Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar , Sağlık Hizmetleri
Yaklaşık 342.000 Etkilendi; Sağlık Verileri Olayı HIPAA Kuralları Kapsamına Girmiyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
9 Nisan 2024
Soruşturmalarda ABD Adalet Bakanlığı’na dava destek hizmetleri sağlayan Boston merkezli bir danışmanlık firmasına yapılan siber saldırı, yaklaşık 342.000 kişinin Medicare numaralarını, diğer sağlık sigortalarını ve tıbbi bilgilerini tehlikeye atma potansiyeline sahip.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditlerle Mücadelenin Sınırlamalarını Aşmak: Gerçek Güvenlik Sorunlarına Gerçek Çözümler
Greylock McKinnon Associates, Cuma günü Maine eyaleti başsavcılığına sunduğu bir raporda, olayın 30 Mayıs 2023’te firmanın iç ağında tespit edilen “olağandışı faaliyet” ile ilgili olduğunu söyledi. GMA, yalnızca hangi kişilerin bilgilerinin etkilendiğine dair onay aldığını ve bunların bilgilerini aldığını söyledi. Bildirim için 7 Şubat 2024 tarihli iletişim adresleri.
GMA, olaydan etkilenen bilgilerin, bireylerin adı, doğum tarihi, adresi, bir üyeyle ilişkili Sosyal Güvenlik numarasını içeren Medicare sağlık sigortası talep numarası ve bazı tıbbi bilgiler veya sağlık sigortası bilgileri gibi kişisel bilgileri ve Medicare bilgilerini içerdiğini söyledi.
Şirketin ihlal bildiriminde, GMA saldırısında ele geçirilen bilgilerin bir hukuk davası konusu ve GMA’nın bu işi desteklemek üzere Adalet Bakanlığı’na sağladığı hizmetler kapsamında Adalet Bakanlığı’ndan elde edildiği belirtildi. Şirket, GMA’nın olaydan sonra DOJ verilerini sistemlerinden sildiğini söyledi.
GMA, etkilenen kişilere yönelik ihlal bildiriminde “DOJ bize, bu soruşturmanın veya ilgili dava konularının konusu olmadığınızı bildirdi.” dedi. Şirket, “DOJ, GMA’ya bu olayın mevcut Medicare yardımlarınızı veya kapsamını etkilemediğini bildirdi” diye ekledi.
GMA, etkilenen kişilere 24 ay boyunca ücretsiz kimlik ve kredi izleme izleme olanağı sunduğunu söyledi.
HIPAA Dışı Sağlık İhlalleri
Uzmanlar, GMA uzlaşmasının, federal HIPAA düzenlemeleri kapsamında korunan bir sağlık bilgisi ihlali gibi görünmese de (diğer önlemlerin yanı sıra, ihlalin tespit edilmesinden sonraki 60 gün içinde bireylerin bilgilendirilmesini gerektirdiğini), olayın ciddi gizlilik ve siber riskleri ortaya çıkardığını söyledi. HIPAA kapsamı dışında kalan şirketler tarafından işlenen sağlık bilgileri.
Hales Hukuk Grubu’ndan düzenleme avukatı Paul Hales, “Bazıları herhangi bir sağlık bilgisi ihlalinin HIPAA’yı ihlal ettiğini düşünüyor. HIPAA, GMA ihlalini kapsamaz çünkü GMA kapsam dahilinde bir kuruluş veya iş ortağı değildir” dedi.
HIPAA kapsamındaki kuruluşlar arasında sağlık planları, takas odaları ve belirli sağlık hizmeti sağlayıcıları bulunurken, HIPAA iş ortakları, HIPAA kapsamındaki bir kuruluş adına HIPAA korumalı sağlık bilgilerinin kullanımını veya ifşa edilmesini içeren işlevler, faaliyetler veya hizmetler gerçekleştiren kuruluşlardır.
Hale, “Sağlık bilgileri HIPAA tarafından düzenlenen kuruluşların yanı sıra çok çeşitli kuruluşlarda da bulunmaktadır” dedi. GMA’nın sağlıkla ilgili bilgileri içerebilecek ekonomik analiz ve dava desteği sağlayan bir danışmanlık firması olduğunu söyledi.
Hales, “DOJ’un Sivil Bölümü, Medicare dolandırıcılık ve suiistimal vakalarını araştırıyor ve dava açıyor” dedi. GMA siber saldırısında ele geçirilen bilgilerin bu tür vakalardan birine ait olmasının mümkün olduğunu söyledi.
