Yine Sağlık Sektörü Hedefte: Önce 11.9 Milyon ardınan 7.7 Milyon Kişiyi Etkileyen Veri İhlali

Forbes tarafından Amerika’nın en büyük kan testi laboratuvarı olarak gösterilen LabCorp (Laboratory Corp.) Temmuz 2018’de SamSam fidye yazılımından etkilenmiş, binlerce hastane, klinik ve sağlık organizasyonuna hizmet veren şirketin bir süre sistemlerinden test sonuçlarına erişmek mümkün olmamıştı. Yaşanan olayın firmanın dijital ekosisteminde bulunan her yere zararlı yazılımın dağılmasına neden olarak beklenmedik derecede büyük bir etki yaratmasından da endişe edilmişti.

Bu olaydan sonra, sağlık hizmeti sağlayan kuruluşların üçüncü taraf tedarikçilerden oluşan portföylerinin herbirinin getirdiği risk seviyesini takip etmesi ve iyi değerlendirmesi gerektiği bir kez daha konuşulmuştu.

LabCorp ilk olayın üzerinden 11 ay geçmişken bir kere daha hacklendi. Bu defa 7.7 milyon hasta verisinin (isimler, doğum tarihleri, adres, telefon, hizmet alınan tarihler, bazı hastaların kredi kartı ve banka bilgileri dahil) çalındığı biliniyor.

LabCorp’tan birkaç gün önce ise 45.000 çalışanı bulunan ve yine Amerika’nın alanında en büyüklerinden biri olan Quest Diagnostics Inc. isimli kan testi laboratuvarından 11.9 milyon hastanın medikal ve finansal bilgilerinin çalındığı duyulmuştu. Ağustos – Mart ayları arasında yetkisiz bir kullanıcının (8 ay boyunca) hasta bilgilerinin tutulduğu sisteme erişim sağladığı tespit edilmişti.

İki olayın aynı şekilde gerçekleştiği düşünülüyor; her iki olay da American Medical Collection Agency Inc. isimli bir üçüncü taraf ödeme işlemi yazılımı sağlayıcısı ile bağlantılı.

Saldırganların ise daha önce British Airways, Cathay Pacific Airways, Ticketmaster Entertainment Inc. ve daha birçok kuruluşun ödeme sistemlerini hedef alan Magecart grubundan olduğuna inanılıyor.

Saldırganların neden özellikle sağlık kuruluşlarını hedef aldığı tam olarak bilinmiyor ancak muhtemelen sebebi “kolay hedef” olarak görülmeleri. Özellikle fidye yazılımı saldırılarında iş akışının aciliyeti nedeniyle fidye ödemelerini gerçekleştirmesi en muhtemel hedefler sağlık sektöründen olabildiğinden tercih sebebi olduklarını biliyoruz.

Bu olayların ardından çevrimiçi ödeme için kabul edilen e-ticaret güvenliği standartları hakkında iyileştirmeler yapılması gerektiği ortaya çıkıyor.

Aynı şekilde, üçüncü taraf tedarikçiler nedeniyle alınan riskler de yine soru işareti yaratıyor.

Üreticiden Tüketiciye Zararlı Yazılım: Tedarikçiden doğan siber riskler yazımızda yer alan bir bölümü yeri gelmişken hatırlatmak istiyoruz:

Tedarikçiden kaynaklanabilecek siber olayların riskini azaltmak için kuruluş bünyesinde yapılacak kontroller yeterli olmayacaktır. Bu nedenle, özellikle yakın çalıştığımız tedarikçilerle siber güvenlik konusunda da iş birliği yapmak önemlidir.

Veri paylaştığımız veya sistemlerinizin entegre olduğu tedarikçilerin kendi içlerinde siber güvenlik süreçlerini nasıl yürüttüklerini anlamak ve kendi standartlarımıza yakınlaşmaları için yol göstermekte fayda var.

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*