Veri Gizliliği, Veri Güvenliği, Sağlık Hizmetleri
Hospital Sisters Sağlık Sistemi’nin 2023 Hack yaklaşık 900.000 kişiyi etkiledi
Marianne Kolbasuk McGee (Healthinfosec) •
2 Ekim 2025
Orta Batı’daki 13 Katolik hastanesi, toplum sağlığı merkezleri ve kliniklerden oluşan bir ağı, yaklaşık 900.000 kişiyi etkileyen 2023 hackleme olayı sonrasında açılan konsolide sınıf eylem davaları için 7,6 milyon dolar ödemeyi ve veri güvenliği uygulamalarında iyileştirmeler yapmayı kabul etti.
Ayrıca bakınız: Panel Tartışması | Daha hızlı piyasaya sürme ve geliştirilmiş yatırım getirisi için hitrust sertifikasını hızlandırın
Dava, Ağustos 2023’te Illinois merkezli Hospital Sisters Sağlık Sistemi Springfield’a karşı “hedeflenen bir siber saldırı” üzerine, kişisel olarak tanımlanabilir bilgileri tehlikeye atan ve 882.782 kişinin sağlık bilgilerini koruyan sağlık bilgilerini bkz.: Bakınız: bkz: Katolik Hastane Zinciri’nin 2023 Hack yaklaşık 900.000’i etkiledi).
Anlaşma uyarınca, HSHS, 14 Kasım’a kadar, Ağustos 2023 hackleme olayına bağlı cepten kayıplar için destekleyici belgelerle geçerli bir talepte bulunan her uygun sınıf üyesine 5.000 dolara kadar ödeyecek.
Alternatif olarak, sınıf üyeleri bunun yerine önemli bir nakit ödeme seçebilir. Bu tutar, cepten zararlar için ödeme taleplerinden sonra uzlaşma fonunda kalan bakiyeye ve ayrıca sınıf üyelerine de sunulan 24 aylık ücretsiz kredi ve kimlik izleme hizmetlerini içeren maliyetlere göre hesaplanacaktır.
HSHS ayrıca, veri güvenliği ve gizlilik kontrollerini ve politikalarını geliştirmek için “iyileştirici önlemler” uygulamayı kabul etti. Mahkeme belgeleri, HSHS’nin yapmayı planladığı özel iyileştirmeleri ayrıntılı olarak detaylandırmaz.
HSHS, konsolide davadaki tüm haksızlığa, sorumluluk ve talepleri reddeder.
Konsolide dava, diğer iddiaların yanı sıra, HSHS’yi ihmal, haksız zenginleştirme ve sözleşmeyi ihlal etmekle suçladı, hastaların hassas bilgilerinin veri ihlali.
Avukatlık ücretleri ve giderleri, uzlaşma fonunun% 35’ini veya yaklaşık 2,6 milyon $ ‘ı aşmayacak şekilde yapılacak. Yerleşim için son duruşma 4 Aralık’ta Illinois, Sangamon County Chancery Court’ta yapılması planlanıyor.
Hukuk uzmanları, davacılara ödenen tutarın kasıtlı olarak küçük olacağını söylüyor.
HSHS davasında yer almayan avukat Paul Hales, “HSHS, davacıların avukatlık ücretleri de dahil olmak üzere 7,6 milyon dolardan fazla ödeyecek. Bu, ihlalden etkilenen 900.000’e yakın kişiyi telafi etmek için 5 milyon dolardan daha az bırakacak.” Dedi.
“HSHS gibi sağlık veri ihlali sanıklarının oyun kitabı iyi kurulmuş” dedi. Diyerek şöyle devam etti: “Hedefleri hızlı bir uzlaşmaya ulaşmak ve mağdurları ihlal etmek için asgari para zararları ödemek. HSHS stratejiyi etkili bir şekilde kullandı.”
