Dolandırıcılık Yönetimi ve Siber Suçlar, HIPAA/HITECH, Fidye Yazılımı
Indiana Başsavcısı, Westend Dental’e 2020 Fidye Yazılımı Hack’inde 350 Bin Dolar Para Cezası Verdi
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
3 Ocak 2025
Indiana’daki bir diş muayenehanesi, düzenleyicilerin diş röntgeni için karşılanmayan taleplerle ilgili bir hasta şikayetini soruşturduğu sırada ortaya çıkan 2020 fidye yazılımı veri ihlalinin “örtbas edildiği” iddiasının ardından eyalete 350.000 dolar ödemeyi ve uzun bir veri güvenliği iyileştirmeleri listesi uygulamayı kabul etti .
Ayrıca bakınız: VMware Karbon Siyahı Uygulama Kontrolü
Indiana Başsavcısı Todd Rokita tarafından 23 Aralık 2024’te açılan federal davada, Indianapolis ve Lafayette’de altı noktada faaliyet gösteren Westend Dental’in Ekim 2020’de ofislerinden birinde meydana gelen fidye yazılımı saldırısından haberdar olduğu iddia ediliyor. Olayla ilgili hiçbir zaman adli tıp soruşturması yapılmadı ve korunan sağlık bilgileri etkilenen kişilere bildirimde bulunulmadı. Eyaletin davasında Westend’in, röntgen kopyaları talep eden bir hastaya, “birisi sistemlerine ‘hack’ ettiği için” kayıtların artık kendisinde olmadığını söylediği iddia ediliyor.
Indiana’nın davası, Westend’in HIPAA’yı ve eyalet veri güvenliğini ve yasaları ihlal ettiğini iddia ediyor.
Başsavcı ayrıca Westend’in Ekim 2022 fidye yazılımı veri ihlalini “örtbas etmeye” çalıştığını iddia etti.
Eyaletin davasında, “Westend Dental’in yasal olarak veri ihlalini doğrudan Başsavcılığa bildirmesi gerekmesine rağmen, OAG veri ihlalini bir Westend Dental hastası tarafından yapılan tüketici şikayetine ilişkin soruşturması sırasında keşfetti.” ifadesine yer verildi.
Westend nihayet Ekim 2022’de, olaydan iki yıl sonra, veri ihlalinin 500’den az kişiyi etkilediğini belirterek ve yanlış bir şekilde olayın bir izinsiz giriş içermediğini belirterek veri ihlalini bildirdi.
Bunun yerine Westend, verilerin sunucu sabit diskiyle ilgili bir biçimlendirme hatası nedeniyle kaybolduğunu iddia etti; devletin iddiasına göre, uygulama, olay sırasında dosyalarının kötü amaçlı yazılımla şifrelendiğinin farkındaydı ve siber suç grubu MedusaLocker’dan fidye talebi almıştı.
Önerilen onay emri uyarınca Westend, ihlalden potansiyel olarak etkilenen bireyleri bilgilendirmek için mali uzlaşmayı devlete ödeyecek, uzun bir veri güvenliği önlemleri listesi ve genel HIPAA uyumluluğunu uygulayacak.
Ancak Westend adli tıp soruşturması yapmadığı için etkilenen kişilerin sayısına ilişkin net bir tahmin yapılamayabilir. Sonuç olarak Westend’in Kasım 2023 itibarıyla tüm hastalarını bilgilendirmesi gerekiyor.
Indiana başsavcılığı, veri ihlaline ek olarak, davasında Westend’in, uygulamanın çevrimiçi incelemelere verdiği yanıtta ve diğer sosyal medya gönderilerinde de HIPAA gizlilik kurallarını ihlal ettiğini iddia ediyor.
Bu, Westend’in, reşit olmayanlarınkiler de dahil olmak üzere hastaların korunan sağlık bilgilerini ve fotoğraflarını, onların veya ebeveynlerinin izni olmadan yayınlamasını da içeriyordu.
Son yıllarda federal düzenleyiciler, hasta PHI’sını içeren sosyal medya paylaşımlarını içeren HIPAA ihlalleri iddiası nedeniyle diş muayenehaneleri de dahil olmak üzere tıp merkezlerine karşı çeşitli yaptırım önlemleri aldı.
2022’de ABD Sağlık ve İnsani Hizmetler Bakanlığı, federal soruşturmacıların Yelp’teki eleştirilere hasta adlarını ve hasta ziyaretleri ve sigorta hakkında ayrıntılı bilgi yayınlayarak “alışkanlıkla” yanıt verdiğini tespit etmesi üzerine Los Angeles’taki bir diş muayenehanesine 23.000 dolar para cezası verdi (bkz.: Yelp’te PHI Gönderen Diş Muayenehanesine HIPAA Cezası Verildi).
Ne Indiana başsavcılığı ne de Westend Dental, davalarına ilişkin yorum talebine hemen yanıt vermedi.