Sağlık Hizmetleri, Sektöre Özel, Mevzuat ve Davalar
Siber Saldırıda Önerilen Toplu Dava 2015'ten Bu Yana Pek Çok Yasal İniş ve Çıkışla Karşı Karşıya Kaldı
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
2 Nisan 2024
Bir federal yargıç, CareFirst'e karşı 2014 yılında yaklaşık 1,1 milyon kişiyi etkileyen bir siber saldırıyı içeren toplu dava teklifine bir kez daha hayat verdi. Hakim, sağlık sigortasının verilerini korumaya yönelik sözleşmeden doğan yükümlülüklerini ihlal ettiği iddiasını takip edebilecek CareFirst müşterilerinden oluşan bir “sözleşme sınıfı”nın onaylanmasına karar verdi.
Ayrıca bakınız: Dijital Risk Korumasını Benimsetmek: Tehdit İstihbaratınızı Bir Sonraki Seviyeye Taşıyın
Columbia Bölgesi'nden ABD Bölge Mahkemesi Hakimi Christopher Cooper'ın 29 Mart'ta verdiği karar, önerilen toplu dava davasındaki uzun süreli hukuki iniş ve çıkışlar serisinin sonuncusuydu – Chantal Attias ve diğerleri. vs. CareFirst – 2014 yılında bir şirket veri tabanına yapılan saldırının ardından ilk olarak 2015 yılında dosyalandı.
Geçen haftaki kararında Cooper, CareFirst'ün müşterilerin verilerini korumaya yönelik sözleşmeden doğan bir yükümlülüğü ihlal ettiği iddiasını takip edebilecek 1 milyondan fazla kişiden oluşan bir “sözleşmeli sınıf” tasdik edeceğine karar verdi, “her ne kadar herhangi bir iyileşme neredeyse kesin olarak gerçekleşse de nominal zararlarla sınırlı olacaktır.”
“Sözleşme sınıfı”, Columbia Bölgesi, Maryland ve Virginia'da ikamet eden, CareFirst'ten sağlık sigortası satın alan veya sahip olan ve “kişisel olarak tanımlanabilir bilgileri, kişisel sağlık bilgileri, hassas kişisel bilgileri ve/veya mali bilgileri” olan “tüm kişilerden” oluşur. Cooper, CareFirst'in 10 Mayıs 2015'te duyurduğu veri ihlali sonucunda bilgilerin ihlal edildiğini belirtti.
“Konuyla ilgili dikkatli bir değerlendirme ve duruşmanın ardından mahkeme, önerilen sözleşme sınıfının onaylanmasının gerekli olduğuna karar verdi” dedi.
“Mahkemenin son incelemeyi onaylamasını engelleyen mevcut sorun, o zamandan beri ortadan kalktı çünkü tüm tarafların hemfikir olduğu gibi, önerilen sınıfın her bir üyesinin, CareFirst'in müşterilerini korumaya yönelik sözleşmeden doğan yükümlülüğünü sözde ihlal etmesi nedeniyle somut bir yaralanmaya maruz kaldığı iddia ediliyor.” Veriler – veri ihlali nedeniyle ek, somut bir yaralanmaya uğrayıp uğramadıklarına bakılmaksızın.
“Mahkeme, tüm varsayılan grup üyelerinin sözleşme ihlali iddialarını takip etme hakkına sahip olduğunu ve böylece mahkemenin önceki gezide önerilen sınıfı onaylamasını engelleyen tek sorunu çözdüğünü tespit etti.”
ABD Columbia Bölgesi Bölge Mahkemesi, 2016 yılında önerilen toplu davayı, davacıların somut, tanımlanabilir bir yaralanması olmadan devam edecek bir dayanak bulamadığını söyleyerek reddetmişti. Ancak 2017 yılında bir federal temyiz mahkemesi bu kararı bozdu (bkz.: Temyiz Mahkemesi CareFirst İhlali Grup Davasının Devam Etmesine İzin Verdi).
2018 yılında ABD Yüksek Mahkemesi, CareFirst'ün davanın incelenmesi talebini reddetti ve davayı devam etmesi için ABD Bölge Mahkemesine geri gönderdi; dava o zamandan beri başka bir dizi kararla karşı karşıya kaldı (bkz.: Yüksek Mahkeme CareFirst Veri İhlali Davasını İncelemeyecek).
Mart 2023'te Cooper, davacıların üç sınıfı (iki tüketici sınıfı ve bir sözleşmeli bireyler sınıfı) tasdik etme yönündeki talebini reddetti, ancak davanın belirli değişikliklerle ilerlemesi olasılığını açık bıraktı (bkz: Mahkeme CareFirst Hack'inde Toplu Dava Davasını Onaylamayacak).
Geçen yılın sonlarında Cooper, Washington DC bölgesi merkezli CareFirst'ün özet karar talebini kısmen kabul etti ve hem Maryland hem de Virginia tüketiciyi koruma kanunları kapsamındaki iddiaları reddetti. Bu, tarafların ek başvurularda bulunmasına ve daha fazla duruşma yapılmasına yol açtı ve Cooper'ın geçen hafta sözleşme sınıfını tasdik eden en son kararıyla sonuçlandı.
CareFirst'i temsil eden avukatlar, Bilgi Güvenliği Medya Grubu'nun son karara ilişkin yorum talebine hemen yanıt vermedi.
İhlal Ayrıntıları
Cooper'ın mahkeme kararında yer alan arka plan materyali, Nisan 2014'te bilgisayar korsanlarının, bir yazılım güncellemesi dağıtan bir şirket çalışanından gelen bağlantıya benzeyecek şekilde tasarlanmış bir e-postadaki bağlantıyı kullanarak sisteme bir arka kapı kurarak CareFirst'in dahili veri sistemine sızdığını söylüyor.
“CareFirst başlangıçta bu 'hedef avı' e-postasını sahte olarak tanımlamış ve herhangi bir veri ifşasını sınırlamak için bazı ihtiyati tedbirler almış olsa da, bir CareFirst çalışanı e-postada verilen bağlantıyı takip etti, bilgisayar korsanlarının arka kapısını indirdi ve farkında olmadan onlara belirli erişim izni verdi. CareFirst'in sistemleri” dedi mahkeme belgeleri.
Sonuç olarak bilgisayar korsanları, CareFirst'in çevrimiçi üye portalında oturum açmak için kullanılan adlar, abone kimlik numaraları, doğum tarihleri, e-posta adresleri ve kullanıcı adları dahil olmak üzere CareFirst müşteri bilgilerine erişti.
Mahkeme belgesinde, “Davacıların şikayeti, başlangıçta bilgisayar korsanlarının Sosyal Güvenlik numaraları ve kredi kartı numaraları gibi daha hassas kişisel bilgileri elde ettiğini iddia etti, ancak daha sonra bu desteklenmeyen iddiayı terk ettiler.” ifadesine yer verildi.
Mayıs 2015'te CareFirst, etkilenen tüm müşterilere ihlal bildirim mektupları gönderdi ve onlara iki yıllık ücretsiz kredi izleme ve kimlik hırsızlığı koruması teklif etti.