Japonya'da Hastane Skandalı 510 Bin Kişi Tehlikede
Japonya'nın Hokkaido bölgesindeki hastanelerin eski sabit diskleri internette satılınca yarım milyondan fazla hastanın kişisel ve tıbbi verileri sızdı.
Ne Oldu
Japonya'nın kuzeyindeki Hokkaido adasından gelen haberler, siber güvenliğin en temel kurallarının nasıl hiçe sayıldığını bir kez daha gösteriyor. Bölgedeki bir dizi hastanenin başı, yarım milyondan fazla hastayı etkileyebilecek devasa bir veri sızıntısıyla dertte. Olayın merkezinde ise ne karmaşık bir hacker saldırısı ne de bir fidye yazılımı var. Sorun çok daha basit, çok daha elle tutulur ve belki de bu yüzden çok daha sinir bozucu: İkinci el pazarında satılan eski sabit diskler.
Edinilen bilgilere göre, Hokkaido'daki hastaneler birliğine bağlı sağlık kuruluşları, kullanım ömrü dolmuş bilgisayar donanımlarını elden çıkarmak istedi. Bu son derece standart bir prosedür. Ancak sürecin bir noktasında, inanılmaz bir ihmaller zinciri yaşandı. İçleri yüz binlerce hastanın en mahrem bilgileriyle dolu olan bu sabit diskler, olması gerektiği gibi imha edilmek yerine, bir şekilde internet üzerindeki ikinci el satış platformlarında kendilerine alıcı buldu. Olay, disklerden birini satın alan ve içindeki verileri fark eden bir teknoloji meraklısının durumu yetkililere bildirmesiyle ortaya çıktı. Şu anki tahminler, sızıntıdan etkilenen kişi sayısının 510,000'i bulabileceği yönünde. Bu, sadece bir rakam değil; bu, hayatları, mahremiyetleri ve güvenlikleri tehlikeye atılmış yarım milyon insan demek.
Ele Geçirilen Veriler
Sızan verilerin içeriği, olayın vahametini net bir şekilde ortaya koyuyor. Bu, basit bir isim-soyisim listesi değil. Çok daha ötesi. Ele geçirilen bilgiler arasında hastaların temel demografik verileri bulunuyor:
E-postanız sızdırıldı mı? Ücretsiz sorgulayın, saniyeler içinde öğrenin.
Hemen Sorgula →- Tam adları ve soyadları
- Ev ve iş adresleri
- Telefon numaraları ve e-posta adresleri
- Doğum tarihleri
- Japonya ulusal sağlık sigortası numaraları
Ancak asıl tehlike, bu temel bilgilerin yanında sızdırılan tıbbi kayıtlarda yatıyor. Bu kayıtlar, bir insanın en özel sırlarını, en savunmasız anlarını içeriyor. Bahsettiğimiz veriler şunlar:
- Tıbbi teşhisler (kanser, psikiyatrik bozukluklar, bulaşıcı hastalıklar gibi hassas bilgiler dahil)
- Geçmiş ve güncel tedavi planları
- Kullanılan ilaçların listesi ve reçete detayları
- Laboratuvar test sonuçları ve radyoloji raporları
- Doktor notları ve hasta öyküleri
Bu tür verilerin bir araya gelmesi, siber suçlular için adeta bir altın madeni. Kimlik hırsızlığı, hedefli oltalama (spear-phishing) saldırıları, şantaj ve sigorta sahtekarlığı gibi sayısız kötü niyetli eylem için kullanılabilir. Bir hastanın hassas bir hastalığıyla ilgili bilgi, ona şantaj yapmak için kullanılabilir. Ya da sigorta numarasıyla sahte tıbbi talepler oluşturulabilir. Tehlikenin boyutu gerçekten çok büyük.
Saldırının Nasıl Gerçekleştiği
Bu sızıntının arkasında, gölgelerde saklanan dahi bir hacker yok. Aksine, olay tamamen fiziksel güvenlik ve prosedürel bir fiyaskodan kaynaklanıyor. Süreç muhtemelen şöyle işledi: Hastaneler, eskiyen BT altyapılarını yenileme kararı aldı. Eskiyen sunucular, bilgisayarlar ve depolama üniteleri, imha edilmek üzere bir geri dönüşüm veya BT varlık yönetimi şirketiyle anlaşılarak teslim edildi. Standart prosedür, bu tür şirketlerin disklerdeki verileri ya özel yazılımlarla geri döndürülemez şekilde silmesini (data wiping) ya da diskleri fiziksel olarak parçalara ayırmasını (shredding) gerektirir.
Ancak bu vakada, aracı şirket görevini yapmadı. Ya maliyetten kısmak için ya da düpedüz bir ihmal sonucu, bu sabit diskleri silmeden veya imha etmeden doğrudan satışa çıkardı. Belki de bir çalışan, bu diskleri gizlice alıp sattı. Kesin neden henüz araştırılıyor. Fakat sonuç değişmiyor: Hastane verileriyle dolu diskler, Japonya'daki popüler online pazar yerlerinde, belki de tanesi birkaç dolara satıldı. Bu durum, siber güvenliğin sadece dijital kale duvarları inşa etmekten ibaret olmadığını, aynı zamanda elinizden çıkardığınız bir çöpün bile ne kadar büyük bir risk taşıyabileceğini acı bir şekilde hatırlatıyor. Veri yaşam döngüsü yönetimi denilen kavramın ne kadar hayati olduğu bir kez daha anlaşıldı. Veri yaratılır, kullanılır, depolanır ve en sonunda güvenli bir şekilde yok edilir. Bu zincirin son halkası koptuğunda, felaket kaçınılmaz oluyor.
