Eyalet düzenleyicilerine, bu yılın başlarında Conduent’teki bir veri ihlalinden 10 milyondan fazla hastanın etkilendiği bilgisi verildi. Şirket, Menkul Kıymetler ve Borsa Komisyonu’na (SEC) 8-K başvurusunda bulunarak olayın 2024’ün sonlarında başladığını ve Ocak 2025’e kadar devam ettiğini ortaya koydu.
Conduent, 21 Ekim 2024 ile 13 Ocak 2025 tarihleri arasında yetkisiz bir aktörün dijital ortamına eriştiğini ve hastaların kişisel verilerini içeren dosyaları ele geçirdiğini ortaya çıkardı. Şirket, ele geçirilen verilerin belirli ayrıntılarını açıklamamış olsa da, dosyalar isimleri, doğum tarihlerini, Sosyal Güvenlik numaralarını ve tedavi bilgilerini içerebilir. Etkilenen kişilerin tam, doğrulanmamış sayısı başlangıçta şirket tarafından sağlanmadı, ancak eyalet bildirimi, ölçeğin şu anda 10 milyonu aştığını gösteriyor.
Bildirilen eyaletler arasında Teksas ve Oregon da var. Teksas’taki düzenleyicilere, bu yetki alanında 4 milyondan fazla kişinin etkilendiği, Oregon’da ise 1 milyondan fazla kişinin çeteleye dahil edildiği söylendi. Şirket, büyük sigortacılar ve devletle ilgili kurumlar da dahil olmak üzere çok sayıda sağlık kuruluşuna hizmet vermektedir ve bu müşterilerin birçoğu üyelerine ihlal bildirimleri yayınlamıştır.
Conduent, ihlalin ağının sınırlı bir bölümünü etkilediğini ve günlük operasyonlarının etkilenmediğini söylüyor. Şirket, sistemlerinin harici ve dahili incelemelerini yapmak için siber güvenlik firmalarıyla anlaştı ve ağ güvenliği duruşunu yükseltmeye başladığını söyledi. Conduent ayrıca doğrudan müdahale maliyetlerinin toplamının yaklaşık 25 milyon dolar olduğunu açıkladı. Bu rakam, yasal masraf sigortası şirketi aracılığıyla geri alınan 9 milyon dolarlık yardımla kısmen hafifletildi.
Olay, sağlık sektöründeki ticari hizmet sağlayıcılarla bağlantılı risklerin altını çiziyor. Conduent, hem devlet kurumlarına hem de sağlık kuruluşlarına yazdırma, postalama, belge işleme ve ödeme bütünlüğü hizmetleri gibi çok çeşitli arka ofis hizmetleri sunmaktadır. Hassas kişisel ve tıbbi bilgileri diğer kuruluşlar adına işlediğinden, sistemlerinin herhangi bir ihlali kademeli etkilere neden olabilir.
Etkilenen bireyler için sonuçlar ciddidir. Sosyal Güvenlik numaraları veya tedavi kayıtları gibi son derece hassas tanımlayıcıların açığa çıkmasının beklenmesiyle birlikte kimlik hırsızlığı, tıbbi kimlik sahtekarlığı veya hastaları hedef alan kimlik avı riski artar. Verileri etkilenmiş olabilecek kişiler, olağandışı etkinlikleri izlemeyi, beyanlarını gözden geçirmeyi ve kendilerinin başlatmadığı iddialara atıfta bulunan iletişimlere dikkat etmeyi düşünmelidir.
Conduent, ele geçirilen verilerin satılıp satılmadığını veya çevrimiçi olarak yayınlanıp yayınlanmadığını kamuya açık bir şekilde doğrulamamış olsa da, düzenleyicilere yapılan bildirim ve etkinin kapsamı, etkilenen tarafların sağlayıcının müşteri tabanının büyük bir bölümünü içerdiğini gösteriyor. Birkaç büyük sigorta şirketi, olaya veya etkilenen üye bildirimlerine dahil olduklarını kamuoyu önünde kabul ederek, hizmet sağlayıcıların satıcı bağımlılıklarını ne kadar kapsamlı bir şekilde haritalandırdıkları ve bir satıcı ihlalinin saldırganlara birden fazla alt kuruluşa erişim sağlayıp sağlayamayacağı konusunda soruları gündeme getirdi.
Düzenleyici açıdan bakıldığında, ihlal muhtemelen yakından incelenecek. Eyalet başsavcıları ve federal düzenleyiciler, özellikle sağlık hukuku verilerini veya iş ortağı hizmetlerini içeren bu ölçekteki ihlalleri yakından izliyor. Sağlık ve devlet hizmetleri sektörlerindeki kuruluşlar, üçüncü taraf satıcıların sağlam gözetimini sürdürdüklerinden, erişim kontrollerinin denetimlerini gerçekleştirdiklerinden, bekleyen ve aktarılan hassas verileri şifrelediklerinden ve olaylara zamanında müdahale tatbikatları yürüttüklerinden emin olmalıdır.
Conduent gibi hizmet sağlayıcılar için bu olay önemli değişikliklere yol açabilir. Şirket, adli tıp ekipleriyle çalışmayı, etkilenen bireyleri bilgilendirmeyi ve ağının güvenliğini artırmayı taahhüt etti. Tedarikçi yönetimi uygulamaları, yama uygulama, izinsiz giriş tespiti, sistemlerin segmentasyonu ve gereksiz veri erişiminin kısıtlanması için daha katı gereksinimlerle revizyona tabi tutulabilir. Arka ofis operasyonları için satıcılara güvenen kuruluşların artık verilerinin birincil sistemler dışında nasıl işlendiğine daha fazla dikkat etmesi gerekiyor.
Sonuçta bu ihlal, modern veri sistemlerinin karmaşıklığını ve birbirine bağlılığını hatırlatıyor. Sağlık hizmetleri ve devlet operasyonlarını destekleyen bir satıcı çevresel görünebilir, ancak bu tür firmalardaki ihlallerin geniş ve ciddi etkileri olabilir. Kuruluşlar, kendi çevrelerinin güvenli olduğunu varsaymanın ötesine geçmeli ve siber dayanıklılığı iş ortağı ekosistemlerinin tüm katmanlarını kapsayacak şekilde genişletmelidir.
Nihai ayrıntılar beklemede olsa ve etkilenen kişilerin tam sayısı daha yüksek olsa da, 10 milyonu aşan rakam, ihlalin yılın en büyük sağlık hizmeti satıcısı olaylarından biri olduğunu doğruluyor. Etkilenen hastalar, hizmet sağlayıcılar ve düzenleyicilerin tümü, riskin nasıl yönetileceği, net bir şekilde nasıl iletişim kurulacağı ve gelecekte benzer olayların nasıl önleneceği sorusuyla karşı karşıya kalacak.