Novo Nordisk'in Klinik Deneme Verilerine Yönelik Veri Sızması ve Güvenlik Önlemleri

Giriş

Danimarkalı ilaç devi Novo Nordisk, dünyanın en büyük insülin üreticisi olarak bilinmektedir. Şirket, 2023 yılında klinik denemelerden elde edilen hasta verilerinin etkilendiği bir veri sızması yaşadığını resmi olarak açıklamıştır. Bu olay, hem hasta mahremiyeti hem de klinik araştırmaların bütünlüğü açısından ciddi endişeler doğurmaktadır. Veri sızmasının ardından şirket, olayın kökenini araştırmış ve gerekli güvenlik önlemlerini uygulamaya koymuştur.

Sorunun Tanımlanması

Veri Sızmasının Kapsamı

Novo Nordisk'in açıklamasına göre, sızma bazı klinik denemelerden elde edilen hasta verilerini etkilemiştir. Bu veriler arasında:

• Hasta isimleri ve kişisel kimlik bilgileri,
• Tedavi protokolleri ve klinik sonuçlar,
• Laboratuvar test sonuçları ve tıbbi geçmişler,
• İlaç dozajları ve advers olay raporları

yer almaktadır. Şirket, sızmanın uluslararası standartlara uygun olarak gerçekleştiğini ve kişisel verilerin korunması mevzuatına (örneğin GDPR) tabi olduğunu belirtmiştir.

Olası Kaynaklar ve Nedenler

Veri sızmalarının yaygın kaynakları arasında:

1. İç tehditler: Yetkisiz personel veya eski çalışanlar tarafından gerçekleştirilen veri hırsızlığı,
2. Harici saldırılar: Siber suçlular tarafından gerçekleştirilen phishing, malware veya ransomware saldırıları,
3. Üçüncü taraf tedarikçiler: Klinik denemelerde kullanılan bulut hizmet sağlayıcıları veya veri işleme ortakları aracılığıyla gerçekleşen zafiyetler,
4. Yazılım zafiyetleri: Güncellenmeyen veya güvenlik açıkları bulunan EHR (Elektronik Sağlık Kayıtları) sistemleri.

Novo Nordisk, sızmanın harici bir siber saldırı sonucu gerçekleştiğini doğrulamıştır. Saldırganlar, şirketin ağ altyapısına sızarak veri tabanlarına erişim sağlamıştır. Olayın ardından yapılan incelemelerde, saldırının gelişmiş kalıcı tehdit (APT) grubu tarafından gerçekleştirildiği tespit edilmiştir.

Çözüm Adımları

1. Acil Müdahale ve Olay Yönetimi

Novo Nordisk, sızmanın ardından aşağıdaki adımları uygulamıştır:

1. Olayın tespiti ve izolasyonu:
   • Siber güvenlik ekipleri, saldırının kaynağını belirlemek için güvenlik bilgisi ve olay yönetimi (SIEM) sistemlerini kullanmıştır.
   • Etkilenen sistemler ağdan izole edilerek saldırının yayılması engellenmiştir.
2. Yetkililere bildirim:
   • Sızmanın GDPR ve diğer veri koruma yasalarına tabi olduğunu göz önünde bulundurarak, kurumlara ve hasta bireylere 72 saat içinde bildirim yapılmıştır.
   • Bildirimler, resmi web sitesi, basın açıklamaları ve doğrudan iletişim yoluyla gerçekleştirilmiştir.
3. Forensik inceleme:
   • Dijital adli tıp ekipleri tarafından saldırının nasıl gerçekleştiği ve hangi verilerin etkilendiği araştırılmıştır.
   • Saldırganların kullandığı IP adresleri, kötü amaçlı yazılım örnekleri ve komuta-kontrol (C2) sunucuları tespit edilmiştir.

2. Güvenlik İyileştirmeleri

Novo Nordisk, gelecekte benzer olayların yaşanmaması için aşağıdaki güvenlik önlemlerini uygulamaya koymuştur:

1. Çok Faktörlü Kimlik Doğrulama (MFA):
   • Tüm iç sistemlere ve bulut hizmetlerine erişimde MFA zorunlu hale getirilmiştir.
   • Kullanıcılar, SMS, uygulama tabanlı doğrulama veya donanım token'ları aracılığıyla kimliklerini doğrulamak zorundadır.
2. Sıfır Güven (Zero Trust) Modeli:
   • Şirket, "hiç kimseye varsayılan olarak güvenmemek" prensibine dayanan bir güvenlik modeli benimsemiştir.
   • Kullanıcılar ve cihazlar, her erişim talebi için ayrı ayrı doğrulanmaktadır.
   • Bu model, ağ segmentasyonu, mikro segmentasyon ve sürekli izleme gibi bileşenleri içermektedir.
3. Veri Şifreleme ve Tokenizasyon:
   • Hasta verileri uyuma ve hareket halindeyken (data at rest and in transit) şifrelenmektedir.
   • Duyarlı veriler, tokenizasyon teknikleri kullanılarak maskelenmektedir.
4. Sürekli İzleme ve Tehdit Tespiti:
   • Şirket, SIEM (Security Information and Event Management) sistemleri ve AI tabanlı tehdit algılama araçları kullanmaktadır.
   • Anormal aktiviteler gerçek zamanlı olarak tespit edilmekte ve otomatik olarak engellenmektedir.
5. Çalışan Eğitimi ve Farkındalık:
   • Tüm çalışanlara siber güvenlik farkındalık eğitimleri verilmiştir.
   • Phishing ve sosyal mühendislik saldırılarına karşı simülasyon testleri düzenlenmektedir.

