritabanı, Teksas ve Kaliforniya'nın her birinde yaklaşık 60 ihlalle en fazla olay yaşadığını ortaya koydu. Önemli ihlal sayılarına sahip diğer eyaletler arasında New York (46), Illinois (43), Florida (37), Pensilvanya (31), Ohio (29), Massachusetts (29), Tennessee (25) ve Michigan (22) yer aldı.
2024'ün Yüksek Profilli İhlalleri
Bildirilen ihlaller arasında, Change Healthcare'e yönelik bir fidye yazılımı saldırısı en büyüğü olarak öne çıktı ve yaklaşık 100 milyon kişiyi etkiledi. Bu ihlal tek başına 2024'te bildirilen tehlikeye atılmış kayıtların yarısından fazlasını oluşturuyordu.
Diğer önemli ihlaller arasında şunlar yer alıyor:
- Kaiser Permanente : 13,4 milyon kayıt tehlikeye atıldı
- Ascension Health : 5,5 milyon kayıt
- HealthEquity : 4,3 milyon kayıt
- Concentra Sağlık Hizmetleri : 3,9 milyon kayıt
- Medicare ve Medicaid Hizmetleri Merkezleri : 3,1 milyon kayıt
- Acadian Ambulans Servisi : 2,8 milyon kayıt
- Sav-Rx (A&A Hizmetleri) : 2,8 milyon kayıt
- WebTPA : 2,5 milyon kayıt
- Integris Health : 2,3 milyon kayıt
Diğer sağlık kuruluşları da bir milyondan fazla kişiyi etkileyen ihlallerle karşı karşıya kaldı; bunlar arasında Medical Management Resource Group (2,3 milyon), Summit Pathology (1,8 milyon) ve Geisinger (1,2 milyon) yer alıyor.
Sağlık Hizmetlerine Yönelik Artan Tehdit
Sağlık sektörü, depoladığı hassas ve yüksek değerli veriler nedeniyle siber suçlular için birincil hedef olmaya devam ediyor. Fidye yazılımı saldırıları, kimlik avı kampanyaları ve BT güvenlik açıklarının istismarı, saldırganların sağlık sistemlerine erişmek için kullandıkları birincil yöntemler olmaya devam ediyor. Bu olaylar, sektörde gelişmiş ağ güvenliği, kimlik avıyla mücadele için çalışan eğitimi ve daha güçlü kimlik doğrulama protokolleri gibi sağlam siber güvenlik önlemlerine olan kritik ihtiyacı vurguluyor.
Sağlık kuruluşları operasyonlarını dijitalleştirmeye ve bulut tabanlı platformlara güvenmeye devam ettikçe, veri ihlalleri riskinin artması bekleniyor. Bu, siber saldırıların neden olduğu hasarı azaltmak için proaktif güvenlik önlemlerine, tehdit izlemeye ve hızlı yanıt planlarına olan ihtiyacı vurguluyor.
2024 ihlalleri, iyi bilinen kuruluşların bile saldırılara kurban gidebileceğinin ve hem hastalar hem de sağlayıcılar için yaygın sonuçlara yol açabileceğinin çarpıcı bir hatırlatıcısı olarak hizmet ediyor. Kişisel ve finansal riskler bu kadar yüksekken, sağlık sektörü önümüzdeki yıllarda siber suçluların önünde kalmak için veri korumasına öncelik vermelidir.