Yönetişim ve Risk Yönetimi , Mevzuat ve Dava , Gizlilik
1 Milyondan Fazla Kişiyi Etkileyen Hacking Olayının Ardından Önerilen Toplu Eylemler
Marianne Kolbasuk McGee (SağlıkBilgisi) •
24 Mart 2023
Tıbbi cihaz üreticisi Zoll Medical, iki hafta önce 1 milyon kişinin verilerinin şirketin dahili ağını içeren bir bilgisayar korsanlığı olayına yakalandığını ortaya çıkarmasından bu yana açılan en az yedi toplu dava davasıyla karşı karşıya.
Ayrıca bakınız: Web Semineri | SASE Mimarisi Uzaktan Çalışmayı Nasıl Sağlar?
Şimdiye kadarki tüm davalar, 15 Mart ile 22 Mart tarihleri arasında Massachusetts’teki federal mahkemede açıldı. Davalar, Zoll’un bireylerin hassas bilgilerini korumada ihmalkar davranarak varsayılan sınıf üyelerini kimlik hırsızlığı riskine maruz bırakması da dahil olmak üzere benzer iddialarda bulunuyor.
Davalar, parasal zararların yanı sıra Zoll’un güvenlik uygulamalarında iyileştirmeler talep ediyor.
Davacılardan en az biri olan Robert Smith, davasında zaten Zoll olayından zarar gördüğünü iddia ediyor. 13 Mart’ta Zoll’un nefes uyarı mektubunu aldıktan sonra banka hesabını kontrol ettiğini ve 49,99 dolarlık yetkisiz bir ödeme bulduğunu söylüyor.
Smith’in davası, “Davacı, verilerin ifşa edilmesinin bir sonucu olduğuna inandığı bu yetkisiz ödemeyi çözmek için önemli ölçüde zaman harcadı.”
Japon teknoloji şirketi Asahi Kasei Group’un bir yan kuruluşu olan Massachusetts merkezli Zoll, Information Security Media Group’un davalar hakkında yorum yapma talebini, şirketin devam eden davalar hakkında yorum yapmadığını söyleyerek reddetti.
Şirket bu ayın başlarında ISMG’ye siber güvenlik olayının, ani kardiyak ölüm riski yüksek olan hastalar tarafından giyilen giyilebilir bir kardiyoverter defibrilatör olan şirketin LifeVest cihazının mevcut ve eski kullanıcılarını etkilediğini söyledi. Bir şirket sözcüsü, olayın ürünün veya diğer herhangi bir Zoll tıbbi cihazının veya ilgili yazılımın çalışmasını veya güvenliğini etkilemediğini söyledi (bkz.: Heart Device Maker Hack’in 1 Milyon Hastayı Etkilediğini Söyledi).
Şirketin ihlal bildiriminde, Zoll’un 28 Ocak’ta dahili ağında olağandışı bir etkinlik tespit ettiği belirtiliyor.
Firma, 2 Şubat’ta olayda kişilerin bilgilerinin ihlal edilmiş olabileceğini belirledi. Etkilenen veriler isim, adres, doğum tarihi ve Sosyal Güvenlik numarasını içerir. Bildiride, “Bir Zoll ürünü kullandığınız veya kullandığınız düşünüldüğü de çıkarılabilir” diyor.
Zoll’un son zamanlarda artan dava yığını, sağlık sektöründeki kuruluşların büyük bir siber güvenlik olayının ardından karşılaşabilecekleri dağınık serpintilerin en son örneğidir.
Hukuk firması Moses Singer’ın ortaklarından Jason Johnson, “Sağlık sektörü, kullanıcılarından topladığı ve sakladığı hassas bilgiler nedeniyle fidye yazılımı saldırıları da dahil olmak üzere bilgisayar korsanları için oldukça hedefli bir sektör” dedi. Zoll davası.
“Tıbbi cihaz şirketlerinin bu ihlali, kendisinin ve sağlık alanındaki diğer şirketlerin artan sayıda saldırıya maruz kaldıklarının ve olmaya devam edeceklerinin bir göstergesi olarak görmeleri ve şu anda saldırı altında olmadıklarından emin olmak için sistemlerini değerlendirmeleri ve test etmeleri gerekiyor.” Johnson, “Mevcut kontrolleri göz önüne alındığında saldırı veya risk altında” dedi.
Bu, sistem yönetici haklarına kimin sahip olduğunu ve kimin ihtiyaç duyduğunu değerlendirmeyi ve gerektiğinde hakları kaldırmayı, parola politikalarını gözden geçirmeyi, iki faktörlü kimlik doğrulamayı uygulamayı ve iş gücü için ek siber güvenlik eğitimi vermeyi içeriyor dedi.
Tüm bu tavsiyeler, hassas hasta bilgilerini toplayan tıbbi cihaz şirketleri için de geçerlidir, dedi.
“Bu şirketlerin, veri ihlali meydana geldiğinde ortaya çıkan hasarı veya zararı en aza indirgemek için kendilerini en iyi konuma getirmek için mevcut siber güvenlik duruşlarını ve uygulamalarını değerlendirmeleri gerekiyor.”
Son bilgisayar korsanlığı olayı, Zoll’un davayla sonuçlanan ilk büyük veri ihlali değil.
2019’da Zoll, şirketin satıcılarından biri olan Barracuda Networks’ün dahil olduğu bir e-posta sunucusu geçişi aksiliksinden kaynaklanan 277.000 kişiyi etkileyen bir ihlal bildirdi (bkz: İhlal Davasına Öne Çıkan Karmaşık Satıcı Sorunları). Zoll, bu ihlal davasından etkilenen kişiler tarafından açılan en az bir toplu davayla karşı karşıya kaldı, ancak şirket 2020’de Barracuda Networks’e karşı kendi davasını da açtı. Bu dava 2021’de reddedildi.