OCR 2023 Raporu ABD Sağlık Sektöründe Rekor Veri İhlali Dedi – Veri Sızıntısı
Live
Sorgula
Kurumsal
Hakkımızda Kurucunun Notu Basın & Medya Gizlilik Politikası Kullanım Koşulları SSS Basın Kiti
Ürünler
HUBOne HUBCorp Yakında Veri Sızıntısı Android Yakında Veri Sızıntısı iOS Yakında Veri Sızıntısı Huawei Yakında Breach Radar Argus Flow Argus Engine LivePlatform
Teknolojiler
Argus AI Nedir? HUBOne'da Dene Argus Flow Nedir? Argus Engine Nedir?
Blog İletişim

OCR 2023 Raporu Sağlık Sektöründeki Veri İhlallerini Açıkladı

ABD Sağlık ve İnsan Hizmetleri Bakanlığı Medeni Haklar Ofisi (OCR), 2023 yılında sağlık sektöründe rekor sayıda veri ihlali yaşandığını ve yaklaşık 135 milyon kişinin etkilendiğini Kongre'ye sunduğu raporla açıkladı.

OCR 2023 Raporu Sağlık Sektöründeki Veri İhlallerini Açıkladı

Olayın Özeti

Amerika Birleşik Devletleri Sağlık ve İnsan Hizmetleri Bakanlığı'na (HHS) bağlı Medeni Haklar Ofisi (OCR), 2023 takvim yılına ait yıllık raporlarını Kongre'ye sundu. Bu raporlar, Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA) uyumluluğu ve veri ihlallerine ilişkin endişe verici bir tablo ortaya koyuyor. Rapora göre, 2023 yılı, 500'den fazla kişiyi etkileyen büyük veri ihlallerinin sayısı açısından rekor bir yıl oldu. Toplamda 725 büyük ihlal bildirildi ve bu ihlaller sonucunda yaklaşık 135 milyon kişinin korunan sağlık bilgileri (PHI) ifşa oldu. Bu rakam, 2022'ye kıyasla etkilenen kişi sayısında %141'lik şok edici bir artışa işaret ediyor.

Sızdırılan Veriler ve Kapsam

Sağlık sektörü veri ihlallerinde sızdırılan veriler, son derece hassas ve kişisel bilgiler olan Korunan Sağlık Bilgileri'ni (PHI) içermektedir. HIPAA kapsamında korunan bu veriler, bir kişinin tıbbi geçmişi, teşhisleri, tedavileri ve sigorta bilgileri gibi özel detayları barındırır. 2023'te yaşanan ihlallerde ifşa olan veri türleri genellikle şunları kapsamaktadır:

  • Kişisel Tanımlayıcı Bilgiler: Ad, soyadı, doğum tarihi, adres, Sosyal Güvenlik numarası gibi temel kimlik bilgileri.
  • Tıbbi Bilgiler: Teşhisler, tedavi kayıtları, reçete bilgileri, laboratuvar sonuçları ve doktor notları.
  • Sağlık Sigortası Bilgileri: Poliçe numaraları, grup numaraları ve sigorta talepleriyle ilgili veriler.
  • Finansal Bilgiler: Tıbbi hizmetler için yapılan ödemelerle ilişkili fatura bilgileri ve bazen kredi kartı numaraları.

İhlallerin kapsamı oldukça geniştir. Rapor, 725 büyük çaplı ihlalin yaşandığını belirtiyor; "büyük çaplı" terimi, 500 veya daha fazla kişinin verilerinin etkilendiği olayları tanımlamak için kullanılıyor. Ancak asıl endişe verici olan, bu ihlallerden etkilenen toplam kişi sayısının 134.834.163'e ulaşmasıdır. Bu, ABD nüfusunun önemli bir bölümünün hassas sağlık verilerinin siber suçluların eline geçmiş olabileceği anlamına gelmektedir. Bu durum, sağlık sektörünün siber güvenlik alanındaki zafiyetlerini ve giderek artan tehditleri gözler önüne sermektedir.

E-postanız sızdırıldı mı? Ücretsiz sorgulayın, saniyeler içinde öğrenin.

Hemen Sorgula →

Saldırının Teknik Boyutu

OCR raporu, veri ihlallerinin temel nedenlerini de detaylandırmaktadır. 2023'teki ihlallerin büyük çoğunluğu, dış kaynaklı siber saldırılardan kaynaklanmıştır. Teknik olarak, olayların arkasındaki ana faktörler şunlardır:

Siber Saldırılar ve Bilişim Olayları: Rapor, 2023'te bildirilen ihlallerden etkilenen yaklaşık 135 milyon kişinin %80'inin, yani yaklaşık 108 milyon kişinin, siber saldırılar (hacking) ve bilişim olayları sonucu mağdur olduğunu göstermektedir. Bu kategori, siber suçluların sağlık kuruluşlarının ağlarına ve sistemlerine aktif olarak sızmasını içerir. En yaygın saldırı vektörleri arasında fidye yazılımı (ransomware) saldırıları, oltalama (phishing) kampanyaları ve yazılım güvenlik açıklarının istismar edilmesi yer almaktadır. Fidye yazılımı saldırılarında, saldırganlar sistemlerdeki verileri şifreleyip erişilemez hale getirir ve verileri geri vermek ya da internette yayınlamamak için fidye talep eder.

