Dolandırıcılık Yönetimi ve Siber Suçlar , Sağlık Hizmetleri , HIPAA/HITECH
Regal Medical Group İddiası İhmal, Diğer İddialara Karşı Önerilen Toplu Davalar
Marianne Kolbasuk McGee (SağlıkBilgisi) •
22 Şubat 2023
California’daki bir sağlık grubunun 1 Şubat’ta bir hastalık raporunun ardından son günlerde önerilen en az beş toplu dava açıldı. Geçen Aralık ayında 3,3 milyondan fazla kişiyi etkileyen fidye yazılımı saldırısı.
Ayrıca bakınız: Canlı Web Semineri | Çok Faktörlü Kimlik Doğrulamayı Hackleme: Bir BT Uzmanının 150 MFA Ürününü Test Ettikten Sonra Öğrendiği Dersler
Şimdiye kadar Regal Medical Group, ona bağlı Miras Sağlayıcı Ağı ve diğer bağlı gruplara karşı önerilen davalar, 13 Şubat’tan bu yana ABD Kaliforniya Merkez Bölgesi Bölge Mahkemesinde açılan dört federal şikayeti ve bir Kaliforniya’da açılan en az bir şikayeti içeriyor. 9 Şubat’ta eyalet mahkemesi.
3.000’den fazla doktoru olan ve kendisini Güney Kaliforniya’daki en büyük hekim liderliğindeki sağlık ağlarından biri olarak lanse eden Regal, 1 Şubat’ta Sağlık ve İnsani Hizmetler Departmanına bağlı birkaç tıbbi grubu etkilediğini bildirdi.
Hastaları olaydan etkilenen gruplar arasında Lakeside Medical Organization ve Orange County ve Greater Covina Medical Group’un Bağlı Doktorları yer alıyor. Gruplar aynı zamanda yönetilen bir bakım planı olan Heritage Provider Network’ün de üyeleridir (bkz.: California Medical Group’un Fidye Yazılım İhlali 3,3 milyonu etkiliyor).
Davacıları temsil eden hukuk firması Cole & Van Note’un avukatı Scott Edward Cole, “3,3 milyondan fazla kişinin verilerini tutan bu çok sayıda bağlı kuruluşun siber güvenlik yükümlülüklerini daha ciddiye almamış olması şaşırtıcı” diyor. Regal, Heritage ve diğer bağlı tıp gruplarına karşı Kaliforniya yüksek eyalet mahkemesinde açılan bir dava.
Cole, Information Security Media Group’a “Burada erişilen bilgiler, sağlık ve finansal verilerin Kutsal Kâse’siydi, yani suçlular için olağanüstü derecede değerli olan türden bilgilerdi” dedi.
Federal mahkemede açılan davalardan birinde davacıları temsil eden Zimmerman Reed LLP’nin ortaklarından Avukat Brian Gudmundson, kendisinin ve hukuk ekibinin müvekkillerinin iddialarını ve bu davanın tüm mağdurlarının haklarını takip etmeyi sabırsızlıkla beklediklerini söylüyor. “önlenebilir” ihlal.
Gudmundson, “Hem bu veri ihlalindeki inanılmaz sayıda kurbandan hem de Sosyal Güvenlik numaralarını ve sağlık bilgilerini içerdiği iddia edilen son derece hassas verilerden çok endişeliyiz” diyor.
Regal ve Heritage, ISMG’nin sürmekte olan dava hakkında yorum yapma taleplerini reddetti.
Dava İddiaları
Davaların her biri, toplu dava sertifikası istiyor ve Regal’e karşı benzer iddialarda bulunuyor.
İddialar arasında, kuruluşun, bireylerin hassas sağlık bilgilerini koruma konusunda ihmalkar davrandığı; kuruluşun California gizlilik, tüketici ve haksız ticaret yasaları ve ayrıca HIPAA ve Federal Ticaret Komisyonu Yasası dahil olmak üzere çeşitli eyalet ve federal yasaları ihlal ettiğini; ve olayın davacıları ve sınıf üyelerini, kimlik hırsızlığı ve dolandırıcılık da dahil olmak üzere önemli zarar riski altına soktuğunu.
Davacı tarafından 16 Şubat’ta açılan federal dava şikayetinde, “Veri ihlallerinin yaygınlığını bilmesine rağmen, Regal Medical Group, son derece hassas sistemlerine ve veritabanlarına yetkisiz erişimi önlemek ve tespit etmek için makul veri güvenliği önlemlerini benimseyerek veri güvenliğine öncelik vermeyi başaramadı.” Kendisi ve benzer durumdaki diğerleri adına David Rodriguez.
Davada, “Regal Medical Group’un bir ihlali önleyecek kaynaklara sahip olduğu, ancak artan sayıda kamuoyuna duyurulan ihlallere rağmen veri güvenliğine yeterince yatırım yapmayı ihmal ettiği” iddia ediliyor. Diğer şeylerin yanı sıra, Regal’in kendi sistemlerini yeterince analiz edip test etmediğini, kendi personelini eğitmediğini ve güvenlik açıklarının önlenmesini veya düzeltilmesini ve davacının ve sınıf üyelerinin verilerinin korunmasını sağlamak için diğer veri güvenliği önlemlerini almadığını söylüyor.
Çeşitli davalar tarafından talep edilen tazminat, Regal’in şikayetlerde açıklandığı gibi “yasadışı eylemler, ihmaller ve uygulamalar” yapmasını yasaklamak için fiili ve cezai zararları ve kalıcı ihtiyati tedbiri içerir.
İhlal Ayrıntıları
Regal, ihlal bildiriminde 2 Aralık 2022’de çalışanların kuruluşun sunucularından bazılarına erişimde zorluk fark ettiğini söylüyor.
Bildirimde, “kapsamlı” bir incelemenin ardından, Regal’in bazı sunucularında bir tehdit aktörünün verilere erişmek ve verileri sızdırmak için kullandığı kötü amaçlı yazılım tespit edildiği belirtiliyor. Bildirimde, Regal’in ihlalden 8 Aralık’ta haberdar olduğu ve ihlalin “1 Aralık’ta veya civarında” meydana geldiği belirlendi.
Olayda potansiyel olarak ele geçirilen hasta verileri arasında adlar, Sosyal Güvenlik numaraları, adresler, doğum tarihleri, teşhis ve tedavi bilgileri, laboratuvar test sonuçları, reçete verileri, radyoloji raporları, sağlık planı üye numaraları ve telefon numaraları yer alır.
Kuruluş, etkilenen kişilere bir yıllık ücretsiz kredi izleme sunuyor ve olay hakkında kolluk kuvvetlerine bilgi verdiğini söylüyor.
Çarşamba günü itibariyle, Regal ihlali, 2023’te HHS Sivil Haklar Ofisi’nin HIPAA İhlal Raporlama Aracı web sitesinde 500 veya daha fazla kişiyi etkileyen sağlık verisi ihlallerini listeleyen şimdiye kadar bildirilen en büyük ihlaldi. Regal, ihlali HHS OCR’ye bir ağ sunucusunu içeren bir bilgisayar korsanlığı olayı olarak bildirdi.