Ulusal Bilgi Teknolojileri ve Özgürlükler Komisyonu’ndan (CNIL) alınan bilgiye göre, son günlerde 33 milyondan fazla Fransız vatandaşının verileri ele geçirildi. Bu veri sızıntısı, karşılıklı sigorta şirketleri için üçüncü taraf ödeme yönetimi konusunda uzmanlaşmış iki Fransız operatör olan Viamedys ve Almerys’in uğradığı siber saldırılarla açıklanıyor.
CNIL meseleyi kendi eline alıyor
Kişisel verilerin korunmasından sorumlu Fransız polisi, 7 Şubat’ta yayınlanan basın açıklamasında şunları belirtti: “ İlgili veriler, sigortalı ve ailesi için medeni hal, doğum tarihi ve Sosyal Güvenlik numarası, sağlık sigortasının adı ve imzalanan sözleşmenin teminatlarıdır. “. Daha önce saldırıya uğrayan iki şirket tarafından güvence altına alındığı üzere, banka bilgileri, tıbbi veriler, sağlık geri ödeme ayrıntıları, posta iletişim bilgileri, telefon numaraları ve e-posta adresleri ” bu uzlaşmadan hiçbir şekilde etkilenmez “.
Önümüzdeki haftalarda düzenleyici kurum, iki şirket tarafından uygulanan güvenlik önlemlerinin siber saldırılarla mücadeleye uygun olup olmadığını öğrenmek için çalışacak. CNIL, yalnızca etkilenen iki şirketin etkilenen herkesi bireysel ve doğrudan bilgilendirme hakkına sahip olduğunu belirtmek istedi. Düzenleyici, kişisel verilerin korunmasına ilişkin genel düzenlemeler (GDPR) uyarınca bunun yapılmasını sağlayacaktır ” mümkün olan en kısa sürede “.
Verilerimiz sızdırıldığında ne yapmalıyız?
Bir kişinin veri sızıntısından etkilenmesi durumunda CNIL, bu kişilerin özellikle sağlık masraflarının geri ödenmesiyle ilgili olarak alabilecekleri talepler konusunda dikkatli olmalarını tavsiye ediyor. Yetkili şunu belirtiyor: “ İletişim verileri ihlalden etkilenmese de ihlal edilen verilerin önceki veri ihlallerinden elde edilen diğer bilgilerle birleştirilmesi mümkündür. “. Ayrıca etkilenenleri hesaplarının etkinliklerini düzenli olarak kontrol etmeye davet ediyor.
Ocak ayının sonunda Viamedis bir siber saldırının kurbanı oldu. Siber saldırganlar, kurbanlarının veri yönetimi platformuna erişim sağlamak için bakıcıların kimliğine büründü. Böylece, 20 milyondan fazla sosyal güvenlik yararlanıcısının üçüncü taraf ödemelerini yöneten şirketin verilerinin bir kısmına erişebiliyorlar. Bu süreçte Alemrys de benzer bir işleyiş tarzına sahip bir bilgisayar saldırısına maruz kaldı.
İki şirketin bilgi sistemi, sağlık profesyonellerine yönelik portallarının aksine etkilenmedi. Her iki operatör de bunları geçici olarak devre dışı bıraktı. Viamedis’e gelince, grubun web sitesi bu Çarşamba günü hâlâ kapalı. SP Santé veya Actil gibi diğer üçüncü taraf ödeme yöneticilerinin etkilenmediği görülüyor.