Davalar: Hastane Zinciri, Fidye Yazılımı İhlali Nedeniyle Verileri Koruyamadı
Marianne Kolbasuk McGee (SağlıkBilgisi) •
24 Ocak 2023
CommonSpirit, hassas sağlık bilgilerini korumada ihmalkar bir şekilde başarısız oldu ve 623.000’den fazla hastayı etkileyen bir veri güvenliği ihlaliyle sonuçlandı – ve belki de çok daha fazlası, hastane zincirinin 2022 fidye yazılımı saldırısının ardından açılan önerilen iki federal toplu davada davacı iddiasında bulunuyor.
Ayrıca bakınız: Ödemek mi Ödememek mi? Fidye Yazılımlarına Hazırlık için Kanıtlanmış Adımlar
Biri 13 Ocak, diğeri 29 Aralık 2022’de açılan davaların her biri, Chicago merkezli CommonSpirit’in merkezinin bulunduğu ABD Illinois Kuzey Bölgesi Bölge Mahkemesinde görülüyor (bkz:: CommonSpirit Fidye Yazılımı İhlali Şimdiye Kadar Yaklaşık 624.000 Kişiyi Etkiledi).
Her iki dava da CommonSpirit aleyhine benzer iddialarda bulunsa da, şikayetlerden biri CommonSpirit’in yalnızca Washington eyaletindeki Virginia Mason Franciscan Health kuruluşlarının veri ihlalinden etkilendiğini bildirmesine rağmen, etkilenen gerçek kişi sayısının on milyonlarca olabileceğini iddia ediyor. .
21 eyalette 142 hastaneden ve yaklaşık 2.200 bakım merkezinden oluşan kâr amacı gütmeyen bir Katolik zinciri olan CommonSpirit, Katolik Sağlık Girişimleri ile Dignity Health arasında 2019 yılında yapılan bir birleşmenin ürünüdür. 2021’de Virginia Mason Franciscan Health’i satın alan CommonSpirit, Amerika Birleşik Devletleri’ndeki en az dördüncü en büyük sağlık kuruluşudur.
CommonSpirit’in olaydan etkilendiğini bildirdiği kuruluşların ötesinde, “Davalı’nın sistemindeki diğer tıbbi sistemler, operasyonlarında doktorların hastalara yanlış dozda ilaç vermesi ve hastaların randevu programlayamaması dahil olmak üzere önemli aksamalar yaşadı.” davacı Jose Antonio Koch tarafından iddia edilmektedir.
Şikayet, gerçek kurban sayısının potansiyel olarak 20 milyon kişi olduğunu iddia ediyor.
CommonSpirit, Aralık ayında Sağlık ve İnsan Hizmetleri Bakanlığı Sivil Haklar Ofisine bilgisayar korsanlığı olayının yaklaşık 624.000 kişiyi etkilediğini bildirdi.
Fidye Yazılımı Saldırısı
CommonSpirit, kamuya yaptığı açıklamalarda 2 Ekim 2022’de bazı sistemlerini etkileyen bir fidye yazılımı saldırısı yaşadığını söyledi. Olayla ilgili soruşturması, yetkisiz üçüncü şahsın kişisel bilgiler içeren belirli dosyalar da dahil olmak üzere 16 Eylül ile 3 Ekim 2022 arasında CommonSpirit’in ağına erişim elde ettiğini belirledi.
Ele geçirilen dosyalar, ad, adres, telefon numaraları, doğum tarihi ve kuruluş tarafından dahili olarak kullanılan benzersiz bir kimlik dahil olmak üzere hastalara, hastaların aile üyelerine veya hastaların bakıcılarına ilişkin bilgiler içeriyordu.
Her iki dava da fidye yazılımı olayına, veri ihlaline ve sonrasında CommonSpirit’in çeşitli başarısızlıklarının katkıda bulunduğunu iddia ediyor.
“İhlal 16 Eylül 2022’de veya buna yakın bir tarihte başlamış olsa da, CommonSpirit’in yetkilileri bilgilendirmeye ve etkilenen kurbanlara bildirimde bulunmaya başlamasından iki buçuk ay sonraydı.” , davacı Leeroy Perkins tarafından yapılan bir şikayeti iddia ediyor.
Davalar, CommonSpirit’in davacıların ve sınıf üyelerinin özel bilgilerini çeşitli eyalet ve federal yönetmelikler, sektör uygulamaları ve teamül hukukunun gerektirdiği şekilde yetkisiz erişim, kullanım ve ifşaya karşı gerektiği gibi koruyamadığı ve koruyamadığı iddiasındadır.
Davalar, CommonSpirit’in makul olarak öngörülebilir tehditlere karşı verilerin güvenliğini ve gizliliğini sağlamak için uygun idari, teknik ve fiziksel korumaları oluşturup uygulamadığını da iddia ediyor.
“Tırmanmak Zor Tepe”
Davalar, mahkemede çekiş kazanmaya çalışırken engellerle karşılaşacak.
Hales Hukuk Grubu’ndan düzenleyici avukat Paul Hales, “Davacılar, federal bir toplu dava açmak için gerçekten zarar gördüklerini göstermelidir.
Her iki dava da tazminat dahil olmak üzere tazminat talep etmektedir. Koch davası ayrıca davacılar ve sınıf üyeleri için yedi yıllık kredi izleme ve CommonSpirit’in veri güvenliği uygulamalarını iyileştirme emri istiyor.
CommonSpirit, Information Security Media Group’un Salı günü yaptığı yorum talebini reddetti.