İhlal Bildirimi , Mevzuat & Dava , Güvenlik İşlemleri
NJ, Pensilvanya, Oregon, Florida Yerleşimleri NY Düzenleyicileri Tarafından Daha Önce Uygulanan Para Cezalarını Takip Ediyor
Marianne Kolbasuk McGee (SağlıkBilgisi) •
17 Mayıs 2023
Dört eyaletin başsavcıları, Amerika Birleşik Devletleri’nde 2,1 milyon kişinin kişisel verilerini ifşa eden 2020 e-posta kimlik avı olayıyla ilgili bir soruşturmayı sonuçlandırmak için görme bakımı sağlayıcısı EyeMed’e 2,5 milyon dolar para cezası verdi.
Ayrıca bakınız: Araçlar ve Teknoloji: Yönetişim, Risk ve Uyum Başucu Kitabı
EyeMed ile New Jersey, Florida, Pensilvanya ve Oregon arasındaki uzlaşma, şirketin geçen yılın sonlarında aynı ihlal için New York düzenleyicilerine ödemeyi kabul ettiği 5,1 milyon dolarlık cezaların hemen ardından geliyor (bkz:: NY, EyeMed Vision’a Başka Bir İhlal Cezası Verdi).
Davaya eş başkanlık eden New Jersey Başsavcısı Matthew Platkin, en son eyalet yaptırım eylemlerinin EyeMed’in potansiyel HIPAA ihlalini ve eyalet tüketici koruma yasalarını ihlalini çözdüğünü söyledi.
2020 kimlik avı olayı Florida’da 90.000, New Jersey’de 52.000, Pennsylvania’da 61.000 ve Oregon’da 11.000 kişiyi etkiledi.
EyeMed, New Jersey, Florida ve Oregon ile yapılan anlaşma kapsamında 750.000 $’lık bir uzlaşma ödemesi alacak. New Jersey başsavcılığından bir sözcü, Information Security Media Group’a verdiği demeçte, Pennsylvania’ya 250.000 $ alacak.
Dört eyalete yapılan mali ödemelere ek olarak, İtalyan gözlük şirketi Luxottica Group PIVA’nın Ohio merkezli bir yan kuruluşu olan EyeMed, veri gizliliğini ve güvenliğini iyileştirmek için bir önlemler listesi uygulamayı kabul etti.
Bu, çok faktörlü kimlik doğrulamayı, güvenlik olaylarını algılamak, analiz etmek ve yükseltmek için kapsamlı izleme ve analizi ve EyeMed’in tüm e-posta hesapları için e-posta koruması ve filtreleme çözümlerini sürdürmeyi içerir.
“Bu sadece parasal bir anlaşmadan daha fazlası. Platkin yaptığı açıklamada, önemli hasta verilerini daha iyi korumak için şirketlerin davranışlarını değiştirmekle ilgili” dedi.
İhlal Ayrıntıları
Anlaşma, Haziran 2020’de yetkisiz bir kullanıcının bir EyeMed e-posta hesabına erişerek Sosyal Güvenlik numaraları, isimler, adresler, doğum tarihleri, telefon numaraları, e-posta adresleri, tıbbi teşhisler ve tedavi bilgileri dahil olmak üzere yaklaşık altı yıllık tüketici bilgilerini ifşa ettiğini belirtiyor.
Diğer güvenlik açıklarının yanı sıra, birkaç EyeMed çalışanı, e-posta hesaplarının ortak kullanımını yasaklayan bir şirket politikasına rağmen, görme faydaları kaydı ve kapsam bilgileri dahil olmak üzere hassas tüketici verilerini iletmek için kullanılan bir e-posta hesabında tek bir parola paylaştı.
EyeMed sistem yöneticileri olayı, saldırganın kayıt hesabından müşteri oturum açma kimlik bilgilerini isteyen yaklaşık 2.000 kimlik avı e-postası göndermesinden sonra tespit etti.
EyeMed, olay sırasında, 2018’de Microsoft Office 365 e-posta platformuna geçtikten sonra çok faktörlü kimlik doğrulamayı kullanıma sunuyordu, ancak Eylül 2020’ye kadar kullanıma sunma işlemini tamamlamadı.
İhlalden önce EyeMed, risk değerlendirmesi yapmak için üçüncü tarafları görevlendirdi, ancak bu değerlendirmeler şirketin e-posta sistemini değerlendirmedi.
Anlaşmaya göre EyeMed, dört eyaletteki etkilenen bireylere iki yıllık kredi ve kimlik takibi sağlamalıdır.
EyeMed, ISMG’nin uzlaşmayla ilgili yorum talebine hemen yanıt vermedi.