Yarım Milyon Birleşik Krallık Sağlık Kaydı Alibaba'da Satışa Sunuldu

Önemli bir veri güvenliği ihlaliyle Birleşik Krallık hükümeti, Birleşik Krallık Biobank projesine katılan yaklaşık yarım milyon İngiliz gönüllüye ait gizli sağlık kayıtlarının Çin e-ticaret platformu Alibaba'da satışa sunulduğunun keşfedildiğini doğruladı. Bu endişe verici keşif, ilk olarak geçtiğimiz hafta araştırmacılar ve yetkililerin, bu araştırma katılımcılarının hassas kişisel sağlık bilgilerini içeren üç ayrı listeyi tespit etmesiyle ortaya çıktı.

Sağlık kayıtlarının açığa çıkması, yakın geçmişte İngiliz vatandaşlarını etkileyen en önemli gizlilik olaylarından birini temsil ediyor ve bu tür hassas verilere nasıl erişilebildiği ve daha sonra ticari bir pazarda kullanıma sunulduğu konusunda ciddi soruları gündeme getiriyor. Teknoloji yetkilileri durumu ele almak için hızla harekete geçti; hükümet temsilcileri olay hakkında Parlamentoyu bilgilendirdi ve tespit edilen tüm listelerin o zamandan beri platformdan kaldırıldığını doğruladı. İlk araştırmalara göre, reklamların kaldırılmasından önce veri satışının tamamlandığına dair hiçbir kanıt bulunmuyor.

Bu keşif, Birleşik Krallık hükümetinin teknoloji bakanlığının derhal yanıt vermesine yol açtı ve bakanlık, Avam Kamarası üyelerine veri ihlalinin kapsamı ve niteliğine ilişkin ayrıntılı bulgular sundu. Yetkililer, bilgileri "kimliksiz" olarak tanımlayarak, kişisel tanımlayıcıların kayıtlardan çıkarılmış olabileceğini, ancak sağlık verilerinin tıbbi araştırmalar, sigorta dolandırıcılığı veya kimlik hırsızlığı planlarıyla ilgilenen kötü aktörler için son derece hassas ve potansiyel olarak değerli kaldığını öne sürdü.

Birleşik Krallık Biyobankası, hastalıklar ve sağlık sorunlarına ilişkin bilimsel araştırmaları desteklemek amacıyla genetik bilgileri, tıbbi geçmişleri ve yaşam tarzı verileriyle katkıda bulunan yüz binlerce İngiliz gönüllüyü kaydeden büyük bir araştırma girişimidir. Bu biyobanka araştırma programına katılanlar, gizliliklerini korumak ve verilerinin gizli kalmasını sağlamak için teorik olarak sıkı güvenlik önlemleri uygulanarak, bilgilerinin meşru bilimsel amaçlarla kullanılmasına izin verirler. Bu bilgilerin Alibaba'da yetkisiz olarak listelenmesi, bu güvenin ve katılımcılara verilen gizlilik taahhütlerinin ciddi bir şekilde ihlalini temsil etmektedir.

Veri ihlalinin nasıl meydana geldiğine ilişkin soruşturmalar devam ediyor; yetkililer, bilgilerin bilgisayar korsanlığı yoluyla mı, dahili bir aktör tarafından hırsızlık mı yoksa başka bir yetkisiz erişim yoluyla mı elde edildiğini belirlemeye çalışıyor. Verilerin dünyanın en büyük e-ticaret platformlarından biri olan Alibaba'da ortaya çıkması, uluslararası veri pazarlarında nasıl gezinileceği ve tespit edilmekten nasıl kaçınılacağı konusunda gelişmiş bilgi birikimine işaret ediyor. Listeler, sonunda bu tür yasa dışı faaliyetleri çevrimiçi olarak izleyen araştırmacılar ve güvenlik uzmanları tarafından işaretlendi.

Bu olay, büyük ölçekli sağlık verileri depolarının karşı karşıya olduğu artan güvenlik açıklarını ve değerli kişisel bilgileri hedef alan siber suçluların artan karmaşıklığını vurgulamaktadır. Özel güvenlik ekiplerine sahip, iyi finanse edilen araştırma kurumları bile, özellikle uygulamanın zor olduğu birden fazla yargı bölgesinde faaliyet gösterebilen uluslararası aktörlerle uğraşırken, veritabanlarına yetkisiz erişimi önleme konusunda zorluklarla karşılaşmaktadır. İhlal, daha sağlam güvenlik önlemlerine ve veri koruma konularında uluslararası işbirliğine duyulan ihtiyacın altını çiziyor.

Hükümetin ihlale ilişkin onayı, teknoloji bakanlığı yetkililerinin bulgularını ve buna yanıt olarak atılan adımları ayrıntılı olarak açıkladığı resmi parlamento açıklamalarıyla geldi. Bu şeffaflık, hassas sağlık bilgilerine yönelik korumaların yeterliliği konusunda uzun süredir endişelerini dile getiren mahremiyet savunucuları ve muhalif politikacılar tarafından memnuniyetle karşılandı. Olay, veri yönetimi, büyük veri kümelerini elinde bulunduran kuruluşların sorumlulukları ve mevcut düzenlemelerin İngiliz vatandaşları için yeterli koruma sağlayıp sağlamadığı hakkındaki tartışmaları yeniden alevlendirdi.