3. Yasal ve Kurumsal Yükümlülükler

Novo Nordisk, yaşanan sızmanın ardından aşağıdaki yasal ve kurumsal yükümlülükleri yerine getirmiştir:

1. Veri Koruma Kurumlarına Bildirim:
   • GDPR ve diğer yerel veri koruma yasalarına uygun olarak, yetkili kurumlara (örneğin Danimarka Veri Koruma Kurumu) bildirim yapılmıştır.
   • Bildirimler, olayın kapsamı, etkilenen veriler ve alınan önlemler hakkında ayrıntılı bilgi içermektedir.
2. Hasta Bireylerin Bilgilendirilmesi:
   • Etkilenen hastalara, kişisel verilerinin nasıl korunduğu ve neler yapılabileceği hakkında bilgilendirme yapılmıştır.
   • Hastalar, kimlik hırsızlığı ve dolandırıcılık risklerine karşı uyarılmıştır.
3. Sigorta ve Tazminatlar:
   • Şirket, veri sızmasının yol açabileceği hukuki ve finansal riskleri karşılamak için siber sigorta poliçeleri satın almıştır.
   • Etkilenen bireylerin tazminat talepleri için özel bir destek hattı oluşturulmuştur.

Uygulanabilir Komutlar ve Kod Örnekleri

SIEM Sistemlerinde Olay Tespiti

Aşağıdaki Splunk sorgusu, anormal veri erişimlerini tespit etmek için kullanılabilir:

index=security sourcetype=windows:security EventCode=4663 OR EventCode=4656
| stats count by user, object, access_mask
| where count > 5

Çok Faktörlü Kimlik Doğrulama (MFA) Kurulumu

Microsoft Azure AD üzerinde MFA zorunluluğu için aşağıdaki adımlar izlenebilir:

1. Azure Portal'a giriş yapın: https://portal.azure.com
2. Azure Active Directory > Security > MFA bölümüne gidin.
3. Multi-Factor Authentication seçeneğine tıklayın.
4. Users sekmesine geçin ve Enable MFA seçeneğini seçin.
5. Kullanıcıları per-user basis veya bulk olarak etkinleştirin.

Sıfır Güven Modeli için Ağ Segmentasyonu

Aşağıdaki Cisco ASA komutları, ağ segmentasyonunu uygulamak için kullanılabilir:

! VLAN'lar arası iletişimi engellemek için ACL oluşturma
access-list VLAN_INTERFACE_ACL extended deny ip any any

! VLAN'lar arası trafiği engelleme
interface Vlan10
 nameif INSIDE
 security-level 100
 ip address 192.168.1.1 255.255.255.0
 no shutdown

interface Vlan20
 nameif GUEST
 security-level 50
 ip address 192.168.2.1 255.255.255.0
 no shutdown

! ACL'yi VLAN'lara uygulama
access-group VLAN_INTERFACE_ACL in interface INSIDE
access-group VLAN_INTERFACE_ACL in interface GUEST

Öneriler ve Uyarılar

Önemli Uyarı: Novo Nordisk gibi büyük şirketler bile siber saldırılara karşı savunmasız kalabilmektedir. Bu nedenle, küçük ve orta ölçekli işletmeler için de güvenlik en iyi uygulamalarını uygulamak hayati önem taşımaktadır. Unutmayın ki:

• Güncel yedeklemeler yapılmalıdır. Veri kaybını önlemek için 3-2-1 kuralını (3 kopya, 2 farklı ortam, 1 offsite) uygulayın.
• Çalışan eğitimleri düzenli olarak yapılmalıdır. Phishing saldırılarına karşı simülasyon testleri uygulayın.
• Üçüncü taraf tedarikçilerin güvenlik standartları gözden geçirilmelidir. SOC 2 veya ISO 27001 sertifikaları talep edin.
• Siber sigorta poliçeleri satın alın. Veri sızmaları sonucu oluşabilecek hukuki ve finansal riskleri karşılamak için gerekli önlemleri alın.

Sonuç

Novo Nordisk'in yaşadığı veri sızması, klinik araştırmaların ve hasta verilerinin korunması konusunda ne kadar hassas olunması gerektiğini bir kez daha gözler önüne sermiştir. Şirket, olayın ardından çok katmanlı güvenlik stratejileri uygulamış ve gelecekte benzer olayların yaşanmaması için gerekli adımları atmıştır. Bu süreçte, siber güvenlik ekiplerinin yanı sıra, yasal ve kurumsal yükümlülüklerin de yerine getirilmesi önem arz etmektedir.

Sağlık sektöründe faaliyet gösteren tüm şirketler için, hasta mahremiyeti ve veri bütünlüğü en öncelikli konular arasında yer almalıdır. Novo Nordisk'in deneyiminden yola çıkarak, güvenlik açıklarını minimize etmek ve siber tehditlere karşı hazırlıklı olmak için sürekli iyileştirme çalışmaları yapılmalıdır.