NYC Hastaneler Veri İhlali: 1.8 Milyon Hasta ve Parmak İzi Çalınması

NYC hastane veri ihlali, kuzey yarımkürenin en büyük belediye hastane ağı olan NYC Health + Hospitals’tan 1,8 milyondan fazla hastanın kişisel, tıbbi ve biyometrik verisinin (parmak izi dahil) çalınmasıyla sağlık sektörü siber güvenliğini sarstı. Saldırganlar üç ay boyunca fark edilmeden sistemlerde dolaştı, dosyaları kopyaladı ve hastaneyi hizmet sürekliliği baskısı altına aldı.

NYC Hospitals İhlalinin Boyutu

New York City Health + Hospitals, ABD’nin en büyük kamu hastane ağı olarak yaklaşık on bir akut bakım hastanesi, geniş bir poliklinik şebekesi ve evde bakım birimleri ile çalışıyor. Bu ölçekte bir kurumun veri ihlali yaşaması teknik bir aksaklık değil, sistemik bir sağlık altyapısı krizi anlamına geliyor. TechCrunch tarafından Mayıs ayı ortasında duyurulan resmi açıklamaya göre saldırı en az 1,8 milyon hastayı doğrudan etkiledi; bu rakam ileri tarihli soruşturmalarda daha da yükselebilir çünkü sağlık ihlallerinde nihai mağdur sayısı çoğu zaman ilk duyurudan aylar sonra netleşir.

İhlalin kapsamı, salt kişisel bilgilerle (ad, adres, sosyal güvenlik numarası, doğum tarihi) sınırlı kalmadı. Tıbbi geçmiş, konulan tanılar, reçete edilen ilaçlar, laboratuvar sonuçları ve hastane içi iş akış kayıtları da saldırganların eline geçti. Ayrı bir başlık altında inceleyeceğimiz biyometrik veri – özellikle parmak izi – kategorisi, ihlali sıradan bir veri sızıntısından ayıran ve sektör için emsal niteliği taşıyan bir boyut ekledi. Bir hastanın parmak izi, kredi kartının aksine, kayıp halinde “yenilenebilen” bir kimlik bileşeni değildir; bu yüzden mağdurlar için ömür boyu sürebilen bir risk üretir.

NYC Health + Hospitals’ın bildirimi, federal ABD sağlık veri ihlali listesinde son altı ayın en büyük üç olayından biri olarak konumlandı. Sağlık veri ihlali tarafımızdan derlenen TechCrunch ihlal raporu üzerinden incelendiğinde, kurumun bildirim yükümlülüklerini ABD federal sağlık otoritesine (HHS Office for Civil Rights) zamanında yerine getirdiği, ancak hastalara doğrudan bireysel bildirimlerin geç başladığı görülüyor. Bu gecikme tek başına büyük bir tartışma başlığı: zira biyometrik veri çalındıysa hastanın bunu olabildiğince erken öğrenip karşı önlem alması (örneğin parmak izini kabul eden uygulamaları devre dışı bırakmak) hayati önem taşıyor.

3 Aylık Sessiz Erişim Süresi

Saldırının en önemli teknik bulgusu, hackerların Kasım ortasından Şubat sonuna kadar yaklaşık üç ay boyunca hastane ağına erişim sağlamış olması. Sektör jargonunda “dwell time” (kalış süresi) adı verilen bu metrik, savunma olgunluğunun en önemli göstergelerinden biri kabul ediliyor. Modern bir izleme altyapısının (SIEM, EDR, XDR çözümleri) saldırganı en geç birkaç gün içinde tespit etmesi beklenir; üç aylık bir kör nokta, ya tespit kapasitesinde ya da kapasiteye rağmen yanıt iş akışında ciddi bir boşluk olduğunu söyler.

