Gelir Döngüsü Firması GitHub PHI İhlali Davasını 7 Milyon Dolara Ulaştırdı

Mahkemenin onayladığı ön anlaşmaya göre, şu anda Spring, Texas merkezli Elevate Patient Financial Solutions'ın bir parçası olan MedData, sınıf üyelerine iki ödeme kademesi seçeneği sunacak ve aynı zamanda siber güvenlik uygulamalarını da geliştirecek.

İlk ödeme katmanı, olayla ilgili olarak 5.000 ABD Dolarına kadar belgelenebilir cepten yapılan harcamaları kapsar. İkinci kademe, olayla ilgili bildirime yanıt olarak “de minimis” veya minimum olumlu ayrımcılık için 500 dolara kadar ödeme sağlıyor.

Tüm sınıf üyeleri, 36 ay boyunca ücretsiz sağlık verileri/sahtekarlık izleme hizmetleri ve 1 milyon dolarlık dolandırıcılık ve tıbbi kimlik hırsızlığı sigortası almaya hak kazanır.

Ayrıca MedData'nın aşağıdakileri içeren gelişmiş bir siber güvenlik programını iki yıl boyunca uygulaması ve sürdürmesi gerekmektedir:

• Veri gizliliği konusunda yıllık siber güvenlik testleri ve eğitimleri;
• Güvenlik duvarları ve güncel kötü amaçlı yazılımdan koruma programları da dahil olmak üzere veri güvenliği sorunlarına yönelik güçlü izleme ve denetim;
• Veri şifreleme ve erişim kontrolleri;
• Yıllık penetrasyon testi;
• Bir veri silme politikası;
• İzlenen bir dahili ihbar mekanizması.

Şirketin yönetim kurulunun ayrıca yıllık olarak “uygun” siber güvenlik harcamalarını ve iç güvenlik politikaları ve prosedürlerinde düzenli güncellemeler yapması gerekiyor. Anlaşmada siber güvenlik harcamaları için bir miktar belirtilmiyor.

Siber güvenlik avukatı Steven, davacılar ve grup üyelerinin avukatları tarafından anlaşmaya varılması “zorlu” bir mücadele gibi görünse de, “bu olayların ödeme kartı verileri vb. yerine geçici olmayan hassas bilgileri içerdiği akılda tutulmalıdır” dedi. MedData davasına dahil olmayan hukuk firması Mandelbaum Barrett PC'den Teppler. “Kurbanlar önümüzdeki yıllarda kimlik uzlaşması olaylarını düzeltmek için çalışıyor olabilir.”

Ayrıca olayla ilgili daha derinlemesine bir soruşturmanın, MedData tarafından potansiyel olarak güvenli olmayan üçüncü taraf yazılımların kullanımına ilişkin ek endişelere yol açabileceğini söyledi.

Teppler'e göre anlaşma anlaşmasında, MedData'nın şirketin gelişmiş siber güvenlik programının bir parçası olarak güvenli yazılım geliştirme politikalarını ve yaptırımlarını uygulamak için gerekli olduğu konusunda hiçbir şey belirtilmiyor.

Yine de MedData ihlali sırasında hasta verilerinin bir çalışan tarafından yanlışlıkla yüklenmesinin diğer kuruluşlara önemli dersler sunduğunu söyledi.

“Bu, dahili kod geliştirme çabalarına odaklanıyor. Yetersiz risk değerlendirme çabaları, geliştirmeyi yöneten politika geliştirme ve uygulama – yani kodlama ve özellikle üçüncü taraf veya açık kaynaklı yazılımları da içeren dahili kodlama çabaları – artan risk ve sorumluluğun kapısını açıyor “

MS v. Med-Data Inc. davasının uzlaşması, ihlalin ardından şirkete karşı açılan önerilen beş federal toplu davanın sonuncusudur. Diğer dört dava daha önce reddedilmişti.

Anlaşmanın merkezinde yer alan değiştirilmiş dava şikâyetinde, şifrelenmemiş MedData verilerinin Aralık 2020'de Hollandalı bağımsız güvenlik araştırmacısı Jelle Ursem tarafından açık kaynaklı yazılım geliştirme barındıran web sitesi GitHub'da keşfedildiği belirtiliyor (bkz: Satıcı İhlali, GitHub'da PHI'ya Maruz Kaldı).

Anlaşma şartları uyarınca MedData'nın Ursem'den elindeki tüm Med-Data PHI'sını iade etmesini istemesi ve GitHub'dan MedData verilerinin silindiğine veya “kilitlendiğine” ve hiç kimse tarafından erişilemez olduğuna dair yazılı güvence talep etmesi gerekiyor.

Elevate, Information Security Media Group'un MedData anlaşmasına ilişkin yorum yapma talebini reddetti. Ancak bir Elevate sözcüsü, MedData ve Elevate'in ortak mülkiyete sahip bağlı şirketler olduğunu söyledi.

Olayın meydana geldiği sırada MedData'nın farklı bir mülkiyet altında olduğunu ve Elevate'in mevcut olmadığını söyledi. “Veri olayından sorumlu çalışan, MedData'nın mevcut sahipleri tarafından satın alınmasından önce Eylül 2019'da MedData için çalışmayı gönüllü olarak bıraktı.”

İhlal Ayrıntıları

Med-Data'nın Nisan 2021'de federal düzenleyicilere 135.908 kişiyi etkilediğini bildirdiği ihlalde hasta adları, adresler, doğum tarihleri, Sosyal Güvenlik numaraları, teşhisler, koşullar, talep bilgileri, hizmet tarihleri, abone kimlikleri, tıbbi prosedür kodları, sağlayıcı ele geçirildi isimler ve sağlık sigortası poliçe numaraları.

GitHub'un açığa çıkması ayrıca MedData'nın Houston, Texas merkezli Memorial Hermann; Wausau, Wisconsin merkezli Aspirus Sağlık Planı; Peoria, Illinois merkezli OSF HealthCare; ve Chicago Üniversitesi Tıp Merkezi.

Davaya göre, MetaData'nın araştırması, çalışanlarından en az birinin, hastaların korunan sağlık bilgilerini ve kişisel kimlik bilgilerini içeren dosyaları Aralık 2018 ile Eylül 2019 arasında halka açık GitHub platformuna kaydettiğini belirledi. Dosyaların 17 Aralık 2020'de web sitesinden kaldırıldığı, bunun da verilerin en az 13 ay boyunca açığa çıktığı anlamına geldiği iddia ediliyor.

Ön anlaşma geçen ay Teksas federal mahkemesi tarafından onaylandı ve 11 Eylül'de adil bir duruşma yapılması planlanıyor.

Diğer Riskler

GitHub'daki verilerin kazara açığa çıkması, sağlık sektörünün yanı sıra diğer sektörlerdeki diğer ihlallerin merkezinde yer alıyor.

Ekim 2022'de otomobil üreticisi Toyota, bir taşeronun yanlışlıkla T-Connect için yaklaşık 300.000 e-posta adresini barındıran bir veri sunucusuna erişim anahtarını içeren halka açık GitHub deposu kaynak kodunu yüklediğini söyledi (bkz.: Toyota, 2 Milyon Japon Müşterinin Otomatik Konum Verilerini Açıkladı).

2020'de Ursem, DataBreaches.net blogunun gizlilik savunucusu “Dissent” ile birlikte dokuz ABD kuruluşunun GitHub'da en az 150.000 hastayı etkileyen PHI'yı nasıl açığa çıkardığını açıklayan bir rapor yayınladı (bkz.: GitHub Sızıntıları Yoluyla Tıbbi Kayıtlar İfşa Edildi).