Dolandırıcılık Yönetimi ve Siber Suçlar , Sağlık Hizmetleri , Sektöre Özel
Avukatlar, Bebeğin Ölümüyle İlgili Durumda Hastanenin Ödemeden Döndüğünü Söyledi
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
30 Mayıs 2024
Alabama’daki bir hastane, fidye yazılımı saldırısıyla ilgili ilk ölüm iddiasını karara bağladıktan altı hafta sonra, iddiaya göre 2019’daki olayla bağlantılı doğum komplikasyonları nedeniyle ölen bebeğin annesini temsil eden avukatlar, hastanenin ödeme yapmadığını ve tazminat talebinde bulunduğunu söyledi. mahkeme müdahale etsin.
Ayrıca bakınız: Küçük İşletme Güvenlik Duvarı Kılavuzu
Davacı Teiranni Kidd tarafından 2019 yılında Springhill Memorial Hastanesi’ne karşı açılan ve Haziran 2020’de değiştirilen dava, Kidd’in kızı Nicko Silar’ın doğum komplikasyonları yaşadığını ve ardından fidye yazılımı saldırısı nedeniyle hastanedeki doktorların bebeğin kayıtlarına zamanında erişememesi nedeniyle öldüğünü iddia ediyor. Kidd’in doğumu sırasında çocuğun sıkıntı içinde olduğunu gösteren fetal izleme sonuçları.
Davanın ABD’de bir hastaneye yapılan fidye yazılımı saldırısıyla bağlantılı olduğu iddia edilen bir ölümü içeren ilk dava ve uzlaşma olduğuna inanılıyor (bkz.: Dava: Hastanenin Fidye Yazılımı Saldırısı Bebeğin Ölümüne Yol Açtı).
Kidd’in avukatı tarafından 16 Mayıs’ta Alabama’daki Mobile Bölge Çevre Mahkemesi’ne sunulan bir önergede, avukatların 15 Nisan’da Springhill ile anlaşmaya vardıkları ve bunun her iki tarafı temsil eden avukatlar tarafından da onaylandığı, ancak o zamandan beri hastanenin anlaşmadan caydığı iddia ediliyor. ve yeni şartlar talep ediyor.
Önergede, “SMH bugüne kadar anlaşmayı finanse etmeyi reddediyor. Bunun yerine, hiçbir zaman pazarlık yapmadığı ek maddi koşullar için yeni bir talebe bağlı olarak ödemeyi rehin tutuyor” deniyor.
Hastanenin yeni talepleri de dahil olmak üzere anlaşmanın mali ve diğer koşulları mahkeme belgelerinden çıkarıldı.
Kidd’in avukatları tarafından sunulan önergede, Springhill’in yeni anlaşma koşulları için “yalnızca iki olası motivasyona” sahip olduğu iddia ediliyor.
Bu nedenler “davacıyı ve avukatını riske maruz bırakmaktır” [redacted text] bu davayla ilgili halihazırda kamuya açıklanmış ayrıntıların açıklanması nedeniyle gizliliğin ihlal edildiğine ilişkin asılsız iddialardan; ya da Springhill’i, görünüşe göre hakkında ikinci kez düşündüğü bağlayıcı bir anlaşmadan kurtarmak” diyor önergede.
Önergede, “Her iki durumda da, SMH’nin davranışı çözüm sürecine zarar veriyor, davacının iyileşmesini tamamlama ihtiyacına saygısızlık ediyor ve bu davanın adil ve zamanında çözülmesine aykırı.” ifadeleri yer alıyor.
Davacının dilekçesinde, 15 Nisan’da anlaşmaya varıldığı için davanın 16 aydan uzun bir süre önce planlandığı gibi 29 Nisan’da duruşmaya gitmediği iddia ediliyor.
Ne Kidd’i temsil eden avukatlar ne de Springhill’i temsil eden avukatlar Bilgi Güvenliği Medya Grubu’nun yorum taleplerine hemen yanıt vermedi.
Vaka Ayrıntıları
Kidd’in davası, 16 Temmuz 2019’da hastaneye kaldırıldığında hastanenin bir fidye yazılımı saldırısının ortasında olduğundan habersiz olduğunu iddia ediyor. Kidd’in bebeği, 17 Temmuz’da göbek bağı boynuna bağlı olarak ve ciddi beyin hasarıyla hastanede doğdu. Birkaç ay sonra ölümünün nedeni olduğu iddia edilen hasar ve diğer komplikasyonlar.
Davada, Kidd’in doğumu sırasında siber saldırı nedeniyle klinisyenlerin erişemediği fetal izleme ve diğer bilgilerin, bebeği güvenli bir şekilde doğurtmak için acil bir sezaryen operasyonuna yol açması gerektiği ileri sürülüyor. Bu prosedür gerçekleştirilmedi.