Yetkisiz Erişim ve İfşa: İkinci en yaygın neden ise yetkisiz erişim veya ifşadır. Bu tür olaylar genellikle kurum içinden kaynaklanır. Örneğin, bir çalışanın yetkisi olmayan hasta kayıtlarına bakması veya hassas verilerin yanlışlıkla e-posta ile ilgisiz bir kişiye gönderilmesi bu kapsama girer. Bu tür olaylar daha sık yaşansa da, genellikle büyük çaplı siber saldırılara kıyasla daha az sayıda kişiyi etkilemektedir.

Verilerin en çok çalındığı yerin ise ağ sunucuları (network servers) olduğu belirtilmiştir. Bu durum, saldırganların tek bir bilgisayar yerine, kurumun tüm verilerinin depolandığı merkezi sistemleri hedef aldığını göstermektedir. Bu da tek bir başarılı saldırıyla milyonlarca kişinin verisine ulaşılabilmesini açıklamaktadır. Gündemdeki Veri Sızıntısı Haberleri de genellikle bu tür büyük ölçekli sunucu saldırılarını içermektedir.

Etkilenen Kullanıcılar Kimler

Bu raporda belirtilen veri ihlallerinden etkilenenler, 2023 yılında ABD'deki çeşitli sağlık hizmeti sağlayıcılarından, sağlık sigortası planlarından veya bu kuruluşların iş ortaklarından hizmet alan hastalardır. Kısacası, ABD'de yaşayan ve tıbbi tedavi gören, sigortalı olan veya herhangi bir sağlık hizmeti alan milyonlarca insan potansiyel olarak etkilenmiştir. Etkilenenler tek bir hastane veya sigorta şirketinin müşterileri değil, ülke genelindeki 725 farklı kurumun hastaları ve üyeleridir. Bu nedenle, belirli bir coğrafi bölge veya demografik grupla sınırlı kalmayan, oldukça yaygın bir etki söz konusudur.

Ne Yapmalısınız

Verilerinizin bu ihlallerden birinde sızdırılıp sızdırılmadığını doğrudan bilmek zordur. HIPAA kuralları gereği, verileri sızdırılan kişilerin ilgili sağlık kurumu tarafından bilgilendirilmesi zorunludur. Ancak genel bir önlem olarak tüm bireylerin aşağıdaki adımları atması tavsiye edilir:

  • Hesap Ekstrelerinizi Kontrol Edin: Banka ve kredi kartı hesaplarınızı düzenli olarak kontrol ederek şüpheli işlemleri anında tespit edin.
  • Sağlık Sigortası Beyanlarınızı İnceleyin: Sağlık sigortanızdan gelen Fayda Açıklaması (EOB) belgelerini dikkatle inceleyin. Sizin almadığınız tıbbi hizmetler için yapılmış talepler, tıbbi kimlik hırsızlığının bir işareti olabilir.
  • Oltalama (Phishing) Saldırılarına Karşı Dikkatli Olun: Siber suçlular, çaldıkları kişisel bilgileri kullanarak size özel oltalama e-postaları gönderebilir. Şüpheli görünen, kişisel bilgi veya parola isteyen e-postalardaki linklere tıklamayın.
  • Kredi Raporlarınızı İzleyin: Üç büyük kredi bürosundan (Equifax, Experian, TransUnion) düzenli olarak kredi raporlarınızı kontrol ederek adınıza açılmış tanımadığınız hesaplar olup olmadığını denetleyin. Gerekirse bir kredi dondurma işlemi başlatmayı düşünebilirsiniz.

Şirketin Açıklaması

Bu olayda "şirket", denetleyici ve düzenleyici kurum olan Medeni Haklar Ofisi'dir (OCR). OCR, raporunda durumu tüm şeffaflığıyla ortaya koymuş ve HIPAA uyumluluğunu sağlamak için yürüttüğü faaliyetler hakkında bilgi vermiştir. OCR, 2023 yılında HIPAA kurallarının ihlaliyle ilgili 34.747 yeni şikayet aldığını ve önceki yıllardan devredenlerle birlikte toplam 34.879 şikayeti çözüme kavuşturduğunu belirtmiştir. Bu şikayetlerin %98'i, resmi bir soruşturma gerektirmeden, kurumların gönüllü olarak uyumluluğu sağlamasıyla çözülmüştür.

Ayrıca, OCR 2023 yılında 19 HIPAA yaptırım eylemi gerçekleştirmiş ve bu eylemler sonucunda toplam 4.176.500 dolar para cezası kesmiştir. Raporda, HITECH Yasası uyarınca toplanan bu cezaların bir kısmının gelecekte veri ihlali mağdurlarına tazminat olarak ödenmesi planlandığı ancak bu mekanizmanın henüz tam olarak hayata geçirilmediği de belirtilmiştir. OCR'nin bu raporu, bir yandan durumun ciddiyetini vurgularken, diğer yandan denetim ve yaptırım mekanizmalarının işlediğini göstermeyi amaçlamaktadır.

Kaynak

https://www.hipaajournal.com/ocr-reports-congress-hipaa-compliance-data-breaches-2023/

Bu Yazıyı Paylaş
X LinkedIn WhatsApp
← Önceki Yazı West Pharmaceutical Siber Saldırı Kurbanı Oldu Sonraki Yazı → Instructure Canvas Veri Sızıntısı Hükümet Gözetiminde

Haftalık Bülten

Her hafta seçilmiş veri ihlali haberleri doğrudan gelen kutunuza gelsin.