3. Taraf Risk Yönetimi, Yönetişim ve Risk Yönetimi, Sağlık Hizmetleri
Evde Sağlık Firması Satıcısındaki İhlaller Yaklaşık 2 Milyon Kişiyi Etkiledi
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
20 Ekim 2023
33 eyaletteki başsavcılar, hasta verilerini üç yıl boyunca açıkta bırakan üçüncü taraf bir satıcı için 1,4 milyon dolarlık bir anlaşma da dahil olmak üzere, yaklaşık 2 milyon insanı etkileyen üç sağlık verisi ihlali için uzlaşmaya vardı.
Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu
Bu ihlal vakasında, Porto Riko merkezli takas kurumu Inmediata’nın yazılım kodlama kusuru, yaklaşık 1,5 milyon kişinin hassas korunan sağlık bilgilerini açığa çıkardı.
Ayrı bir vakada, New York başsavcısı, Long Island merkezli evde sağlık hizmeti firmasının yaklaşık 317.000 hastasının ve çalışanının verilerini tehlikeye atan 2021 fidye yazılımı saldırısıyla ilgili olarak Personal Touch Evde Bakım ile 350.000 dolarlık bir anlaşmayı onayladı.
Ayrı fakat ilgili bir anlaşmada, bir Personal Touch sigorta komisyoncusunun yazılım satıcısı olan Falcon Technologies Inc., Personal Touch tarafından sağlanan kayıt verilerinin güvenliğini sağlayamadığı için New York eyaleti başsavcısına 100.000 $ ödemeyi de kabul etti.
Her anlaşma, şirketlerin hassas sağlık ve kişisel bilgileri ele alırken eyalet tüketici koruma yasalarını ve HIPAA’yı ihlal ettiğine dair ayrı bir dizi iddiayı çözüme kavuşturuyor.
Anında Uzlaşma
Anlaşma belgelerinde, Inmediata’nın verilerin ifşa edildiğini ancak Ocak 2019’da ABD Sağlık ve İnsani Hizmetler Bakanlığı ile şirket tarafından sağlanan ve herkes tarafından çevrimiçi olarak erişilebilen elektronik PHI hakkında temasa geçmesinden sonra öğrendiği belirtildi.
Anlaşma belgelerine göre, yapılan bir araştırma, bir kodlama sorununun, 16 Mayıs 2016’dan 15 Ocak 2019’a kadar iki web sayfasının Bing Bots tarafından dizine eklenmesine izin verdiğini ortaya çıkardı. Bireylerin hassas bilgileri çevrimiçi arama motorları aracılığıyla görüntülenebiliyor ve indirilebiliyordu.
Indiana başsavcısının liderliğindeki bu anlaşmaya göre Inmediata, Porto Riko’nun yanı sıra 31 eyalete 1,4 milyon dolar ödemeyi kabul etti.
Inmediata ile yapılan anlaşmanın ayrıntıları, yerel düzenlemelere ve eyalet yasalarına bağlı olarak her eyalette biraz farklılık gösteriyor ancak genel olarak şirketin veri güvenliğini ve ihlal bildirimi uygulamalarını elden geçirmesini gerektiriyor.
Inmediata’nın, kod incelemesi ve tarama kontrolleri için özel gereksinimleri içeren kapsamlı bir bilgi güvenliği programı uygulaması, tüketici bildirim mektuplarına ilişkin özel politika ve prosedürleri içeren bir olay müdahale planı geliştirmesi ve beş yıl boyunca yıllık üçüncü taraf güvenlik değerlendirmelerinden geçmesi gerekmektedir.
Porto Riko ve Indiana’nın yanı sıra, Inmediata anlaşmasına katılan diğer eyalet başsavcıları Alabama, Arizona, Arkansas, Colorado, Connecticut, Delaware, Georgia, Iowa, Kansas, Kentucky, Louisiana, Maryland, Massachusetts, Michigan, Minnesota, Mississippi’dir. , Montana, Nebraska, New Hampshire, Kuzey Carolina, Ohio, Oklahoma, Oregon, Pensilvanya, Rhode Island, Güney Carolina, Tennessee, Utah, Washington, Batı Virginia ve Wisconsin.