Springhill davasına dahil olmayan avukat Rachel Rose, davanın ABD’de bir ilk olduğunu söyledi. “Başkaları da olsa, ihmal davasının nedensellik yönü nedeniyle açılan bir dava olmayabilir” dedi.
ABD dışında ilk raporlar, Eylül 2020’de Düsseldorf Üniversite Hastanesi’ni etkileyen bir fidye yazılımı saldırısıyla acil bakımı kesintiye uğradığı iddia edilen bir Alman hastanın ölümü arasında bağlantı kurdu, ancak daha sonra kesintinin olayla doğrudan ilgili olmadığı belirlendi.
Rose, davacının sunduğu önergenin her iki tarafın da bağlayıcı bir anlaşmaya vardığı izlenimini verdiğini söyledi. “Mahkemeler bir anlaşmayı yürürlüğe koyarken her zaman bir belgenin dört köşesine bakarlar. Eğer bir şey atlanmışsa, o zaman bunu daha önce gündeme getirmeleri gerekirdi. Tüm gerçekleri bilmiyoruz, bu yüzden spekülasyon yapamayız” dedi.
Rose, Springhill’in hastanenin sigorta poliçeleri ve toplu dava açabilecek diğer hastaların sorumluluğu gibi birkaç olası nedenden ötürü uzlaşma şartlarına belirli bir dilin eklenmesini talep etmiş olabileceğinden şüpheleniyor.
Ortaya çıkan sorunlar
Springhill davasıyla ilgili önemli olan şey, “sağlık hizmeti sağlayıcılarının hâlâ büyük ölçüde – ve mutlulukla – siber güvenlik olaylarının sağlık hizmetlerinin sunumunu etkileyebileceğinin ve etkileyeceğinin farkında olmaması ve siber güvenlik başarısızlığıyla ilgili iddiaların dava edilmesinin tıbbi uygulama hatasından daha kolay olacağıdır” dedi. avukat Steven Teppler, Mandelbaum Barrett PC hukuk firmasının ortağı ve siber güvenlikten sorumlu baş hukuk sorumlusu.
Springhill davasına dahil olmayan Teppler, “Bu davalarda davalı sağlık hizmeti sağlayıcılarına yönelik keşif talepleri, artık iyice yerleşmiş ve müdahaleci derecede kapsamlı olan veri ihlali toplu davalarındaki taleplerle neredeyse aynı olacaktır” dedi.
Teppler, anlaşmaya varıldığı iddia edilen 15 Nisan’dan bu yana Springhill’in “tıp merkezinin davayla ilgili olarak açıklanmamayı tercih edeceği bazı gerçekler olduğuna karar verdiğinden şüphelendiğini” söyledi. Düzenlemelerin tespit etmeyi zorlaştırdığını söyledi.
Bu arada, hastane fidye yazılımı saldırılarıyla ilgili hasta güvenliği endişeleri de sağlık sektöründe büyüyen bir endişe.
Daha bu hafta, Michigan’daki Ascension Providence Rochester Hastanesi’nde çalışan hemşireleri ve diğer tıp uzmanlarını temsil eden bir işçi sendikası, Ascension’ın 8 Mayıs’taki siber saldırının ardından hasta güvenliğini korumak için harekete geçmesini talep eden bir dilekçe imzaladı.
Bu olay, elektronik sağlık kayıtlarını ve diğer BT sistemlerini devre dışı bırakarak klinisyenleri zaman alan manuel işlemler ve kağıt üzerinde çizelgeler kullanmaya zorladı (bkz: Sendika, Ascension Siber Kesintisinde Hasta Güvenliğinin Düzeltilmesini Talep Ediyor).
Sendika, Ascension’ın saldırının ardından toparlanırken, klinisyenlerin önemli hasta bilgilerini manuel olarak elde etmek ve belgelemek için daha fazla zaman harcamak zorunda kalması nedeniyle hasta-hemşire oranının azaltılması da dahil olmak üzere bir dizi hasta güvenliği protokolü uygulamasını talep ediyor.
Ayrıca, 2014’ten 2020’ye kadar Kaliforniya’daki hastanelere yönelik yıkıcı fidye yazılımı saldırılarını analiz eden Journal of the American Medical Association’da Çarşamba günü yayınlanan yeni araştırma, saldırıların hedef aldığı hastanelerdeki acil servis ziyaretlerinde ve yatan hasta kabullerinde geçici bir azalma ve buna karşılık gelen geçici bir artış tespit etti. saldırıya uğramayan yakındaki hastanelere yapılan acil servis ziyaretlerinde.
Bulgular, fidye yazılımı saldırılarının sonuçlarının hedeflenen hastaneden daha geniş olduğunu ve yakın bölgelerdeki sağlık hizmeti sağlayıcılarını da etkilediğini gösteriyor.