Sağlık , HIPAA/HITECH , Sektöre Özel
2,1 Milyon Kişide PHI İçeren Ele Geçirilmiş Veritabanı On Yıldır Kullanılmıyor
Marianne Kolbasuk McGee (SağlıkBilgisi) •
17 Şubat 2023
Pennsylvania ve Ohio başsavcıları, iki eyaletteki yaklaşık 46.000 tüketici de dahil olmak üzere ülke çapında 2,1 milyon kişiyi etkileyen eski bir veritabanının 2021’de hacklenmesinin ardından toplam 400.000 $ değerinde HIPAA anlaşmalı bir DNA test laboratuvarına tokat attı.
Ayrıca bakınız: Web Semineri | Teletıp ve Sağlık Hizmetinde Uzaktan Çalışmanın Geleceğini Güvence Altına Almak
DNA Teşhis Merkezi ile Pennsylvania ve Ohio anlaşmaları uyarınca, Fairfield, Ohio merkezli şirket, tüm ağının varlık envanterini güncellemek ve herhangi bir yasal işlem için gerekli olmadığı belirlenen varlıkları devre dışı bırakmak veya kaldırmak da dahil olmak üzere veri güvenliğinde iyileştirmeler uygulamayı da kabul etti. iş amacı.
DNA Teşhis Merkezi’nin bilgisayar korsanlığı olayı, DDC’nin 2012’de edindiği başka bir ulusal genetik test kuruluşu sistemiyle ilişkili arşivlenmiş bir veri tabanını içeriyordu. Ancak DDC, 2021’deki ihlal bildirim bildiriminde, bu sistemin DDC’nin operasyonlarında hiç kullanılmadığını ve 2012’den beri aktif olmadığını söyledi. (Görmek: DNA Test Firması: Eski Veritabanı Hack’inden Etkilenen 2,1 Milyon Kişi).
Güvenliği ihlal edilmiş eski veritabanında yer alan veriler, 2004 ile 2012 yılları arasında toplanmıştır.
İki eyalet, ihlalin Ohio’da yaklaşık 33.300 ve Pennsylvania’da yaklaşık 12.600 tüketicinin Sosyal Güvenlik numaralarını ve diğer kişisel verilerini ifşa ettiğini söylüyor. DNA Teşhis Merkezi, Ohio’ya 200.000 $ HIPAA para cezası ve Pennsylvania’ya 200.000 $ HIPAA cezası ödemeyi kabul etti.
İhlal Ayrıntıları
Başsavcı, DNA Diagnostics’in 2021 olayından önce veri ihlali izlemesi yapması için üçüncü bir taraf tuttuğunu söyledi. Ancak Mayıs 2021’de bir ihlal tespit ettikten sonra, “yüklenici defalarca DNA Diagnostics’i e-posta yoluyla bilgilendirmeye çalıştı, ancak şirket çalışanları iki aydan fazla bir süre boyunca e-postaları gözden kaçırdı” dediler.
Saldırganlar, bu iki ay boyunca şirketin ağına kötü amaçlı yazılım yükledi ve verileri çıkardı. Eyaletler, çalınan verilerin DNA Diagnostics’in müşteri bilgileri değil, laboratuvarın iş portföyünü genişletmek için 2012’de edindiği diğer şirketin – Orchid Cellmark – eski veritabanında yer alan veriler olduğunu söylüyor.
Başsavcı, ihlalden önce, DNA Diagnostics’in sistemlerinde bir envanter değerlendirmesi ve sızma testi gerçekleştirdiğini, ancak hassas bilgileri düz metin olarak depolayan eski veritabanının tanımlanmadığını, çünkü değerlendirmelerin yalnızca aktif müşteri verilerine baktığını söyledi.
Başsavcı tarafından yapılan ortak açıklamada, “Ohio ve Pennsylvania tarafından yapılan ortak soruşturma, DNA Diagnostics’in siber güvenlikleri hakkında haksız ve aldatıcı açıklamalarda bulunduğunu ve bir veri ihlalini tespit etmek ve önlemek için makul önlemler almadığını ve tüketicilerini gereksiz yere zarar görmesine neden olduğunu tespit etti.”
DNA Teşhis Merkezi, Bilgi Güvenliği Medya Grubu’nun anlaşmalar ve şirketin başka herhangi bir devlet tarafından bekleyen yaptırım eylemlerine karşı kendisini savunup savunmadığı hakkında yorum yapma talebine hemen yanıt vermedi.
Eyalet Eylemleri
DNA Teşhis Merkezine yönelik HIPAA yaptırım eylemleri, bir ihlalin ardından bir sağlık sektörü kuruluşuna karşı eyalet başsavcıları tarafından alınan en son davalardır.
Ocak ayında, Salt Lake City merkezli Avalon Health Care Management, 14.500 kişiyi etkileyen bir kimlik avı e-posta veri ihlalinin ardından Utah ve Oregon başsavcılarıyla 200.000 dolarlık bir anlaşma yapmayı kabul etti. Şirket, ihlali eyalet ve federal düzenleyicilere bildirmeyi 10 ay boyunca erteledi – HIPAA tarafından belirlenen 60 günlük son tarih üzerinden birçok ay (bkz:: Kıdemli Sağlık Firması Devletlere İhlal Uzlaşmasını Ödüyor).
2009 tarihli HITECH Yasası, eyalet başsavcılarına HIPAA gizlilik, güvenlik ve ihlal bildirim kurallarının ihlali için hukuk davası açma yetkisi verdi.