Hales, 8 Ocak 2025’te bir Illinois mahkemesinin birkaç davayı HSHS sınıfı eylemine birleştirdiğini ve altı ay içinde çözüldüğünü belirtti.
“Sağlık verileri ihlali davacılarının oyun kitabı da iyi kurulmuştur.” Diyerek şöyle devam etti: “Sınıf danışmanı olarak pozisyon için jokey yapmayı ve davalıyı silahsızlandıran duruşma öncesi hareketler kazandıktan sonra davanın yerleşmesini içeriyor.”
Özel sağlık verileri ihlali davacılarının çabalarının, sağlık endüstrisine siber güvenlik standartlarını sıkması gerektiğine dair önemli bir hatırlatma haline geldiğini söyledi.
Hales, veri ihlali sınıfı üyeleri çok az tazminat alsa da, sanıkların HSHS davası gibi yerleşimlerin bir parçası olarak veri güvenliğini artırma taahhütleri “hastalarının ileriye dönük olarak fayda sağlıyor” dedi.
“Tüm sağlık endüstrisi şimdi dikkat çekiyor. Utanç verici ve maliyetli sınıf eylem davaları veri ihlallerini takip edecek.”
Breach Detayları
HSHS, etkilenen bireylere karşı ihlal bildiriminde, 27 Ağustos 2023’te “yetkisiz bir üçüncü taraf” ın HSHS’nin ağına geçici erişim kazandığını keşfettiğini söyledi.
HSHS, olayı kontrol etmenin ve iyileştirmenin hemen adımlar attığını ve iç soruşturma başlattığını ve olayı kolluk kuvvetlerine bildirdiğini söyledi.
Adli soruşturma, tehdit aktörlerinin 16 Ağustos ve 27 Ağustos 2023 arasında HSHS ağındaki belirli dosyalara eriştiğini belirledi. Uzaklaştırılmış bilgiler her birey için değişti, ancak potansiyel olarak isimler, adresler, doğum tarihi, tıbbi kayıt numaraları, sınırlı tedavi bilgileri, sağlık sigortası bilgileri, sosyal güvenlik numaraları ve ehliyet numaraları dahil.
Bu arada, HSHS veri ihlali ile ilgisi olmayan federal mahkemede hala başka davalarla karşı karşıya.
Bu, HSHS’nin, potansiyel çalışanların iş adaylarının işe alma sürecinin bir parçası olarak aile tıbbi geçmişlerini açıklaması gereken bir istihdam öncesi tıbbi muayeneye sunmalarını isteyerek Illinois Genetik Bilgi Gizliliği Yasasını ihlal ettiğini iddia eden istihdam gizliliği ile ilgili önerilen bir sınıf davası içermektedir.
HSHS ayrıca, bireylerin para borçlu olduğunu iddia eden HSHS’den geldiğini iddia eden acımasız robocalls aldıklarını iddia eden davacılar tarafından Aralık ayında bir Illinois federal mahkemesinde açılan önerilen bir sınıf davası davasını savundu.
Bu davadaki davacılar, HSHS’nin her birine olağanüstü bakiyeleri olmadığını doğruladığını iddia ettiler ve yine de çağrılar devam etti. Şikayet, iddia edilen otomatik çağrıların potansiyel olarak HSHS’nin hackleme olayına bağlı olup olmadığını göstermedi. Bu dava Nisan ayında çözüldü, ancak anlaşma şartları açıklanmadı.
HSHS, Bilgi Güvenliği Medya Grubu’na yaptığı açıklamada, 2023 siber olayla ilgili herhangi bir yanlış yapmayı reddettiğini söyledi.
“Yerleşim sınıfının bir parçası olabilecek bireyler Eylül ayında postada bir bildirim aldı. HSHS en kaliteli hasta bakımını sağlamaya odaklanıyor.”*
*HSHS’nin ifadesini dahil etmek için 2 Ekim 10:01 UTC’de güncellendi.