Inmediata’nın eyaletlerle anlaşması, aynı olayla ilgili olarak şirkete karşı açılan toplu davada geçen yıl varılan 1,1 milyon dolarlık anlaşmanın ardından geldi (bkz: CaptureRX, Inmediata İhlalleri: Önerilen Uzlaşmalara Ulaşıldı).
Inmediata, Bilgi Güvenliği Medya Grubu’nun yorum talebine hemen yanıt vermedi.
Kişisel Dokunuş Yerleşimi
New York başsavcılığının çarşamba günü Personal Touch ile duyurduğu anlaşmadaki belgeler, Ocak 2021’de bir şirket çalışanının kimlik avı e-postasına eklenmiş kötü amaçlı yazılım içeren bir dosyayı açtığını ve bunun bir bilgisayar korsanının Personal Touch’ın ağına erişmesine ve hasta ve çalışan bilgilerini almasına olanak tanıdığını gösteriyor. şifrelenmemiş bir sunucudan gelen kayıtlar.
Başsavcı, ele geçirilen kayıtların onlarca yıl öncesine ait olduğunu ve binlerce kişinin isimleri, adresleri, Sosyal Güvenlik numaraları, tıbbi tedavileri ve mali bilgileri dahil olmak üzere gizli kişisel ve sağlık bilgilerini içerdiğini söyledi.
Başsavcılık tarafından yapılan soruşturma, Personal Touch’ın hasta ve çalışan verilerini korumak için makul veri güvenliği önlemlerini korumada başarısız olduğunu belirledi.
Başsavcılık, “Personal Touch’ın bilgi güvenliği ve risk yönetimi programı gayri resmi ve olgunlaşmamıştı. Personelinin güvenlik eğitimi yetersizdi, erişim kontrolleri zayıftı, sürekli izleme sisteminin eksikliği ve kişisel ve tıbbi verilerin şifrelenmesinde başarısızlık vardı.” bir açıklamada söyledi.
Başsavcılık, New York eyaletinin Kişisel Dokunuş olayıyla ilgili soruşturması sırasında, şirkete, çalışanlarının Sosyal Güvenlik numaraları da dahil olmak üzere kişisel bilgilerini etkileyen bir üçüncü taraf ihlalinin bildirildiğini söyledi.
Başsavcılık, Personal Touch’ın bu verileri sigorta komisyoncusuna sağladığını, onun da verileri güvenli olmayan bir siteye yerleştiren kayıt yazılımı satıcısı Falcon’a sağladığını söyledi.
Başsavcı, “Personal Touch’ın sigorta komisyoncusu ile HIPAA kapsamına girmeyen kişisel bilgilere uygulanan veri güvenliği standartlarına ilişkin herhangi bir anlaşması yoktu” dedi.
Falcon’un başsavcıyla yaptığı anlaşma uyarınca şirketin New York’a 100.000 dolar ceza ödemesi ve özel bilgilerin işlenmesinde şifreleme ve uygun erişim kontrollerinin kullanılmasını sağlaması gerekiyor.
Finansal anlaşmaya ek olarak, Personal Touch’ın hasta ve çalışan bilgilerini korumak için veri güvenliği uygulamalarını iyileştirmesi gerekiyor. Bu, düzenli risk değerlendirmeleri, mevcut güvenlik önlemlerinin düzenli olarak test edilmesi ve izlenmesi ve bilgi güvenliği programında düzenli güncellemeler dahil olmak üzere kapsamlı bir bilgi güvenliği programının sürdürülmesini içerir.
Personal Touch, ISMG’nin anlaşmalara ilişkin yorum talebine hemen yanıt vermedi.