Bu üç ay zarfında saldırganlar yalnızca veriyi gözlemlemekle kalmadı, kademeli olarak ağ içinde yanal hareket etti (lateral movement). Önce muhtemelen bir uç noktada – bir kullanıcı oltalama mesajıyla ya da güncelliğini yitirmiş bir VPN/uzaktan erişim portalı üzerinden – tutunmayı sağladılar; ardından kimlik bilgilerini topladılar, ayrıcalıkları yükselttiler ve hassas dosya paylaşımlarına ulaştılar. Üç aylık erişim süresi, dosyaların büyük ölçekli olarak dışarı sızdırılması (data exfiltration) için fazlasıyla yeterli bir zaman dilimi.

NYC Health + Hospitals açıklamasında dosyaların “kopyalandığı” ifadesi öne çıkıyor. Kopyalama kelimesi pazarlama dilinde yumuşatılmış gibi görünse de teknik açıdan tam olarak veri hırsızlığı (data theft) anlamına gelir. Saldırganın elinde artık hastane sunucularının tam yedeği ya da seçilmiş klasörlerin birebir aynaları bulunuyor. Hastane sistemi çevrimdışı kalsa, fidye ödense, hatta tüm sunucular yeniden kurulsa bile o veri saldırganın elinden çıkmıyor; bu nedenle olay yalnızca bir operasyonel kriz değil, kalıcı bir gizlilik kaybı.

Saldırının bir hastane bilgi sistemini hangi yollarla bu kadar uzun süre meşgul edebildiği, çoğu Türk hastanesi için de düşündürücü bir aynadır. Çünkü 24 saat hizmet vermek zorunda olan bir kurumda, üretim sistemlerine yama (patch) uygulamak için “bakım penceresi” bulmak son derece güçtür; bu da güncel olmayan yazılım katmanlarının saldırı yüzeyini genişletmesine yol açar.

Biyometrik (Parmak İzi) Çalınması

↑ Başa dön

İhlali emsalsiz kılan ana unsur, parmak izi verilerinin de çalınmış olması. Hastanelerde biyometrik veri çeşitli amaçlarla toplanır: personel giriş kontrolünden mahkum/tutuklu hasta kimlik doğrulamasına, yeni doğan bebek-anne eşleştirmesine kadar geniş bir yelpazede. NYC kamu hastane ağı, gözaltındaki bireylere ve şehirden hizmet alan göçmen popülasyona da bakım sağladığı için biyometrik veri tabanının büyük olması beklenen bir durum.

Parmak izinin çalınmasının yarattığı sorun, bu bilginin “tek seferlik” olmamasıdır. Şifrenizi sızdırılırsa değiştirebilirsiniz; sosyal güvenlik numaranız sızarsa (zor da olsa) yenilenebilir. Ancak biyometrik nitelik insanın doğasıyla birlikte gelir; başka bir parmağa, başka bir göze değiştirmeniz mümkün değildir. Bu yüzden uluslararası standartlar (örneğin ISO/IEC 24745) biyometrik şablonların asla ham (raw) saklanmamasını, geri döndürülemez bir dönüşüme (template protection, biometric encryption) tabi tutulmasını şart koşar.

NYC ihlalinde tam olarak hangi formatta verinin sızdığı henüz şeffaflıkla paylaşılmadı. Eğer şablonlar uygun şekilde dönüştürülmüş biçimde tutuluyorsa risk görece sınırlı kalabilir; ancak ham görüntü ya da geri çevrilebilir özellik vektörleri sızdıysa, saldırganlar bu veriyi sahtekarlık amaçlı parmak izi kalıplarına dönüştürebilir, finansal kimlik doğrulama sistemlerini hedef alabilir. Bu da bizi kimlik doğrulama tasarımının köklü biçimde gözden geçirilmesi gerektiği sonucuna götürüyor: biyometri tek başına bir “şifre” yerine geçemez, ancak ikinci faktör olarak ve cihaz tarafında işlenip kurum sunucusuna asla gönderilmeyecek biçimde tasarlanırsa anlamlıdır.

Hastanın bilinçli bir adım atması gerekirse, NYC mağdurları için ilk öneri şudur: parmak izi ile giriş yapılan finansal uygulamaları (mobil bankacılık, dijital cüzdan) PIN tabanlı doğrulamayla değiştirmek, mümkün olan her yerde donanım güvenlik anahtarı (FIDO2 / WebAuthn) kullanmak ve kimlik doğrulamasında kanıt katmanlarını çeşitlendirmek.

