Sağlık Hizmetleri, Sektöre Özel, Davalar
Enzo Biochem Daha Önce Aynı İhlalden Dolayı Üç Eyalete 4,5 Milyon Dolarlık Para Cezası Ödemişti
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
17 Ocak 2025
Biyoteknoloji firması Enzo Biochem, 2023 yılında 2,5 milyon insanı etkileyen bir fidye yazılımı saldırısını içeren toplu dava önerisini çözüme kavuşturmak için 7,5 milyon dolar ödemeyi kabul etti. Şirket, aynı olay nedeniyle halihazırda üç eyalet başsavcısına 4,5 milyon dolar para cezası ödedi.
Ayrıca bakınız: Panel Tartışması | Daha hızlı pazara sunma süresi ve gelişmiş yatırım getirisi için HITRUST sertifikasyonunu hızlandırın
Anlaşmaya göre sınıf üyeleri, belgelenen cepten yapılan harcamaların ve zararların geri ödenmesi için 10.000 $’a kadar ödeme talebinde bulunabilirler. Grup üyeleri bunun yerine, tüm talepler alınıp değerlendirildikten sonra uzlaşma fonundan eşit olarak dağıtılan tutara dayalı bir nakit ödemeyi de seçebilirler.
Sınıf üyelerine ayrıca iki yıllık sağlık verileri ve kredi izleme hizmetleri sunulacak.
Şirket, 13 Ocak’ta ABD Menkul Kıymetler ve Borsa Komisyonu’nda yaptığı açıklamada, New York federal mahkemesinin onayına tabi olan teklif edilen anlaşmanın aynı zamanda Enzo Biochem’in veri koruma sistemlerinde “yapılan” belirli yükseltmeleri de yapmasını gerektirdiğini söyledi. dosyalama.
Önerilen çözüm belgesi, Enzo Biochem’in uygulamayı kabul ettiği güvenlik iyileştirmelerinin şunları içerdiğini gösteriyor:
- Sistem yöneticisi hesapları dahil tüm bireysel kullanıcı hesapları için çok faktörlü kimlik doğrulama ve ağına uzaktan erişim;
- Döndürülebilen güçlü, karmaşık parolalar gerektiren politika ve prosedürler;
- Toplanan, saklanan, iletilen ve muhafaza edilen tüketici kişisel bilgilerinin şifrelenmesi;
- BT ortamına yetkisiz erişimi tespit etmek ve önlemek için tasarlanmış izinsiz giriş tespit ve önleme sistemleri.
Devletlerin Bulguları
Geçtiğimiz yıl üç eyalet düzenleyicisiyle imzalanan anlaşma uyarınca Enzo Biochem, siber güvenliğini güçlendirmek için bir dizi önlem uygulamayı da kabul etti. Anlaşma, hukuk davası anlaşmasında gerekli olan iyileştirmelerin birçoğunu içeren kapsamlı bir program gerektiriyordu (bkz: 3 Eyalet AG’sinin İnce Biyoteknoloji Firması 2023 Hack’i için 4,5 Milyon Dolar).
Bu önlemlere ek olarak, eyalet savcılığının genel anlaşması Enzo Biochem’in yıllık risk değerlendirmeleri yapmasını ve belgelemesini gerektiriyordu.
Eyalet düzenleyicileri, raporlarında birkaç iddia edilen başarısızlığa dikkat çekerek, Enzo Biochem’in Kasım 2021’de yapılan HIPAA risk analizi sırasında saldırıdan yaklaşık iki yıl önce bazı riskleri tespit ettiğini ve iyileştirme için adımlar önerdiğini belirtti. 2017 – ancak şirket bunları uygulamadı.
Nisan 2023’te Enzo Biochem’e yönelik fidye yazılımı saldırısında bilgisayar korsanları, milyonlarca hastanın adları, adresleri, doğum tarihleri, telefon numaraları ve Sosyal Güvenlik numaralarının yanı sıra tıbbi tedavi ve teşhis bilgileri de dahil olmak üzere sağlık ve kişisel bilgilerini içeren dosyaları ve verileri çaldı.
Hukuk davası anlaşması uyarınca Enzo Biochem, herhangi bir yanlış davranışı veya sorumluluğu kabul etmez.
Enzo Biochem, Bilgi Güvenliği Medya Grubu’nun önerilen toplu dava davası çözümüne ilişkin yorum yapma ve bilgisayar korsanlığı olayıyla ilgili ek ayrıntılara ilişkin talebine hemen yanıt vermedi.
Pahalı Yerleşimler
Enzo Biochem davasında yer almayan ruhsatlandırma avukatı Rachel Rose, şirketin son anlaşmasının iki eğilimi takip ettiğini söyledi.
“Önce devlet kurumları çözüme kavuştu. İkincisi, toplu davanın uzlaşma tutarı önemli ölçüde daha yüksekti” dedi.
Toplu davaların çoğunun ya ihmal ortak hukukuna ya da menkul kıymetler kanunu ihlallerine dayandığını, diğer kuruluşların da bunu aklında tutması gerektiğini söyledi. “Düzenleyici gerekliliklerin ne olduğunu anlamak önemlidir; çünkü bunlar bir ‘görevin’ ve ‘görevin ihlalinin’ veya bakım standardının temelini oluşturur.”
Eyalet düzenleyicilerinin yanı sıra, veri ihlali yaşayan çeşitli sağlık sektörü kuruluşları da ABD Sağlık ve İnsani Hizmetler Bakanlığı, Federal Ticaret Komisyonu ve SEC dahil olmak üzere çeşitli federal kurumların potansiyel yaptırım eylemleri olasılığıyla karşı karşıyadır.
Rose, “SEC’in Nihai Siber Kuralı, uygulama fırsatı için başka bir temel sağlıyor ve gereklilikler, menkul kıymet toplu davalarına dahil edilebilir” dedi. Bir kuruluşun genel risk yönetimi stratejisinin bir parçası olarak, raporlanabilir bir siber güvenlik olayı durumunda potansiyel maliyetlerin belirlenmesinin önemli olduğunu söyledi.
“Hem devlet kurumlarının uygulama eylemleri hem de toplu davalarla ilgili maliyetler göz ardı edilemez” dedi. Örneğin, 2014 yılında sağlık sigortası şirketi Anthem’e düzenlenen ve yaklaşık 79 milyonun korunan sağlık bilgilerinin ele geçirilmesine neden olan siber saldırı da birden fazla anlaşmaya yol açtı.
“HHS HIPAA icra davası 16 milyon $’a karara bağlanırken, ilgili toplu dava yaklaşık 115 milyon $’a karar verdi. Aradaki fark, hem fiili tutardan hem de önemli. [perspective] ve kazançlar üzerindeki potansiyel etkisi” dedi.
Olası yasal ve düzenleyici masraflar da dahil olmak üzere ihlallerin maliyetlerinin karşılanmasına yardımcı olmak için kuruluşlar belirli siber sigorta kapsamını almayı da dikkatle düşünebilir.
“Siber sigorta poliçelerini gözden geçirmek her zaman ihtiyatlı bir davranıştır” dedi. “Belirli önkoşulların mevcut olmadığı halde mevcut olduğunu kanıtlamamak da aynı derecede önemlidir. Örneğin eğitim, yıllık risk analizi vb. İçtihat hukukunun gösterdiği gibi, uyumun yanlış beyan edilmesi bir sigorta şirketi tarafından tazminat talebinin reddedilmesinin temelini oluşturabilir “