Etkilenenler Kim
Sızıntının doğrudan hedefi, Hokkaido bölgesindeki bir grup hastanede belirli bir zaman aralığında tedavi görmüş, test yaptırmış veya muayene olmuş hastalar. Yetkililer henüz etkilenen hastanelerin tam listesini ve olayın hangi yılları kapsadığını net olarak açıklamadı, ancak soruşturma ilerledikçe bu bilgilerin kamuoyuyla paylaşılması bekleniyor. Etkilenenler sadece hastalarla da sınırlı değil. Hastane personeli, doktorlar ve diğer sağlık çalışanlarının da kişisel bilgilerinin bu disklerde yer alması kuvvetle muhtemel. Bu durum, sızıntının potansiyel kurbanlarının sayısını daha da artırıyor.
Hassas tıbbi bilgileri ifşa olan kişiler, sosyal damgalanma, iş yerinde ayrımcılık ve kişisel ilişkilerinde sorun yaşama riskiyle karşı karşıya. Özellikle küçük topluluklarda, bu tür bilgilerin yayılması insanların hayatını altüst edebilir. Bu nedenle, sızıntı sadece bir veri ihlali değil, aynı zamanda derin bir insani krize dönüşme potansiyeli taşıyor.
Ne Yapabilirsin
Eğer son birkaç yıl içinde Hokkaido'daki herhangi bir hastanede hizmet aldıysanız, bu haber sizi endişelendirmiş olabilir. İşte bu noktada atabileceğiniz bazı somut adımlar var. Bu, 'şifrenizi değiştirin' gibi klişe bir tavsiye listesi değil, doğrudan bu olaya yönelik bir eylem planı:
- Resmi Açıklamaları Bekleyin: İlk olarak, panik yapmayın. Hastane yönetiminden veya Japonya Sağlık Bakanlığı'ndan gelecek resmi açıklamaları takip edin. Etkilenen hastanelerin listesi ve hangi tarih aralığının risk altında olduğu açıklandığında, durumunuzu net bir şekilde değerlendirebilirsiniz.
- Şüpheli İletişime Dikkat: Önümüzdeki haftalar ve aylar boyunca, size gelen telefon, SMS ve e-postalara karşı aşırı dikkatli olun. Dolandırıcılar, sızan tıbbi bilgilerinizi kullanarak size özel ve inandırıcı senaryolarla yaklaşabilirler. Örneğin, "Kanser tedavinizle ilgili sigorta priminizde bir sorun tespit ettik, kredi kartı bilgilerinizi teyit etmeliyiz" gibi bir arama alabilirsiniz. Unutmayın, hiçbir resmi kurum sizden bu tür hassas bilgileri telefon veya e-posta yoluyla istemez.
- Finansal ve Tıbbi Hesaplarınızı Gözlemleyin: Banka hesap dökümlerinizi, kredi kartı harcamalarınızı ve sağlık sigortası bildirimlerinizi düzenli olarak kontrol edin. Adınıza yapılmış şüpheli bir harcama veya bilginiz dışında bir tıbbi talep olup olmadığını inceleyin.
- Genel Durumunuzu Kontrol Edin: Bu tür olaylar, verilerimizin ne kadar dağınık olduğunu gösterir. Genel bir güvenlik kontrolü yapmak için Veri Sızıntısı Sorgulama gibi servisleri kullanarak e-posta adresinizin başka sızıntılarda yer alıp almadığını öğrenebilirsiniz. Bu, dijital hijyen için iyi bir başlangıçtır.
- Gelişmeleri Takip Edin: Bu olayla ilgili en güncel bilgileri ve analizleri almak için güvenilir kaynakları ve Veri Sızıntısı Haberleri platformlarını takip etmek, sonraki adımlarınızı belirlemenize yardımcı olacaktır.
Şirket Ne Diyor
Olayın patlak vermesinin ardından, Hokkaido Hastaneler Birliği adına bir basın açıklaması yapıldı. Açıklamada, yaşanan olaydan dolayı "derin bir pişmanlık ve üzüntü" duyulduğu ifade edildi. Yönetim, hatanın kendilerinde değil, anlaştıkları BT varlık imha şirketinde olduğunu öne sürdü. Yapılan açıklamada, "Verilerin güvenli bir şekilde imhası için tüm yasal gereklilikleri içeren bir sözleşme imzaladığımız üçüncü parti firma, yükümlülüklerini yerine getirmemiştir. Bu kabul edilemez ihmal karşısında tüm yasal haklarımızı kullanacağız." denildi.
Birlik, etkilenen hastaların bilgi alabilmesi ve endişelerini dile getirebilmesi için özel bir telefon hattı ve web sitesi kurduğunu duyurdu. Ayrıca, olayın tüm boyutlarıyla aydınlatılması için bağımsız bir siber güvenlik ve adli bilişim firmasıyla anlaşıldığı da belirtildi. Ancak bu açıklamalar, mahremiyeti ihlal edilen ve verileri şu an kimin elinde olduğu bilinmeyen yüz binlerce insan için zayıf bir teselli olmaktan öteye geçemiyor.