Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi , Gizlilik
Önerilen Toplu Davalar, Bağımlılık Tedavisi Verilerinin Korunmasında İhmal İddiasında Bulunuyor
Marianne Kolbasuk McGee (SağlıkBilgisi) •
6 Temmuz 2023
Bağımlılık tedavi merkezi hasta verileri de dahil olmak üzere 319.500 kişinin hassas bilgilerini tehlikeye atan ve Mayıs ayında gerçekleşen bir fidye yazılımı saldırısı, şu ana kadar tıp grubunun sahibi Pennsylvania emlak firmasına karşı önerilen üç federal toplu dava açtı.
Ayrıca bakınız: Canlı Web Semineri | Bankacılıkta İçeriden Gelen Tehditleri Ele Alma Sınırlamalarını Aşmak: Gerçek Güvenlik Zorlukları için Gerçek Çözümler
Onix Group’a karşı açılan üç dava, Pensilvanya merkezli Kennett Square şirketinin, özellikle hassas kişisel bilgileri siber suçlular tarafından yetkisiz erişime ve hırsızlığa karşı korumakta ihmalkar davrandığı da dahil olmak üzere benzer iddialarda bulunuyor.
Davaların üçü de Pennsylvania Doğu Bölgesi için ABD Bölge Mahkemesinde açıldı. İki tanesi 15 Haziran’da, üçüncüsü ise Pazartesi günü dosyalandı. Gelecekte benzer olayları önlemek için Onix’i bilgi güvenliği uygulamalarını iyileştirmeye zorlayan bir ihtiyati tedbir ve parasal tazminat da dahil olmak üzere yardım istiyorlar.
Onix, 26 Mayıs’ta federal düzenleyicilere, hastalar ve çalışanlar da dahil olmak üzere yüzbinlerce kişinin HIPAA korumalı bilgilerini etkileyen bir veri ihlaline maruz kaldığını söyledi (bkz: Emlak Firmasının Hacklenmesi 319.500 Hastayı ve Çalışanı Etkiledi).
Onix’in sağlık hizmetleri bölümü, 10 Bağımlılıktan Kurtulma Sistemi merkezine ek olarak, beş Cadia Sağlık Merkezi ve çeşitli orta Atlantik eyaletlerinde çeşitli yerlere seyahat eden bir dizi Physician’s Mobile X-Ray ünitesi işletmektedir.
Oteller, tıbbi ofis binaları ve diğer ticari gayrimenkulleri de işleten Onix, ihlal bildiriminde, 27 Mart’ta keşfedilen bir fidye yazılımı saldırısının “belirli sistemleri bozduğunu” ve “dosyaların bir alt kümesinin” çalınmasını içerdiğini söyledi.
Onix, etkilenen dosyalarda yer alan bilgilerin kişiden kişiye değiştiğini söyledi. Hastalar için, Onix tesislerinde hastaların tıbbi bakımına ilişkin isimleri, Sosyal Güvenlik numaralarını, doğum tarihlerini ve zamanlamayı, faturalandırmayı ve klinik bilgileri içeriyordu.
İhlal bildiriminde, etkilenen dosyaların ayrıca isimler, Sosyal Güvenlik numaraları, doğrudan ödeme bilgileri ve sağlık planı kayıt bilgileri dahil olmak üzere insan kaynakları amacıyla tutulan çalışan bilgilerini de içerdiği belirtiliyor.
Dava İddiaları
Ashlea Barnard tarafından açılan dava şikayetinde, Onix ihlalinden etkilenen davacı ve sınıf üyeleri “önemli ölçüde kimlik hırsızlığı ve diğer çeşitli kişisel, sosyal ve mali zarar riski altında olmaya devam ediyor. Risk, ilgili ömürleri boyunca devam edecek” iddiasında bulunuyor. , Onix’e ait ve işletilen bir Bağımlılıktan Kurtulma Sistemi merkezinin eski bir hastası.
Davanın iddiasına göre, Bağımlılık Kurtarma Hizmetleri, Bernard’ın “son derece hassas” kişisel bilgilerini aldıktan sonra, bu bilgileri Onix’in veri tabanına girdi ve burada saklandı ve saklandı. Dava, “Onix açıkça ve zımnen onu koruyacağına söz verdi. Ancak Onix, davacı Bernard’ın özel bilgileriyle gerektiği gibi ilgilenmedi ve yetersiz güvenlik önlemlerinin doğrudan bir sonucu olarak bunların açığa çıkmasına yol açtı.”
Dava, Onix’in güvenliği ihlal edilmiş tüm kişisel verilerin veya veri kopyalarının kurtarıldığına veya imha edildiğine veya şirketin veri güvenliği uygulamalarını gelecekte benzer bir ağ ihlalinden kaçınmaya yetecek kadar geliştirdiğine dair “hiçbir güvence” sunmadığını iddia ediyor.
Onix, ihlal bildiriminde, sistemlerinin güvenliğini güçlendirdiğini ve gelecekte benzer olayların önlenmesine yardımcı olmak için gözetimindeki bilgileri korumak için protokollerini geliştirmeye devam ettiğini söyledi.
Onix, Information Security Media Group’un davalar hakkında yorum yapma ve fidye yazılımı olayı ve şirketin veri güvenliğini iyileştirmek için attığı adımlar hakkında ek ayrıntılar isteme talebine hemen yanıt vermedi.
Hukuk firması Reed Smith’in düzenleyici avukatı Brad Rostolsky, Onix’in öncelikle bir emlak firması gibi görünmesine rağmen, bir ana şirketin yan kuruluşlar aracılığıyla hem sağlık hem de sağlık dışı operasyonları içeren faaliyetlerde bulunması alışılmadık bir durum olmayacaktır. davalara karışmaz.
Buna bağımlılık tedavi merkezleri gibi özel bakım tesislerinin işletilmesi de dahildir, dedi. “Bağlam göz önüne alındığında, ilgili hasta bilgilerinin oldukça hassas olacağını tahmin ediyorum” dedi.
Rostolsky, olayın, federal yardımlı programlardan madde bozukluğu tedavisi gören hastaların kayıtlarının işlenmesi için HIPAA’dan daha sıkı gizlilik gereklilikleri uygulayan federal 42 CFR Bölüm 2 düzenlemeleriyle düzenlenebileceğini söyledi.
Onix olayından etkilenen kişiler için “Tüm ihlallerde olduğu gibi, teorik olarak kimlik hırsızlığı ve tıbbi kimlik hırsızlığı riski olacaktır” dedi.