INC Ransomware Grubu Tehdidi

NYC saldırısının arkasında olduğundan şüphelenilen INC adlı fidye yazılım operasyonu, son bir yılda sağlık sektörünü sistematik biçimde hedef alan en görünür gruplardan biri olarak öne çıkıyor. INC’nin operasyonel modeli, çift gasp (double extortion) olarak adlandırılan klasik yaklaşımı izliyor: önce kurum verisini şifrelemek, sonra sızdırma tehdidiyle ek bir fidye baskısı kurmak.

Grup, sağlık kuruluşlarını seçerken hizmet süreklilik baskısının yarattığı pazarlık zayıflığını hesaplıyor. Bir bankanın sistemleri birkaç saat çöktüğünde finansal kayıp büyür ama insan hayatı doğrudan tehlikeye girmez; bir hastanenin elektronik sağlık kayıtları (EHR), ameliyathane planlama yazılımı ya da laboratuvar entegrasyonu çöktüğünde planlanmış girişimler ertelenir, acil servis akışı bozulur, hastalar başka kurumlara nakledilmek zorunda kalır. Bu basınç, fidye ödeme olasılığını dramatik biçimde artırır.

INC’nin operasyon notlarını ve mağdur portföyünü inceleyen DarkReading INC ransomware analizi, grubun yalnızca Kuzey Amerika değil Okyanusya ve Avrupa sağlık sistemlerine de aktif olarak sızdığını gösteriyor. Saldırılarda kullanılan başlangıç erişim vektörleri arasında yamalanmamış uzaktan masaüstü servisleri (RDP), VPN açıkları, oltalama eklerinde gizlenen “loader” yazılımlar ve giderek artan oranda yapay zeka destekli sosyal mühendislik mesajları yer alıyor.

Bu yapay zeka boyutu, sektörün uzun süredir gündeminde olan ve ai destekli savunma tartışmasının kalbinde duran konuyu doğruluyor: saldırı tarafında üretken modellerin kullanımı, hedef kurumun çalışanlarına özel uyarlanmış oltalama mesajları üretme kapasitesini şişiriyor. Bir hastanenin tedarikçisinin gerçek e-posta üslubunu taklit eden, doğru sözcük dağarcığını kullanan ve hatta hastane içi proje adlarını referans veren bir mesaj, gözle ayırt edilemiyor.

Sağlık Sektörünün Fidye Bağımlılığı

ABD Federal Soruşturma Bürosu’nun (FBI) en güncel siber suç raporu, sağlık sektörünü fidye yazılım grupları için “bir numaralı hedef” olarak tanımlıyor. Bu sıralama tesadüf değil; sektörün üç yapısal kırılganlığı bir araya gelince saldırganlar açısından yüksek getirili bir avlanma alanı oluşuyor.

• Hizmet sürekliliği zorunluluğu: 24/7 çalışmak zorunda olan bir kurumda sistem kapanması doğrudan hasta sonuçlarını etkiler. Bu da fidye ödeme olasılığını artırır.
• Eski (legacy) klinik yazılımlar: Onlarca yıl önce yazılmış görüntüleme arşivleri (PACS), laboratuvar otomasyonu, radyoterapi cihaz arayüzleri modern güvenlik özelliklerinden yoksundur ve değiştirilmeleri yıllar süren validasyon gerektirir.
• Tedarikçi karmaşıklığı: Bir hastane onlarca yazılım tedarikçisi, bulut hizmeti, dış laboratuvar entegrasyonu ile çalışır. Saldırgan, doğrudan hastaneyi değil tedarikçiyi vurarak da içeri girebilir.

