Ascension veri ihlali: 5,6 milyon hastayı etkileyen olayda insan hatası öne çıktı!

Genel bakış: Sağlık sektörü, istismar edilebilir verilerin bolluğu ve birçok sağlayıcıyı etkileyen genellikle yetersiz siber güvenlik önlemleri göz önüne alındığında, siber suçlular için kazançlı bir hedef haline geldi. Ülke çapında 118 hastane ve yüzlerce başka tesis işleten Ascension, boyutuna ve kaynaklarına rağmen bu büyüklükte bir saldırıya karşı hazırlıksızdı.

Amerikan sağlık devi, 20 Aralık’ta Maine Başsavcılığı’na sunduğu başvuruda, bu yılın başlarında gerçekleşen siber saldırıda 5,6 milyon kişinin kişisel ve tıbbi verilerinin ifşa edildiğini açıkladı .

Ascension’a göre ihlal 29 Şubat’ta gerçekleşti ancak 8 Mayıs’a kadar tespit edilemedi. Saldırı, bilgisayar korsanlarının ödeme bilgileri, sigorta bilgileri, Sosyal Güvenlik numaraları, adresler ve doğum tarihleri ​​gibi çok sayıda hassas bilgiye erişmesine olanak tanıdı. Ascension, hasta elektronik sağlık kayıtlarının doğrudan tehlikeye atıldığına dair hiçbir kanıt olmadığını belirtse de, ihlalin ölçeği endişe verici olmaya devam ediyor.

Büyük bir sağlık sisteminin böylesine ciddi bir saldırıya nasıl kurban gittiğine gelince, klasik bir hataya dayanıyordu: Bir çalışan yanlışlıkla meşru gibi görünen kötü amaçlı bir dosyayı indirdi. Sağlık hizmeti sağlayıcısı Haziran ayında bunun “dürüst bir hata” olduğunu kabul etti.

Siber saldırı, Ascension’ı bazı tesislerdeki ameliyatları ve randevuları ertelemeye zorlarken, diğerleri ambulansları geri çevirmek zorunda kaldı. Hastalar uzun bekleme süreleri yaşadı ve birçok tesis, ihlalden haftalar sonra elektronik kayıtlara erişemedi. Şirket şimdi, gecikmiş prosedürleri yeniden planlamak ve toparlanmak için çalıştığını söylüyor.

Finansal etki de önemliydi. Ascension, 2023’e kıyasla Mayıs ve Haziran aylarında hasta hacminde %8-12’lik bir düşüş bildirdi ve bu düşüşü doğrudan saldırının neden olduğu kesintilere bağladı.

Durumu daha da kötüleştiren şey, ihlalin 2024’ün başlarında 100 milyondan fazla Amerikalının verilerini tehlikeye atan benzeri görülmemiş Change Healthcare siber saldırısının hemen ardından gerçekleşmesiydi. ABD tarihindeki en zararlı sağlık hizmeti saldırısı olarak kabul edilen bu olay, Ascension’ı da etkiledi.

Ascension, bu iki büyük ihlale yanıt olarak, “gelecekteki olaylara karşı kendini daha iyi korumak” için talep takas merkezlerini çeşitlendirdiğini söylüyor.

Bu ihlal, etkilenen kişi sayısı bakımından şimdiye kadar bildirilen en büyük altıncı sağlık verisi ihlali olarak kayıtlara geçti.

Genel olarak fidye yazılımı saldırıları artışta ve 2024’ün rekor kıran bir yıl olması bekleniyor. Ayrıca giderek daha maliyetli hale geliyorlar. Son bir rapora göre, ortalama fidye ödemesi geçen yıl 2,54 milyon dolara yükseldi – bir önceki yılın 62.500 dolarlık ortalamasından 41 kat daha fazla.