ABD’nin Michigan eyaletinde 14 hastaneye sahip sağlık hizmetleri firması McLaren Health Care, bu yılın başında gerçekleşen bir siber saldırı sırasında 2,2 milyon hastanın hassas kişisel ve sağlık bilgilerinin ele geçirildiğini doğruladı. Siber saldırının sorumluluğunu ise bir başka sağlık hizmetleri devi Henry Schein ve otel-kumarhane devi Caesars’a başarılı saldırılar düzenleyen BlackCat fidye yazılım çetesi üstlendi.
Maine başsavcılığına sunulan yeni bir veri ihlali bildiriminde McLaren Health Care, bilgisayar korsanlarının 28 Temmuz’dan 23 Ağustos’a kadar sistemlerinde üç hafta boyunca bulunduğunu ve sağlık şirketinin bir hafta sonra 31 Ağustos’ta bunu fark ettiğini ifade ediyor. McLaren, fidye yazılım kullanan bilgisayar korsanlarının hasta isimleri, doğum tarihleri, Sosyal Güvenlik numaraları, faturalandırma, talepler ve teşhis bilgileri, reçete ve ilaç ayrıntıları ile teşhis sonuçları ve tedavilerle ilgili bilgiler de dahil olmak üzere çok sayıda tıbbi bilgiye eriştiklerini söyledi. Yapılan açıklamaya göre ABD sağlık hizmetleri Medicare ve Medicaid hastalarının bilgileri de çalınmış.
McLaren, Michigan’da 14 hastanesi ve yaklaşık 28.000 toplam çalışanı olan bir sağlık hizmeti sağlayıcısı. Maliyet verimliliği önlemlerini öne çıkaran McLaren Health Care grubu, 2022 yılında 6 milyar doların üzerinde gelir elde etmişti. Olayla ilgili haberler Ekim ayında Alphv fidye yazılımı çetesinin (BlackCat olarak da bilinir) siber saldırının sorumluluğunu üstlenerek milyonlarca hastanın kişisel bilgilerini ele geçirdiğini iddia etmesiyle ortaya çıkmıştı.
Siber saldırının ortaya çıkmasından günler sonra Michigan başsavcısı Dana Nessel, eyalet sakinlerini ihlalin “çok sayıda hastayı etkileyebileceği” konusunda uyardı. Sağlık hizmetleri grubu ise saldırıyı doğrulamakla birlikte kendilerinden bir fidye talep edilmediği ve bu talebi karşılayıp karşılamadıkları konusunda herhangi bir açıklama yapmıyor. Bununla birlikte, BlackCat grubunun siber saldırıya dair sorumluluğu üstlenmesi ve fidye yazılım aracılığıyla 6 terabyte veri ele geçirdiklerini açıklamasının ardından, McLaren Health Care grubu aleyhine 3 farklı dava açılmıştı. Hasta ve hasta yakınlarının açtıkları davada şirket yeterli önlemleri almamak ve veri ihlali sonrası gerekli bildirimleri yapmamakla suçlanıyor.