Bu yapısal nedenler, son aylarda peşpeşe yaşanan büyük olayların ortak zeminini açıklıyor. Change Healthcare, ABD reçete ödemelerinin önemli bir bölümünü işleyen büyük altyapı, ikinci kez fidye yazılım operasyonunun mağduru oldu. Memorial Hospital adlı bölgesel sağlık kuruluşundan 120 binden fazla hastanın bilgisinin çalındığı, DarkReading Memorial Hospital analizi ile raporlandı. CareCloud’a yönelik ihlalde ise elektronik sağlık kayıt sistemine doğrudan erişim sağlandığı, TechCrunch CareCloud raporu üzerinden duyuruldu.

Sağlık sektörünün fidye bağımlılığı, aynı zamanda kötü bir geri besleme döngüsü oluşturuyor: ödenen her fidye, saldırgan grupların altyapısını ve kapasitesini büyüterek bir sonraki saldırıyı finanse ediyor. Sigorta sektörünün siber poliçelerde fidye ödemelerini kapsam dışına almaya yönelmesi, bu döngüyü kırmaya yönelik en somut piyasa hamlesi olarak değerlendiriliyor.

Tıbbi Veri Kara Borsa Değeri

↑ Başa dön

Kara borsa fiyatlandırması, bir veri türünün ne kadar değerli olduğunu en doğrudan anlatan göstergedir. Çalıntı kredi kartı numarasının darknet pazarlarında dolar bazında tek haneli rakamlara satıldığı bir dünyada, tam bir tıbbi kayıt 1.000 dolara kadar çıkabilen fiyatlarla işlem görüyor. Aradaki uçurum, tıbbi verinin neden bu kadar yoğun saldırı çektiğini açıklıyor.

Tıbbi kaydın bu kadar pahalı olmasının ardındaki sebep, içeriğinin zenginliği. Bir tek dosyada hastanın tam adı, adresi, doğum tarihi, sigorta poliçe numarası, kredi kartı ya da banka hesabı bilgisi, sosyal güvenlik numarası, çalışma yeri ve kapsamlı sağlık geçmişi bir arada bulunabiliyor. Bu paket, kimlik hırsızlığı ekonomisinin tüm girdilerini tek bir satın almayla sağlıyor.

Aşağıdaki tablo, çeşitli veri kategorilerinin yaklaşık karaborsa değerlerini ve risk ufuklarını karşılaştırıyor:

Tıbbi kayıtların değer kazanmasının bir başka boyutu da “sigorta dolandırıcılığı” pazarıdır. Saldırganlar bu kayıtları, kendi adlarına sahte tedavi ya da reçete talepleri açarak nakde çevirebiliyor; özellikle ABD özel sigorta sisteminde bu saldırı yüzeyi son derece geniş. Türkiye’de ise hedef vektör daha çok sahte özel sağlık raporu üretme, ilaç dolandırıcılığı ve özel hastane fatura sahteciliği üzerinden işliyor. Fidye yazılımının topyekun ekonomisi için fidye yazılım yeni çağı başlığı altında ele aldığımız “üretken yapay zeka destekli geliştirme” eğilimi de bu çalıntı verileri daha hızlı işlenebilir kılıyor.

KVKK ve Hasta Hakları Çerçevesi

NYC olayı her ne kadar ABD’de yaşansa da çerçevenin Türkiye’deki yansıması, KVKK (Kişisel Verilerin Korunması Kanunu) ve özel nitelikli kişisel veri rejimi üzerinden okunmalı. KVKK’da sağlık verileri ve biyometrik veriler “özel nitelikli” kategoride yer alır; bu, ek güvenlik tedbiri zorunluluğu ve daha sıkı veri işleme şartı anlamına gelir. Bir hastanenin biyometrik veri toplaması için açık rıza ya da kanunun açıkça öngördüğü bir hal aranır.

İhlal durumunda KVKK rejimi, “en kısa sürede” ve en geç yetmiş iki saat içinde Kurul’a bildirim yükümlülüğü getirir. Veri sorumlusunun, ihlalin kapsamı, tahmini mağdur sayısı, alınan teknik ve idari tedbirler, mağdurlara yapılan bireysel bildirimler ve etkileri azaltmak için planlanan adımlar hakkında raporlama yapması gerekir. Ayrıca, riski yüksek bir ihlal söz konusuysa veri sahiplerine doğrudan bildirim zorunluluğu doğar.

