Dolandırıcılık Yönetimi ve Siber Suç, Sağlık, Sektöre Özel
2023’te Maryland Merkezli Hastaneye Yapılan Fidye Yazılımı Saldırısında Yaklaşık 137.000 Kişi Etkilendi
Marianne Sosis McGee (SağlıkBilgiGüvenliği) •
21 Ağustos 2024
2023 yılında 137.000 kişinin kişisel bilgilerini etkileyen Atlantic General Hospital’a yönelik bir fidye yazılımı saldırısı, birleşik federal toplu dava teklifinin 2,25 milyon dolarlık ön anlaşmasına yol açtı.
Ayrıca bakınız: VMware Carbon Black Uygulama Denetimi
Merkezi Berlin, Maryland’de bulunan kar amacı gütmeyen Atlantic General Hospital, Maryland, Virginia ve Delaware’de 17 lokasyonda ofisleri bulunan 40 aile hekimi, iç hastalıkları uzmanı ve uzmanı da bünyesinde barındıran Atlantic General Health System’ın bir parçasıdır.
Ağustos 2023’te Maryland federal mahkemesinde açılan düzeltilmiş birleştirilmiş dava dilekçesinde, davacının ve sınıf üyelerinin Atlantic General’in “sözleşmesel, yasal ve genel hukuk yükümlülüklerini yeterince yerine getirmede ihmalkar, pervasız, kasıtlı ve/veya vicdansız başarısızlığı” nedeniyle veri ihlalinden dolayı kimlik hırsızlığı ve dolandırıcılık suçlarına yakalanma riskinin arttığı iddia edilmektedir.
Dava, Atlantic General’in veri güvenliği uygulamalarını iyileştirmesini emreden yasal ve cezai tazminatların yanı sıra ihtiyati tedbir talep ediyordu (bkz: Maryland Fidye Yazılımı İhlalinde Mağdur Sayısı Beş Kat Arttı).
Önerilen anlaşmaya göre, sınıf üyeleri veri ihlali sonucu oluşan belgelenmiş kayıpların geri ödenmesi için 5.000 dolara kadar geçerli taleplerde bulunabilecekler.
Bunlara banka ücretleri, kredi raporu veya izleme ücretleri, uzun mesafe telefon ücretleri, dakika başına tahsil ediliyorsa cep telefonu ücretleri ve posta, noter, faks, fotokopi, kilometre ve yerel seyahat için benzin gibi açıklamaya tabi çeşitli nitelikli masraflar dahildir.
Alternatif olarak, yerleşim sınıfı üyeleri bunun yerine nakit ödül için geçerli bir talepte bulunabilirler. Bu nakit ödülün miktarı, diğer tüm talep türlerinin ödemelerinden sonra kalan net yerleşim fonlarının toplamına bağlıdır.
Geçerli bir talepte bulunan her yerleşim sınıfı üyesi ayrıca üç yıllık kredi ve kimlik izleme hizmetleri almayı seçebilir.
Önerilen anlaşma, Atlantic General Hospital’ın herhangi bir özel veri güvenliği iyileştirmesi yapmasını gerektirmiyor gibi görünüyor. Ancak belge, Atlantic General’ın “anlaşma sınıfı üyelerinin özel Bilgilerini daha fazla korumak için değişiklikler ve iyileştirmeler” yaptığını veya yapmakta olduğunu belirtiyor.
Uzlaşma sınıfı avukatları uzlaşma fonunun üçte birini veya 750.000 doları talep ediyor.
Önerilen uzlaşma için nihai adalet mahkemesi duruşması 5 Eylül’de yapılacak. Mahkeme, nisan ayı sonlarında uzlaşmaya ilişkin ön onayı verdi.
Anlaşmanın bir parçası olarak Atlantic General, herhangi bir yanlış yapmayı ve “davada kendisine karşı ileri sürülen tüm iddiaları ve iddiaları” reddediyor, diyor anlaşma belgesi.
Atlantic General Hospital, Information Security Media Group’un önerilen anlaşma ve bilgisayar korsanlığı ihlali hakkında ek ayrıntılar hakkındaki yorum talebine hemen yanıt vermedi.
Davaya dahil olmayan Hales Hukuk Grubu’ndan düzenleyici avukat Paul Hales, Atlantic General Hospital davasında varılan anlaşmanın “sağlık verisi ihlali toplu davalarının doğasını ve sağlık sektörü üzerindeki ani ve önemli etkisini açıkladığını” söyledi.
Davacı avukatların “sağlık mahremiyeti yasalarının en korkutucu uygulayıcıları” olduğunu söyledi.
Hales’e göre, “Toplu dava açmak ve savunmak önemli bir hukuki beceri gerektirir.”
Bu yasal davalarla ilgili masraflar hızla birikebilir. Ancak söz konusu para, hassas kişisel bilgilerinin haksız yere ifşa edilmesinden zarar gören kişilere ödenen meblağların ötesine geçiyor, dedi. “Bu, davalıların tasarruf ettiği yasal ve itibar maliyetleri ve davacıların avukatlarının kazandığı yasal ücretlerle ölçülüyor.”
İhlal Detayları
Atlantic General, 29 Ocak’ta yayınladığı ihlal bildiriminde, belirli sistemlerdeki dosyaların şifrelendiğini tespit ettiğini bildirdi.
Bu keşfin ardından geçen günlerde Atlantic General, olaydan sonra toparlanma sürecinde ayaktan görüntüleme hizmetlerini, acil laboratuvar hizmetlerini ve eczanesini geçici olarak kapattı (bkz: Sağlık Hizmetlerine Yönelik Siber Saldırı Dalgası Florida ve Maryland’e Ulaştı).
Atlantic General, adli tıp incelemesinin belirli sunuculara yetkisiz erişimin 20 Ocak 2023’te başladığını belirlediğini söyledi. Sağlık şirketi, saldırının keşfedilmesinin ardından sistemlerini güvence altına almak için adımlar attığını söyledi.
Atlantic General, 24 Mart 2023’te veri ihlali bildirimini 30.407 kişiye gönderdi. Ancak 15 Mayıs 2023’te daha detaylı inceleme, etkilenen toplam kişi sayısının 136.981 olduğunu belirledi. Atlantic General daha sonra ek kişileri ihlal hakkında bilgilendirdi.
Hastaneden yapılan açıklamada, yetkisiz erişime konu bilgiler arasında her bir kişinin adı, Sosyal Güvenlik numarası, ehliyet numarası, finansal hesap bilgileri, doğum tarihi, tıbbi kayıt numarası, tedavi eden/sevk eden doktor, sağlık sigortası bilgileri, abone numarası, tıbbi geçmiş bilgileri ve teşhis/tedavi bilgileri yer aldığı belirtildi.