Büyük bir sağlık kuruluşu bir veri ihlalini açıkladı mı?
Ascension 2024’te iki önemli ihlalin hedefi oldu mu?
Son olay, Cl0p fidye yazılımı saldırısıyla bağlantılı olabilir mi?
Büyük bir sağlık kuruluşu bir veri ihlalini açıkladı mı?
Ascension, ABD’nin en büyük özel sağlık sistemlerinden biri olarak, 2024 yılı Aralık ayında bir veri ihlali yaşadığını duyurdu. Bu saldırıda, hastalara ait kişisel kimlik bilgileri (PII) ve sağlık verileri çalındı. Olayın, eski bir iş ortağına yönelik daha önce kamuoyuna açıklanmayan bir siber saldırıyla bağlantılı olduğu belirtiliyor. Ascension, yaşanan durumu 5 Aralık 2024’te doğrulayarak, konuyla ilgili bir araştırma başlattığını bildirdi.
Ascension 2024’te iki önemli ihlalin hedefi oldu mu?
Evet, Ascension, 2024 yılında iki büyük veri ihlaline maruz kaldı. Mayıs ayında gerçekleşen bir fidye yazılımı saldırısı sırasında 6 milyon hastanın hassas verileri çalındı. Bu durum, Ascension’ın sistemlerini kapatmasına, ambulansları yönlendirmesine ve bazı bölgelerde elektif bakım hizmetlerini durdurmasına neden oldu. Ascension, yaşanan bu olayın ardından Mayıs ve Aralık içinde yaşanan ihlalleri dikkate alarak güvenlik önlemlerini tekrar gözden geçirdi.
Son olay, Cl0p fidye yazılımı saldırısıyla bağlantılı olabilir mi?
Son veri ihlalinin, Cl0p fidye yazılımı saldırısıyla bağlantılı olabileceği düşünülüyor. Cleo File Transfer yazılımındaki bir güvenlik açığının bu saldırıda kötüye kullanıldığına dair iddialar mevcut. Ascension, 21 Ocak 2025’te yaptığı açıklamada, eski bir iş ortaklarına ait bilgilerin bazı güvenlik açıkları nedeniyle açıkça ihlal edildiğini açıkladı. Bu durum, bireylerin kimlik hırsızlığı veya sosyal mühendislik saldırılarına maruz kalma riskini artırıyor.
Siber saldırganlar, çift hafıza kartı verilerini aleyhine kullanarak ilk bağlantılarını elde edip daha sonra bu bilgileri kullanarak hastaların kimlik bilgilerine ulaşabilir. Özellikle, Sosyal Güvenlik numaralarının (SSN) da dahil olduğu bu tür verilere erişim sağlandığında, hedef alınan bireylerin kimlik hırsızlığına uğraması oldukça kolaylaşmaktadır. Ascension, etkilenenler için iki yıllık ücretsiz kimlik izleme hizmeti sunma kararı aldı; bu hizmet, kredi izleme, dolandırıcılık danışmanlığı ve kimlik hırsızlığı kurtarma işlemlerini içermektedir.
Veri ihlalinin diğer detayları hakkında kesin bilgiler olmamakla birlikte, olayın zamanlaması ve açıklamaları, Ascension’ın yaşadığı bu sorunun Cl0p fidye yazılımı tarafından gerçekleştirilen saldırılarla bağlantılı olabileceğini gösteriyor. Böylece sağlık kuruluşunun müşteri verileri kötü niyetli aktörler tarafından söz konusu güvenlik açığından yararlanılarak çalınmış olabilir.
Son olarak, Cl0p grubunun bu olayda 59 farklı kuruluşun hedef alındığını iddia ettiği belirtiliyor. Bu durum, Ascension’ın da bu lista içinde yer alabileceği anlamına geliyor. Böylelikle, sağlık sektöründe yaşanan veri ihlalleri, sadece bu tür kuruluşların değil, aynı zamanda hastaların da güvenliğini tehlikeye atmaktadır.
Aslında, sağlık kuruluşlarının veri güvenliği konusundaki hassasiyetleri, hasta bilgilerini koruma yükümlülükleri nedeniyle büyük bir dikkat gerektirir. Sağlık verisinin etik olarak nasıl ele alınacağı, hem sağlık hizmeti sunucuları hem de hastalar için kritik bir mesele haline gelmiştir.