Yetkililer, listelerin keşfedilmesi üzerine derhal harekete geçildiğini ve Birleşik Krallık yetkilileri ile Alibaba arasında derhal koordinasyon sağlanarak tespit edilen tüm reklamların kaldırılmasıyla sonuçlandığını vurguladı. Ancak verilerin ne kadar süre boyunca satın alınabileceği, listelere kaç kişinin eriştiği ve kaldırılmadan önce herhangi bir ön görüşme veya kısmi işlem yapılıp yapılmadığı konusunda sorular devam ediyor. Bu ayrıntılar, potansiyel riskin tam kapsamını anlamak açısından çok önemlidir.

Olay, uluslararası veri güvenliği standartları ve Birleşik Krallık yargı yetkisi dışında faaliyet gösteren yabancı aktörler veya kuruluşlar tarafından erişilebilen İngiliz vatandaşlarının bilgilerinin korunmasına ilişkin zorluklar hakkında önemli soruları gündeme getiriyor. Çin merkezli e-ticaret platformları, kendi güvenlik protokollerine sahip olmakla birlikte, Birleşik Krallık'takilerden farklı düzenleyici çerçeveler altında çalışabilir ve bu da potansiyel olarak gözetim ve hesap verebilirlik konusunda boşluklar yaratabilir. İhlal, veri korumanın yalnızca ülke içi bir sorun olmadığını, giderek uluslararası bir güvenlik sorunu haline geldiğini gösteriyor.

Sağlık mahremiyeti uzmanları, bu tür kişisel sağlık bilgilerinin açığa çıkması konusunda özellikle endişelerini dile getirdi; çünkü tıbbi kayıtlar, ayrımcılık veya şantaj için kullanılabilecek genetik yatkınlıklar, teşhisler ve tedavi bilgileri de dahil olmak üzere bireyler hakkındaki en hassas verilerden bazılarını içeriyor. Nispeten kolay değiştirilebilen veya izlenebilen finansal bilgiler veya iletişim bilgilerinin aksine, sağlık bilgileri, ele geçirildiğinde sıfırlanamayan veya kurtarılamayan kalıcı ve değişmez kişisel verileri temsil eder. Etkilenen bireyler için uzun vadeli sonuçlar belirsizliğini koruyor.

Listelerin keşfedilmesi ve kaldırılması, sağlık kayıtlarına daha yaygın erişimi ve dağıtımını muhtemelen engelleyen önemli bir müdahaleyi temsil ediyor. Ancak siber güvenlik uzmanları, halka açık web sitelerinde bulunan verilerin çoğu zaman birden fazla platform ve veri tabanında arşivlendiğini ve çoğaltıldığını, bunun da bilgilerin kopyalarının internetin çeşitli yerlerinde hala bulunabileceği anlamına geldiğini belirtiyor. Bu kadar yaygın bir şekilde dağıtılan verileri dolaşımdan tamamen kaldırmanın zorluğu, dijital çağda önemli bir sorun olmaya devam ediyor.

İngiltere Biobank organizatörleri, gelecekte benzer olayları önlemek için veri güvenliği prosedürlerini ve erişim kontrollerini kapsamlı bir şekilde incelemeyi planladıklarını duyurdular. Bu inceleme muhtemelen çalışanların hassas bilgilere nasıl eriştiğini, denetim kayıtlarının yeterli olup olmadığını ve şifreleme veya erişim kısıtlamaları gibi ek teknik önlemlerin uygulanıp uygulanamayacağını inceleyecektir. Kuruluş, katılımcı verilerini koruma becerisine dair kamuoyunun güvenini yeniden tesis etme baskısıyla karşı karşıya.

Olay aynı zamanda Birleşik Krallık hükümeti içinde, sağlık sistemlerine ve araştırma kurumlarına yönelik gelişen siber güvenlik tehditlerine karşı güncellenmiş mevzuat ve uygulama mekanizmalarına duyulan ihtiyaç konusunda daha geniş tartışmalara da yol açtı. Mevcut düzenlemeler, pek çok açıdan kapsamlı olsa da, modern siber suçluların faaliyet gösterdiği hız ve karmaşıklığı veya veri hırsızlığı ve yeniden satış operasyonlarının sınır ötesi yapısını yeterince ele alamayabilir. Politika yapıcılar, daha iyi koruma sağlamak için yeni yasal çerçevelerin mi yoksa uluslararası anlaşmaların mı gerekli olduğunu düşünüyor.

Kayıtları ele geçirilen yarım milyon İngiliz gönüllü için bu ihlal, kişisel güvenlikleri ve mahremiyetleriyle ilgili meşru endişelere yol açıyor. Pek çok kişi, verilerinin korunacağını ve yalnızca meşru bilimsel amaçlarla kullanılacağını umarak sağlık bilgilerini iyi niyetle araştırmacılarla paylaşmaya razı oldu. Hassas tıbbi geçmişlerinin ticari bir pazarda satışa sunulması, gerçek satışların gerçekleşip gerçekleşmediğine veya tanımlayıcıların kayıtlardan kaldırılıp kaldırılmadığına bakılmaksızın, bu rızaya ve güvene temelden bir ihaneti temsil ediyor.