Veri ihlali bildirimi, veri güvenliği, sağlık hizmetleri
Allegheny Sağlık Ağı ve Intrasystems’e karşı önerilen sınıf eylemleri
Marianne Kolbasuk McGee (Healthinfosec) •
29 Ocak 2025
Pittsburgh merkezli bir sağlık sistemi ve Massachusetts merkezli BT hizmetleri satıcısı, 17 Ocak’ta bildirilen bir hack ihlali içeren en az yedi federal sınıf eylem davası ile karşı karşıya.
Ayrıca bakınız: Panel Tartışması | Daha hızlı piyasaya sürme ve geliştirilmiş yatırım getirisi için hitrust sertifikasını hızlandırın
Batı Pennsylvania’daki 300’den fazla klinik yer ve ofiste 14 hastane ve 200’den fazla birincil ve özel bakım uygulamasına sahip Allegheny Sağlık Ağı, “yetkisiz bir kullanıcı” satıcı intrasystems’i hacklediğini söyledi.
Intrasystems, Ahn’ın iştiraki ev tıbbi ekipmanlarını ve ev infüzyon şirketlerini destekleyen bazı BT sistemlerine ev sahipliği yapıyor ve yönetiyor.
Sağlık kuruluşu, intrasystems’teki siber güvenlik olayının 11 Ekim 2024’ten başlayarak bilgisayar sistemlerine yetkisiz erişime yol açtığını ve Anh 19 Kasım 2024’te hack’i öğrendiğini söyledi.
AHN, Intrasystems tarafından barındırılan hacklenen AHN sistemlerinin, Ahn’ın ev tıbbi ekipmanlarından ve ev infüzyon terapisi hizmetlerinden hizmet alan hastaların bilgilerini içerdiğini söyledi. “Yetkisiz kullanıcı bu bilgilerin bir kısmını elde edebildi.”
Ahn, “Keşfedildikten sonra, hasta bilgilerini araştırmak ve güvence altına almak ve sistemlere yetkisiz erişimi ve bunların verilerini durdurmak için acil adımlar atıldı.” Dedi. “Etkilenen sistemlere yetkisiz erişimin sonlandırılmasının yanı sıra, bu sistemleri hemen çevrimdışı almak da dahil olmak üzere, ek yetkisiz erişimi önlemek için diğer sistemlerle bağlantılar kapatıldı. Kolluk kuvvetleri de bildirildi.”
Etkilenen bilgiler, hastaların isimlerini, doğum tarihlerini, adresleri, sosyal güvenlik numaralarını, finansal hesap numaralarını içerebilir – ancak erişim kodu yok – sağlık sigortası kimlik numaraları, sağlık sigortası bilgileri ve tedavi bilgileri – teşhisler, sağlayıcı bilgileri, tedaviler ve prosedürler dahil , hizmet tarihleri, reçete bilgileri ve tıbbi cihaz seri numaraları, dedi Ahn. “Ahn, bu olay sonucunda herhangi bir gerçek veya denenmiş kimlik hırsızlığı veya sahtekarlığının farkında değildir.”
Son günlerde, diğer birçok hukuk firması, potansiyel sınıf eylem davaları için AHN/Intrasystems olayını araştırdıklarını belirten kamu açıklamaları yayınlamıştır.
Çarşamba itibariyle, Massachusetts ve Pennsylvania federal mahkemelerinde Ahn ve Intrasystems’e karşı ortak sanıklar olarak en az yedi sınıf eylem davası açılmıştı. Davacılar, iki firmanın hastaların hassas sağlığı ve kişisel bilgilerini güvence altına almamaları da dahil olmak üzere benzer iddialarda bulunuyor.
Ne Ahn ne de Intrasystems, Fidye Güvenliği Medya Grubu’nun yorum taleplerine ve olay hakkında bir fidye talep edilip edilmediği ve başka bir intrasystems müşterilerinin hack’ten etkilenip etkilenmediği de dahil olmak üzere ek bilgilere hemen yanıt vermedi.
Satıcı ihlalleri
Intrasystems olayı, çok sayıda hastayı etkileyen bir BT hizmetleri satıcısını içerenler de dahil olmak üzere uzun bir iş ortağı ihlali listesinin en sonuncusudur.
Çarşamba günü, AHN/Intrasystems olayı, ABD Sağlık ve İnsan Hizmetleri Bakanlığı’nın 500 veya daha fazla kişiyi etkileyen sağlık veri ihlallerini listeleyen HIPAA Breach Raporlama Aracı web sitesine gönderilmedi.
Bununla birlikte, şu ana kadar Çarşamba günü HHS’nin Sivil Haklar İhlali Ofisi web sitesi, 2025’te şu ana kadar bildirilen 49 büyük sağlık verisi ihlali gösteriyor ve toplam 651.000 kişiyi etkiliyor. Bunlardan yaklaşık 470.000 kişiyi etkileyen 32 olay üçüncü taraf iş ortaklarını içeriyordu.
Geçen yıl, BT hizmetleri satıcılarını içeren iş ortakları olayları, büyük ihlallerden etkilenen çok sayıda bireyden sorumluydu.
2024’te Çarşamba günü, HHS OCR web sitesi 185.3 milyondan fazla kişiyi etkilediği bildirildiği bildirildi. Bunlardan 220 ihlalin yaklaşık 132 milyon insanı etkileyen iş ortaklarını dahil ettiği bildirildi.
Çarşamba günü HHS OCR web sitesi, geçen hafta geç saatlerde BT hizmetleri dev değişim sağlık hizmetlerinin güncellenmiş açıklamasını henüz yansıtmadı, Şubat 2024 fidye yazılımı ihlali, 190 milyon insanı etkiledi – Ekim 2024’te şirket tarafından bildirildiği gibi 100 milyonluk bir tahminden (Görmek: Sağlık Healthcare artık 190 milyon veri ihlali kurbanını sayıyor).
Change Healthcare’in gözden geçirilmiş rakamlarını yansıtacak şekilde güncellendikten sonra, federal web sitesi 275.3 milyon insanı etkileyen en az 725 ihlal gösterecek ve 141 milyon kişiyi etkilemekten sorumlu 220 iş ortağı olayları.