Hasta hakları cephesinde ise üç ana sütun öne çıkıyor:

1. Bilgi edinme hakkı: Hangi verinin nasıl işlendiği, kimlerle paylaşıldığı, hangi süreyle saklandığı.
2. Düzeltme ve silme hakkı: Yanlış veri için düzeltme, işlenme şartları ortadan kalktığında silme talebi.
3. Tazminat hakkı: Hukuka aykırı işleme nedeniyle uğranılan zararın tazmin edilmesi.

ABD tarafında HIPAA (Health Insurance Portability and Accountability Act) çerçevesi ve onun güvenlik kuralı (Security Rule), idari, fiziksel ve teknik güvencelerin asgari setini tanımlar. NYC Health + Hospitals’ın ihlal sonrası HHS Office for Civil Rights soruşturmasıyla karşılaşması bekleniyor; bu soruşturmalar geçmişte yüz milyonlarca dolarlık idari para cezalarına yol açtı. Türkiye’de KVKK Kurumu’nun verdiği cezalar henüz benzer ölçekte olmasa da sağlık ihlallerinde tavan cezaların uygulanma sıklığı yıldan yıla artıyor; nitekim biyometrik veri sızıntısı söz konusu olduğunda Kurul’un en üst yaptırımları tercih ettiğini gösteren emsaller mevcut.

Sağlık sektörüne yönelik daha geniş bir oltalama tehdit panoraması için, detaylı incelememiz başlığında ele aldığımız polimorfik kampanyaların hastane personelini nasıl hedef aldığını anlatan analiz, bu çerçevenin tamamlayıcısı niteliğindedir.

Türkiye Hastanelerinde Risk Yönetimi

NYC olayından çıkarılması gereken en pratik ders, Türkiye’deki kamu ve özel hastanelerin risk yönetiminde somut adımlara dönüştürülebilir. Kurumsal düzeyde önerilebilecek temel sıkılaştırmalar şu şekilde sıralanabilir:

• Sıfır güven (zero trust) mimarisi: Hastane içindeki hiçbir kullanıcı ya da cihaz, sadece ağa bağlı olduğu için “güvenilir” sayılmamalı. Her kaynağa erişim, kimlik + cihaz sağlığı + bağlam doğrulamasına tabi olmalı.
• Ayrıştırılmış ağlar (network segmentation): Klinik ekipman ağı, idari ofis ağı, misafir Wi-Fi ve sunucu ağı birbirinden kopuk olmalı. Saldırganın yanal hareket alanı daraltılmalı.
• EDR/XDR yatırımı ve 7/24 SOC izleme: Üç aylık kalış süresi, ya tespit teknolojisinin ya da yanıt iş akışının olmadığını gösterir. Türkiye’de büyük kamu hastane gruplarının ortak bir SOC (security operations center) üzerinden hizmet alması, ölçek ekonomisi açısından en gerçekçi yoldur.
• Yedekleme stratejisi (3-2-1 kuralı): Üç kopya, iki farklı medyada, biri çevrimdışı. Çevrimdışı (immutable / air-gapped) yedek, fidye yazılım saldırılarında pazarlık gücünün tek geçerli para birimidir.
• Tedarikçi risk denetimi: Görüntüleme cihazı, laboratuvar yazılımı, hasta yönlendirme sistemi sağlayıcılarının güvenlik olgunluğu sözleşme öncesi denetlenmeli; SOC 2 / ISO 27001 / HITRUST gibi sertifika talebi standartlaşmalı.
• Personel farkındalık programı: Yıllık tek bir e-öğrenme modülü yeterli değil. Aylık simüle oltalama testleri ve özellikle bilgisayar başında çalışan idari personel için klinik personelden farklı içerik tasarımı şart.

