Veri Gizliliği, Veri Güvenliği, Sağlık
2024’teki Ayrı Saldırılardan Etkilenen 2 Firma Toplu Davada Toplam 6,5 Milyon Dolar Ödemek Üzere
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
10 Ekim 2025
Nebraska merkezli bir gelir döngüsü yönetimi firması ve Amerika Birleşik Devletleri’nde kan plazması toplama merkezleri bulunan İsviçre merkezli bir ilaç üreticisi, 2024’te çok sayıda hastayı etkileyen hack’lerin ardından multimilyon dolarlık dava ödemeleri yapmayı kabul eden en son sağlık sektörü şirketleri oldu.
Ayrıca bakınız: Panel Tartışması | Daha hızlı pazara sunma süresi ve gelişmiş yatırım getirisi için HITRUST sertifikasyonunu hızlandırın
Maryland merkezli Health Prime tarafından 2023 yılında satın alınan ancak Lincoln, Nebraska’daki ofisinden tıbbi faturalandırma ve gelir döngüsü yönetimi hizmetleri sağlayan ALN Medical Management, bu hafta Mart 2024’te meydana gelen bir siber olayla ilgili önerilen toplu dava davasını sonuçlandırmak için 4 milyon dolar ödemeyi kabul etti.
ALN, olayı ilk olarak Mayıs 2024’te ABD federal düzenleyicilerine 501 kişiyi etkileyen bir HIPAA veri ihlali olarak bildirdi; bu, yer tutucu bir tahmindir. Ancak şirket daha sonra yaklaşık 1,3 milyon kurbana ilişkin revize edilmiş bir tahmin sundu. Mahkeme belgeleri, olayın aslında yaklaşık 1,8 milyon kişiyi etkilediğini gösteriyor.
Mahkemenin uzlaşmaya ilişkin ön duruşma tarihi henüz belirlenmedi.
Bu arada Octapharma Plasma, Nisan 2024’te BT sistemlerini kesintiye uğratan bir saldırının ardından açılan toplu davayı çözmek için 2,55 milyon dolar ödeyecek.
Octapharma Plasma, eyalet düzenleyicilerine saldırının yaklaşık 272.000 kişinin kişisel bilgilerini tehlikeye attığını bildirdi. Merkezi Kuzey Carolina’da bulunan firma, 35 eyalette 190 kan plazması bağış merkezi işletiyor ancak sahibi İsviçre merkezli Octapharma AG’nin Lachen kenti.
Octapharma Plazma anlaşmasına ilişkin nihai duruşma 4 Aralık’ta yapılacak.
Yerleşim Detayları
ALN ve Octapharma Plasma’ya karşı açılan toplu dava davalarının her biri, davacıların ve grup üyelerinin hassas bilgilerinin korunmaması konusundaki ihmal de dahil olmak üzere benzer iddialarda bulundu.
Her iki yerleşim yerinin de şartları benzerdir. Her birinde, uygun sınıf üyeleri, ilgili veri güvenliği olayıyla ilgili belgelenen kayıplar için 5.000 ABD Dolarına kadar talepte bulunabilir.
ALN sınıfı üyelerinin bunun yerine tahmini olarak 50 ABD Doları tutarında oranlı bir nakit tazminat ödemesi için talepte bulunma seçeneği var.
Octapharma Plazma sınıfı üyeleri bunun yerine 100$’a kadar nakit ödemeyi de seçebilirler. Ayrıca, saldırının gerçekleştiği 17 Nisan 2024 itibarıyla Kaliforniya’da ikamet eden Octapharma Plasma sınıfı üyeleri, ekstra 50 ABD doları sabit nakit ödeme talep edebilir.
Her iki yerleşim birimi de ilgili sınıf üyelerine kredi ve kimlik izleme olanağı sağlar. ALN sınıfı üyelerine bir yıllık ücretsiz kredi ve tıbbi kimlik izleme olanağı sunulurken, Octapharma Plazma sınıfı üyelerine üç yıllık ücretsiz kredi ve kimlik izleme olanağı sunuluyor.
Octapharma Plasma anlaşmasındaki davacıların avukatlarının net uzlaşma fonunun yaklaşık üçte birini veya yaklaşık 842.000 $ alması planlanıyor.
ALN anlaşmasında talep edilen avukatlık ücretlerinin ayrıntıları henüz mahkeme belgelerinde mevcut değil.
İhlal Ayrıntıları
Hem ALN hem de Octapharma siber olayları, sağlık sektöründeki üçüncü taraf tedarikçilere yönelik saldırılardaki son eğilimleri vurguluyor.
ALN, veri hırsızlığı ve hastaların korunan sağlık bilgilerine veya kişisel olarak tanımlanabilir bilgilerine yönelik diğer riskleri içeren siber saldırılarla ihlal edilen faturalandırma, gelir döngüsü yönetimi, tıbbi kodlama ve üçüncü taraf yazılım ve hizmet firmalarının giderek büyüyen bir listesi arasındadır (bkz.: Gelir Döngüsü Yönetim Firması Hack’i Hastaları ve Müşterileri Etkiliyor).
Mahkeme belgelerinde açıklandığı gibi, 18 Mart ile 24 Mart 2024 tarihleri arasında, yetkisiz bir aktör, ALN’nin üçüncü taraflarca barındırılan ortamındaki belirli sistemlere erişti.
Olayla ilgili yapılan soruşturmada, tehdit aktörünün ALN müşterilerinin hizmet verdiği hastaların özel bilgilerini içeren dosya ve klasörlere eriştiği ve bunları ele geçirdiği belirlendi.
Bu bilgiler arasında isimler de vardı; Sosyal Güvenlik numaraları; sürücü belgesi numaraları; pasaportlar ve devlet kimlik kartları gibi devlet tarafından verilen kimlik numaraları; hesap numarası, kredi veya banka kartı numaraları dahil mali bilgiler; tıbbi bilgiler ve sağlık sigortası bilgileri.
Octapharma Plazma olayı, 2024’ün başından bu yana kan tedarikçilerine ve ilgili hizmet kuruluşlarına yönelik çok sayıda siber saldırıdan biriydi (bkz.: FDA, Kan Tedarikçilerini Siberi Güçlendirmeye Çağırıyor).
Octapharma Plazma olayı, firmanın kan toplama ve işleme operasyonlarını 2024’te birkaç hafta boyunca kesintiye uğrattı (bkz.: Şüpheli Saldırı ABD Kan Plazma Bağış Merkezlerini Kapattı).
Octapharma Plasma, ihlal bildiriminde 17 Nisan 2024’te BT sistemlerinde şüpheli etkinlik tespit ettiğini söyledi.
Olayla ilgili olarak yapılan bir soruşturmada, aynı gün yetkisiz bir tarafın, şirketin dosya paylaşım sisteminde saklanan isimler, doğum tarihleri, Sosyal Güvenlik numaraları, sağlık bilgileri ve bağışçı uygunluk bilgileri dahil bilgileri ele geçirdiğine dair kanıtlar bulundu.
Octapharma Plasma, olayı FBI’a bildirdiğini söyledi.
Geçtiğimiz ay, Temmuz 2024’te yaklaşık 170.000 kişinin bilgilerini ele geçiren bir fidye yazılımı saldırısına maruz kalan ABD’deki bir başka kan tedarik kuruluşu OneBlood, bu olayın ardından açılan önerilen toplu dava davasının çözümlenmesi için 1 milyon dolar ödemeyi kabul etti (bkz.: OneBlood, Fidye Yazılımı Hack’inde 1 Milyon Dolarlık Ödemeyi Kabul Etti).