Ne ihlalde GMA’yı temsil eden bir avukat ne de Adalet Bakanlığı, Bilgi Güvenliği Medya Grubu’nun ihlale ilişkin ek ayrıntılar ve yorum talebine hemen yanıt vermedi.
GMA şu ana kadar, 29 Mart’ta Massachusetts federal mahkemesinde çeşitli iddialarla açılan, ihlali içeren en az bir toplu dava önerisiyle karşı karşıya bulunuyor. Dava, şirketin bireylerin kişisel bilgilerini koruma konusundaki ihmalinin yanı sıra Federal Ticaret Komisyonu Yasası’nın ihlallerini de içeriyor.
Davada ayrıca GMA’nın, veri ihlali ilk kez meydana geldikten sonra nihayet sınıf üyelerini uzlaşma konusunda bilgilendirmeye başlamak için “korkunç bir dokuz ay” beklediğini iddia ediliyor.
Hales, “HIPAA tarafından düzenlenmeyen kişisel sağlık kayıtları ve sağlık uygulaması işletmeleri, büyük miktarda kişisel sağlık bilgisini yönetiyor” dedi. “Bunlar siber hırsızlar için olgun hedeflerdir.”
“2023’te FTC, HIPAA tarafından düzenlenmeyen kuruluşlar tarafından sağlık gizliliği ihlallerinin önemli bir uygulayıcısı olarak ortaya çıktı” dedi (bkz: FTC, Önerilen Sağlık Kuralı Değişikliğiyle Sınırları Zorluyor).
Buna FTC’nin Şubat 2023’te indirimli ilaç ve tele sağlık sağlayıcısı GoodRx Holdings’e karşı açılan bir davada ilk sağlık ihlali kural uygulama eylemini gerçekleştirmesi de dahildir. Birkaç ay sonra FTC, doğurganlık izleme uygulaması Premom’un geliştiricisi Easy Healthcare’e karşı benzer bir yaptırım eylemi gerçekleştirdi. Bu vakaların her birinde FTC, şirketlerin kullanıcı bilgilerini reklamverenler de dahil olmak üzere üçüncü taraflarla paylaşmaması gerektiğini söyledi (bkz: FTC Fertility Uygulama Satıcısına Ceza Verdi, Veri Paylaşımını Yasakladı).
Hales, “Ekonomimiz çeşitliliğe sahiptir. Günümüzün ortamını ele almak ve belirli bilgi türlerine ilişkin parça parça düzenlemelerimizi değiştirmek için kapsamlı ulusal gizlilik mevzuatına ihtiyacımız var” dedi.
“Bu GMA olayı, Amerika’nın Avrupa Birliği’nin Genel Veri Koruma Yönetmeliği gibi ulusal bir kişisel gizliliği koruma yasası oluşturma konusundaki kronik başarısızlığının altını çiziyor” dedi.
“Ciddi siber güvenlik tehditlerine rağmen Kongre, kapsamlı federal gizlilik yasasını kabul etmedi. Bunun yerine, birden fazla federal kurum tarafından uygulanan, sektöre özgü federal gizlilik yasalarından oluşan bir yama çalışmasına sahibiz” dedi. “Yeni eyalet gizlilik yasaları sorunu daha da artırıyor. Bunlar ülke çapında eşit olmayan gizlilik korumalarına, kafa karışıklığına ve ek uyumluluk maliyetlerine neden oluyor.”
Pazartesi günü, Washington eyaletinden iki partili bir milletvekili çifti, bu ve diğer ilgili konuları ele almak için federal gizlilik mevzuatına ilişkin en son önerileri Kongre’ye sundu.
Temsilciler Meclisi Enerji ve Ticaret Komitesi Başkanı Cathy McMorris Rodgers, R-Wa. ve Senato Ticaret, Bilim ve Ulaştırma Komitesi Başkanı Maria Cantwell, D-Wa., ulusal veri gizliliğinin korunmasına yönelik yasa tasarısı olan Amerikan Gizlilik Hakları Yasası’nı açıkladı.
Mevzuat, diğer hükümlerin yanı sıra, tek bir ulusal gizlilik standardı belirleyerek eyalet yasalarındaki parçalı yapıyı ortadan kaldırmayı öneriyor; şirketlerin toplayabileceği, tutabileceği ve kullanabileceği verileri en aza indirecek; ve tüketicilere, verilerinin aktarılmasını veya satılmasını önleme yeteneği de dahil olmak üzere, kişisel bilgilerinin nereye gideceği konusunda kontrol sağlama (bkz.: ABD’nin İki Partili Gizlilik Yasa Tasarısı Siber Güvenlik Talimatları İçeriyor).