Hasta cephesinde de bazı pratik adımlar öneriliyor. Hastane uygulamalarında parmak izi ile giriş yerine PIN ya da donanım anahtarı tercih edilmesi, e-Nabız üzerinden hesabınızda olağandışı tıbbi kayıt eklemelerini düzenli kontrol etmek, sigortacınızın size hatırlatmadığı reçete bildirimlerini araştırmak, ve bir ihlal duyurusu aldığınızda paniğe kapılmadan ama vakit kaybetmeden bildirimde önerilen adımları uygulamak en temel öneriler arasında. Daha geniş bir sektör perspektifi için siber güvenlik gündemi üzerinden güncel kurum açıklamalarını takip etmek, bireysel farkındalık için yararlı bir alışkanlık olabilir.

Son olarak, kurumsal yönetim katmanı için altını çizmek gerekir: siber güvenlik bütçesi artık bir BT alt kalemi olmaktan çıkıp doğrudan hasta güvenliği gündeminin parçasıdır. Bir kalp pili yazılımı saldırı yüzeyinin parçası haline geldiğinde, “BT güvenliği” ile “klinik güvenlik” arasındaki sınır anlamsızlaşır. NYC olayı, özellikle biyometrik veri kaybının ömür boyu süren etkisiyle, bu sınırın ne kadar çoktan silindiğinin somut bir kanıtı; ve önümüzdeki dönem benzer büyüklükteki olayların azalmaktan çok artacağının habercisi. Bu yüzden NYC hastane veri ihlali tek bir kurumun başına gelen bir talihsizlik değil, küresel sağlık sisteminin yeniden tasarlanması gerektiğine dair acil bir uyarıdır.

Sıkça Sorulan Sorular

↑ Başa dön

NYC Health + Hospitals ihlalinde tam olarak hangi veriler çalındı?

Kişisel kimlik bilgileri (ad, adres, doğum tarihi, sosyal güvenlik numarası), tıbbi geçmiş (tanılar, ilaçlar, laboratuvar sonuçları), sigorta bilgileri ve biyometrik veri olarak parmak izi kayıtları çalındı. Saldırganlar dosyaları kopyaladıkları için veri kalıcı olarak ellerinde.

Parmak izim çalındıysa ne yapmalıyım?

Mobil bankacılık ve dijital cüzdan uygulamalarında parmak izi yerine PIN veya donanım güvenlik anahtarı (FIDO2 / WebAuthn) kullanmaya geçin. Biyometrik veri yenilenemez, bu yüzden onun “yedek” doğrulama olduğu sistemleri tercih edin; ana doğrulama olarak biyometriye güvenmeyin.

Türkiye’deki hastaneler de benzer bir saldırıya açık mı?

Evet. Eski klinik yazılımlar, 24/7 hizmet baskısı ve geniş tedarikçi zinciri her ülkede ortak. KVKK çerçevesi yükümlülük tanımlıyor ama uygulama olgunluğu kuruma göre büyük farklılık gösteriyor. Sıfır güven mimarisi, ağ ayrıştırma ve çevrimdışı yedekleme öne çıkan üç önlem.

Fidye yazılım grupları neden hastaneleri özellikle hedef alıyor?

Hastaneler durma payı olmayan kurumlar; sistem çöküşü doğrudan hasta sonuçlarını etkilediği için fidye ödeme baskısı çok yüksek. Tıbbi veriler karaborsada kredi kartından kat kat değerli, bir kayıt 1.000 dolara kadar satılabiliyor. FBI son raporunda sağlık sektörünü fidye yazılım için bir numaralı hedef ilan etti.

Editör notu: Bu yazıdaki olgular TechCrunch ve DarkReading gibi yabancı otoriteli kaynakların duyurularına ve FBI’ın açık siber suç raporlarına dayanır. Risk değerlendirmeleri ve kurumsal öneriler editöryel gözlem ve sektör çerçeve belgelerinden türetilmiştir, kişiselleştirilmiş güvenlik danışmanlığı yerine geçmez. Bu yazı yatırım tavsiyesi değildir, bilgilendirme amaçlıdır. — Mehmet Kara, Teknoloji Editörü