Sağlık verileri mi çalındı? Şimdi ne olacak?

Sağlık verileri bilgisayar korsanları için değerli bir hedef olmaya devam ederken kendi sağlık verilerinizi etkileyen bir ihlalin zararlarını en aza indirmek için hangi adımları atmamız gerekir

Dijital dönüşüm, dünyanın dört bir yanındaki sağlık hizmeti sağlayıcılarının daha uygun maliyetli hale gelmesine yardımcı olurken hasta bakım standartlarını da iyileştiriyor. Ancak sağlık kayıtlarının dijitalleştirilmesi bazı önemli siber riskleri de beraberinde getiriyor. Verileriniz internet üzerinden erişilebilen BT sistemlerinde depolandıktan sonra yanlışlıkla sızdırılabilir veya kötü niyetli üçüncü taraflar ve hatta içeriden kişiler tarafından erişilebilir.  

Tıbbi veriler, kuruluşlarla paylaştığımız en hassas bilgiler arasındadır. Bu nedenle GDPR tarafından “özel kategori” statüsü verilmiştir yani ek korumalar gereklidir. Ancak hiçbir kuruluş %100 ihlal geçirmez değildir. Bu da sonuçları en aza indirmek için verilerinizin tehlikeye girmesi durumunda ne yapmanız gerektiğini anlamanızın her zamankinden daha önemli olduğu anlamına geliyor. 

En kötü durum senaryosu  

Hükümet rakamlarına göre, 2023 yılının ilk 10 ayında ABD’de 88 milyondan fazla kişinin tıbbi verileri açığa çıktı. Hasta mahremiyeti yasası HIPAA tarafından düzenlenmeyen kuruluşlar hesaba katıldığında bu sayı daha da yüksek olabilir.  

Son yıllarda meydana gelen olaylardan en önemlileri şunlardır: 

• Şubat 2024‘te büyük bir fidye yazılımı ihlaline uğrayan Change Healthcare. ABD’li sağlık kuruluşu sadece büyük bir operasyonel aksaklık yaşamakla kalmadı aynı zamanda saldırganların (Black Cat/ALPHV) saldırı sırasında 6TB veri çaldığını da iddia etti. Change Healthcare’in sözde 22 milyon dolarlık fidyeyi ödemesinden kısa bir süre sonra fidye yazılımı grubu kapanmış olsa da saldırıdan sorumlu fidye yazılımı iştiraki, verileri en yüksek teklifi verene satmakla tehdit ederek şirketi tekrar gasp etmeye çalıştı. 

• Ruh sağlığı girişimi Cerebral, 3,1 milyon kişiye ait son derece hassas tıbbi bilgileri yanlışlıkla internete sızdırdı. Firma geçtiğimiz yıl, üç yıl boyunca müşteri ve kullanıcı verilerini yanlış yapılandırılmış pazarlama teknolojisi aracılığıyla “üçüncü taraf platformlar” ve “alt yüklenicilerle” yanlışlıkla paylaştığını kabul etti.  

Sağlık verileri hangi riskleri taşıyor? 

Potansiyel olarak risk altında olan tıbbi veriler arasında sizin verileriniz de bulunmaktadır: 

• Sağlık sigortası poliçe numaraları veya benzeri 

• Sosyal Güvenlik numarası, ev ve e-posta adresi ve doğum tarihi dahil olmak üzere kişisel olarak tanımlanabilir bilgiler (PII)  

• Önemli tıbbi, sigorta ve finansal hesapların parolaları 

• Tedaviler ve reçeteler dahil tıbbi geçmiş 

• Kredi ve banka kartı ile banka hesap bilgileri dahil olmak üzere fatura ve ödeme bilgileri 

Bu bilgiler tehdit aktörleri tarafından kredi kartınızdan fatura tahsil etmek, yeni kredi limitleri açmak, banka hesabınıza erişmek ve hesabınızı boşaltmak ya da pahalı tıbbi hizmetler ve reçeteli ilaçlar almak için sizi taklit etmek için kullanılabilir. ABD’de sağlık kayıtları, indirim elde etmek amacıyla hileli vergi beyannamesi vermek için bile kullanılabilir. Ve eğer gizli kalmasını istediğiniz tedaviler veya teşhisler hakkında hassas bilgiler varsa kötü niyetli kişiler size şantaj yapmaya bile çalışabilir. 

Sağlık verileri ihlalinin ardından atılacak 8 adım 

Kendinizi en kötü durum senaryosunun içinde bulduğunuzda soğukkanlılığınızı korumanız önemlidir. Aşağıdaki başlıklara dikkat edin:  

1. Bildirimi kontrol edin 

Potansiyel bir dolandırıcılık belirtisi olup olmadığını anlamak için e-postayı dikkatlice okuyun. Bu işaretler arasında yazım ve dil bilgisi hataları ile bilgilerinizi ‘onaylamanızı’ isteyerek kişisel bilgilerinize yönelik acil talepler yer almaktadır. Ayrıca “kimden” adresinin üzerine geldiğinizde meşru şirketle eşleşmeyen bir gönderen e-posta adresinin yanı sıra, takip etmeniz için teşvik edilen gömülü tıklanabilir bağlantılara veya indirmeniz istenen eklere dikkat edin. 

