Ascension Health'e Yönelik Fidye Yazılımı Saldırısı 5,6 Milyon Hasta ve Personelin Verilerini Açığa Çıkardı
Son yıllardaki en önemli sağlık verisi ihlallerinden birinde , ABD'deki en büyük kar amacı gütmeyen sağlık sistemlerinden biri olan Ascension Health, 5,6 milyon kişinin yıkıcı bir fidye yazılımı saldırısından etkilendiğini açıkladı. Mayıs 2024'te meydana gelen olay, kişisel, tıbbi ve finansal veriler de dahil olmak üzere çok çeşitli hassas bilgileri ifşa etti.
İçindekiler
Siber Saldırının Detayları
Fidye yazılımı saldırısı 8 Mayıs 2024'te gerçekleşti ve ülke çapındaki hastane hizmetlerini hemen aksattı. Acil servisler hastaları yönlendirmek zorunda kaldı ve sistemler çevrimdışı hale getirildiğinde hastaneler manuel operasyonlara geri döndü. Ascension etkilenen hizmetlerinin çoğunu Haziran ortasına kadar geri yükleyebilse de, ağının ve hastaların güveninin zararı çoktan verilmişti.
Saldırganlar, Ascension'ın sunucularından çok sayıda hassas veriyi sızdırmayı başardılar. Veriler arasında şunlar da vardı:
- İsimler, adresler ve doğum tarihleri
- Sosyal Güvenlik numaraları ve devlet kimlik numaraları
- Sürücü belgesi ve vergi kimlik numaraları
- Sigorta ve tıbbi bilgiler
- Ödeme ve finansal detaylar
Tehlikeye atılan verilerin kapsamı kişiden kişiye değişiyordu; mağdurlar arasında hem hastalar hem de çalışanlar yer alıyordu.
Gecikmiş Bildirim Endişelere Yol Açıyor
Ascension, ihlale ilişkin soruşturmasını tamamlamak için birkaç ay harcadı. 19 Aralık 2024'te kuruluş, incelemesini tamamladığını ve etkilenen bireyleri bilgilendirmeye başlayacağını duyurdu.
"Mayıs ayındaki fidye yazılımı saldırısından bu yana, bu olayda hangi kişilerin verilerinin yer almış olabileceğini araştırmak için üçüncü taraf uzmanlarla birlikte çalışıyoruz," dedi Ascension. Bildirim mektuplarının önümüzdeki birkaç hafta içinde teslim edilmesi bekleniyor.
Olası olumsuzlukları azaltmak için Ascension, 1 milyon dolarlık sigorta geri ödeme poliçesi de dahil olmak üzere bir yıl boyunca ücretsiz kredi izleme ve kimlik koruma hizmetleri sunuyor.
Black Basta Fidye Yazılımı Grubundan Şüpheleniliyor
Soruşturmaya yakın kaynaklar, olası suçlular olarak kötü şöhretli Black Basta fidye yazılımı grubuna işaret etti. Ancak, ne Black Basta ne de başka bir siber suç örgütü saldırının sorumluluğunu üstlendi. Bu sessizlik, Ascension'ın fidye ödediğini düşündürebilir, ancak kamuoyuna herhangi bir onay verilmedi.
Black Basta, daha önce de sağlık kuruluşlarını hedef almış , sektörün kurbanları fidye ödemeye zorlamak için kritik sistemlere olan bağımlılığını suistimal etmişti.
Sağlık Sektörü Risk Altında
Bu olay, sağlık sektöründeki zaafların acı bir hatırlatıcısıdır. Dijital altyapıya aşırı bağımlılığı ve hasta verilerinin hassas yapısı nedeniyle sağlık kuruluşları, fidye yazılımı grupları için birincil hedef olmaya devam etmektedir.
Sağlık hizmetlerindeki veri ihlalleri, kimlik hırsızlığından finansal dolandırıcılığa ve hatta tıbbi bilgilerin potansiyel kötüye kullanımına kadar yıkıcı sonuçlara yol açabilir. Ascension'ın kurbanları için, ifşa edilen bilgiler onları yıllarca rahatsız edebilir.
Yükseliş ve Mağdurlarını Sırada Ne Var?
Ascension'ın itibarı şüphesiz bir darbe aldı ve kuruluş HIPAA (Sağlık Sigortası Taşınabilirliği ve Sorumluluk Yasası) gibi yasalar kapsamında düzenleyici incelemeye tabi tutulabilir. Bu arada, etkilenen bireyler sunulan kredi izleme hizmetlerinden yararlanmaya ve kimlik hırsızlığı veya dolandırıcılık belirtilerine karşı dikkatli olmaya teşvik ediliyor.
Bu saldırı, sağlık sektöründe güçlü siber güvenlik savunmalarına duyulan kritik ihtiyacı vurguluyor. Kuruluşlar, büyüyen fidye yazılımı salgınıyla mücadele etmek için daha güçlü savunmalara, düzenli çalışan eğitimlerine ve hızlı olay müdahale protokollerine yatırım yapmalıdır.
Ascension Health'e yönelik fidye yazılımı saldırısı, sağlık sektörü için bir uyarı niteliğindedir ve veri ihlallerinin yıkıcı etkisini vurgulamaktadır. Siber suçlular giderek daha karmaşık hale geldikçe, hassas bilgileri koruma riskleri hiç bu kadar yüksek olmamıştı.
Etkilenen kişiler kimliklerini korumak için derhal harekete geçmeli ve sektör bir bütün olarak gelecekte benzer saldırıları önlemek için iki katına çıkmalıdır. Sağlık verileriniz paha biçilemezdir; ona bu şekilde davranalım.