Bir siber güvenlik şirketinin eski işletme müdürü, şirketinin işlerini artırmak için Haziran 2021’de Gwinnett Tıp Merkezi’nin (GMC) bir parçası olan iki hastaneyi hacklemekten suçlu olduğunu kabul etti. Sağlık sektörüne hizmet veren bir ağ güvenliği şirketi olan Securolytics’te çalışan Vikas Singla, savcıların Haziran 2021 iddianamesinde belirttiği gibi, ABD Duluth ve Lawrenceville’deki GMC Northside Hospital hastanelerinin sistemlerini hacklemekten suçlu bulundu.
Hacker, 27 Eylül 2018 tarihinde gerçekleştirdiği saldırı sırasında sağlık kuruluşunun telefon ve ağ yazıcısı hizmetlerini kesintiye uğratmış ve GMC’nin Lawrenceville hastanesindeki bir mamografi makinesine bağlı Hologic R2 Digitizer sayısallaştırma cihazından 200’den fazla hastanın kişisel bilgilerini çalmıştı. Singla aynı gün Duluth’taki GMC hastanesinde 200’den fazla yazıcıyı kullanarak çalıntı hasta bilgilerini ve “SİZİ ELE GEÇİRDİK” mesajlarını basmıştı.
Suç duyurusunda, “Sanık, Securolytics’e iş yaratmak için Digitiaze’den yetkisiz olarak elde edilen bilgilerin yayınlanmasına neden olmak da dahil olmak üzere saldırı hakkında kamuoyu yaratmaya ve kullanmaya çalışmıştırr” deniliyor. Singla, GMC saldırısını Twitter’da “tanıttı” ve ihlalde verileri çalınan 43 hastanın isimlerini, doğum tarihlerini ve cinsiyetlerini tweetledi. Securolytics ayrıca Singla’nın saldırısından sonra potansiyel müşterilere ulaşarak e-postalarda GMC olayını vurguladı.
FBI Atlanta’dan Sorumlu Özel Ajan Chris Hacker, “Bir hastaneye yapılan bu siber saldırı sadece feci sonuçlar doğurmakla kalmamış, aynı zamanda hastaların kişisel bilgileri de tehlikeye atılmıştır” diyor ve ekliyor: “FBI ve kolluk kuvvetlerindeki ortaklarımız, açgözlülükle hareket ederek insanların sağlık ve güvenliğini riske attığı iddia edilen kişileri sorumlu tutmaya kararlıdır.”
Singla 17 kez korumalı bir bilgisayara kasıtlı olarak zarar vermek ve bir kez de korumalı bir bilgisayardan bilgi edinmekle suçlanıyor. Savcılar, sanığın GMC’nin ASCOM telefon sistemine, yazıcılarına ve sayısallaştırıcısına yaptığı saldırının 817.000 dolardan fazla mali kayba yol açtığını belirtiyor. Sanık Singla, itiraf anlaşmasının bir parçası olarak Lawrenceville’deki Northside Gwinnett Hastanesine ve Ace American Sigorta Şirketine 817.000 $ artı faiz ödemeyi kabul etti.
Savcılar, Singla’ya “nadir görülen ve tedavisi mümkün olmayan bir kanser türü” ve “potansiyel olarak tehlikeli bir damar rahatsızlığı” teşhisi konulduğu ve sanığın uygun tıbbi bakımı alabilmesi için “hapsedilmeye alternatif olarak evde gözetim altında tutulmasını” gerektirdiği gerekçesiyle, ev hapsi de dahil olmak üzere 57 ay gözetim altında tutulma cezası önerecek. Davanın karar duruşması ise 15 Şubat 2024 tarihinde görülecek.
Uzmanlar, Singla vakasından bağımsız olarak son dönemde özellikle ABD’li sağlık gruplarında arka arkaya yaşanan fidye yazılım saldırılarına dikkat çekerek bu sektörde siber güvenlik açısından kat edilmesi gereken çok yol olduğunu belirtiyorlar.