2. Tam olarak ne olduğunu öğrenin 

Bir sonraki kritik adım, maruz kaldığınız riski anlamaktır. Tam olarak hangi bilgiler tehlikeye girdi? Olay kazara bir veri sızıntısı mıydı yoksa kötü niyetli üçüncü taraflar verilerinize erişip çaldı mı? Ne tür bilgilere erişilmiş olabilir? Şifrelenmiş miydi? Sağlayıcınız bu soruları yeterince yanıtlamadıysa sonraki adımları atmanız için gereken bilgileri almak üzere onları arayın. Hala net değilse en kötüsü için plan yapın. 

İLGİLİ MAKALE: Siber suçluların kişisel verilerinizi istemesinin 7 nedeni 

3. Hesaplarınızı izleyin 

Kötü niyetli kişiler PII ve tıbbi bilgilerinize erişmişlerse bunları dolandırıcılara satabilir veya kendileri kullanmaya çalışabilirler. Her iki durumda da almadığınız bakım için tıbbi faturalar veya sigorta yardım limitinize ulaştığınızı belirten bildirimler gibi şüpheli faaliyetleri izlemek faydalı olacaktır. Finansal bilgileriniz ele geçirilmişse banka hesabı ve kart işlemlerini takip edin. Birçok kuruluş, kredi raporlarınızda dolandırıcılığa işaret edebilecek herhangi bir güncelleme veya değişiklik olduğunda sizi bilgilendiren ücretsiz kredi izleme hizmeti sunmaktadır. 

4. Şüpheli faaliyetleri bildirin 

Şüpheli faaliyetleri veya faturalandırma hatalarını derhal ilgili sağlayıcıya bildirmeniz gerektiğini söylemeye gerek yok. Bunu yazılı olarak yapmanın yanı sıra sigortacınıza/sağlayıcınıza e-posta/telefon yoluyla bildirmeniz en iyisidir. 

5. Kredi ve kartlarınızı dondurun 

Hangi kişisel bilgilerinizin çalındığına bağlı olarak, bir kredi dondurma işlemini etkinleştirmek isteyebilirsiniz. Bu, alacaklıların kredi raporunuza erişemeyeceği ve dolayısıyla adınıza herhangi bir yeni kredi hesabını onaylayamayacağı anlamına gelecektir ve tehdit aktörlerinin sizin adınıza borçlanmasını önleyecektir. Ayrıca yeni banka kartlarını dondurmayı ve/veya çıkarttırmayı da düşünün. Bu genellikle bankacılık uygulamanız üzerinden kolayca yapılabilir. 

6. Parolalarınızı değiştirin 

Oturum açma bilgileriniz bir ihlalde tehlikeye girdiyse ilgili sağlayıcı bunları otomatik olarak sıfırlamalıdır. Ancak sıfırlanmadıysa içinizin rahat etmesi için bunu yine de manuel olarak yapmanız faydalı olabilir. Bu, hesap ele geçirme girişimlerini önleyecektir, özellikle de iki faktörlü kimlik doğrulama ile güvenliğinizi artırıyorsanız. 

7. Tetikte olun  

Dolandırıcılar kişisel ve tıbbi bilgilerinizi ele geçirirlerse bunları takip eden kimlik avı saldırılarında kullanmaya çalışabilirler. Bunlar e-posta, metin veya hatta canlı telefon görüşmeleri yoluyla başlatılabilir. Amaç, çalınan bilgileri finansal bilgiler gibi daha fazla kişisel bilgi taleplerine meşruiyet katmak için kullanmaktır. Tetikte olun. Ve eğer bir tehdit aktörü sizi hassas tıbbi bilgilerinizi ifşa etmekle tehdit ederek şantaj yapmaya çalışırsa derhal polise başvurun. 

8. Yasal işlem yapmayı düşünün 

Verileriniz sağlık hizmeti sağlayıcınızın ihmali nedeniyle tehlikeye atıldıysa bir tür tazminat için sıraya girebilirsiniz. Bu, yargı yetkisine ve ilgili yerel veri koruma/gizlilik yasalarına bağlı olacaktır ancak bir hukuk uzmanı bireysel veya toplu bir davanın mümkün olup olmadığı konusunda tavsiyede bulunabilmelidir. 

Son olmayacak 

Tıbbi kayıtların siber suç dünyasında kredi kartı bilgilerinin 20 katı fiyatına alıcı bulabildiği göz önüne alındığında siber suçluların yakın zamanda sağlık kuruluşlarını hedef almaktan vazgeçmesi pek olası görünmüyor. Fidye yazılımı yoluyla milyonlarca dolarlık ödemeleri zorlayabilmeleri, sektörü daha da cazip bir hedef haline getiriyor. Bu nedenle en kötüsüne hazırlıklı olmanız ve ruh sağlığınıza, gizliliğinize ve mali durumunuza gelebilecek zararı en aza indirmek için tam olarak ne yapmanız gerektiğini bilmeniz gerekir.