HIPAA/HITECH , Standartlar, Yönetmelikler ve Uyumluluk
DoJ: Satıcı Yama Yapamadı, Sistemleri 7 Yıl Boyunca Güvenli Hale Getirdi
Marianne Kolbasuk McGee (SağlıkBilgisi) •
14 Mart 2023
Floridalı bir şirket, 2020’de yüzbinlerce çocuğun kişisel kimlik bilgilerini ortaya çıkaran bir bilgisayar korsanlığı olayından kaynaklanan iddiaları çözmek için yaklaşık 300.000 dolar ödeyecek. Jelly Bean Communications Design ile yapılan anlaşma, gevşek siber güvenlik konusundaki federal baskının bir parçası.
Ayrıca bakınız: Araçlar ve Teknoloji: Yönetişim, Risk ve Uyum Başucu Kitabı
293.771 $’lık uzlaşma, federal hükümet tarafından Jelly Bean Communications Design ve Jeremy Spinks – şirketin ortak sahibi, yöneticisi ve tek çalışanı – bilgisayar korsanlarının düşük maliyetli sağlık ve diş sigortası için yarım milyon sigorta başvurusuna erişmesinin ardından açılan hukuk davasını çözüyor 5 ila 18 yaş arası çocuklar.
Jelly Bean anlaşması, adalet bakanlığının Ekim 2021’de başlattığı Sivil Siber Dolandırıcılık Girişimi’nin bir parçasıdır.
Başsavcı Yardımcısı Lisa O. Monaco o sırada çabaların “gerekli siber güvenlik standartlarını takip etmede başarısız olduklarında” federal müteahhitleri hedef aldığını söyledi.
Florida eyaleti, federal ve eyalet parasının bir kombinasyonu aracılığıyla ulusal Çocuk Sağlığı Sigortası Programını yürüten devlet tarafından kurulmuş bir kuruluş olan Florida Healthy Kids Corp.’un sağlıklıkids.org web sitesini yönetmek için 2013 yılında Jelly Bean ile sözleşme yaptı.
Uzlaşma, Spinks’in yanlış iddialarda bulunduğuna dair iddialardan geliyor – yanlışlık, Jelly Bean’in HIPAA kapsamındaki verileri koruyacağını iddia etmesidir.
Adalet Bakanlığı, Jelly Bean’in “yazılım sistemlerini düzgün bir şekilde korumayı, yamalamayı ve güncellemeyi bilerek başarısız olduğunu” ve HealthyKids.org sitesini ve verilerini saldırılara karşı savunmasız bıraktığını söyledi.
Hales Law’dan düzenleyici avukat Paul Hales, “HIPAA uyumlu hizmetler için faturalandırma, Jelly Bean’i federal cezai sorumluluğa maruz bıraktı,” dedi. “Güçlü bir HIPAA uyum programı olmadan PHI ile ilgilenen satıcılar dikkatli olmalı ve çok dikkatli olmalıdır. Şimdi federal dolandırıcılık ve Yanlış İddia Yasası suçlamalarıyla karşı karşıya kalabileceklerini görüyoruz.
Şubat 2021 tarihli bir ihlal bildirimi, olayda çok sayıda başvuranın adresine uygunsuz bir şekilde erişildiğini ve değiştirildiğini söyledi (bkz:: Çocuk Sağlığı Sigortasının Web Sitesi 7 Yıl Koruma Altında).
Bilgisayar korsanlığı olayı sırasında potansiyel olarak açığa çıkan veriler arasında Sosyal Güvenlik numaraları, ebeveynlerin ücretler ve nafaka ve nafaka dahil olmak üzere mali verileri ve e-posta ve fiziksel adresler vardı.
Florida Healthy Kids Corp. tarafından yapılan bir araştırma, Kasım 2013’ten bu yana güncellenmemiş veya yama uygulanmamış yazılımlar da dahil olmak üzere web sitesinin arka ucunda bir dizi eski ve savunmasız uygulama buldu.
Telefonla ulaşılan Jeremy Spinks, Information Security Media Group’un uzlaşma ve savcıların iddiaları hakkında yorum yapma talebini reddetti. Hâlâ Jelly Bean operasyonlarıyla ilgilenip ilgilenmediği konusunda yorum yapmıyor.
Şirket, ISMG’nin uzlaşmayla ilgili görüş talebine hemen yanıt vermedi. Adalet Bakanlığı, şirketin artık herhangi bir hükümet programı veya sağlıkla ilgili amaçlar için çalışma yapmadığını söylüyor.