Hukuk Bürosu Hack’i Sağlık Sisteminin Hasta Verilerini Ele Geçirdi

İhlal Bildirimi, Siber Suç, Dolandırıcılık Yönetimi ve Siber Suç

Firmadaki Veri Hırsızlığı Diğer Müşterilerin Bilgilerini de Etkiledi mi?

Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
7 Kasım 2024

Veri ihlali hukuku ve diğer hukuki davalar konusunda uzmanlaşmış, Missouri merkezli bir ulusal hukuk firması olan Thompson Coburn’deki bir bilgisayar korsanlığı olayının kendisi de ihlal edildi.

Ayrıca bakınız: 2024 Tehdit Avcılığı Raporu: Modern Düşmanları Zekice Alt Etmeye Yönelik İçgörüler

Hukuk firması, veri ihlalinin, beş yıl içinde en az dört ihlale maruz kalan New Mexico’daki bir sağlık sektörü müşterisi olan Presbiteryen Sağlık Hizmetleri’nin belirsiz sayıda hastasını etkilediğini söyledi. Ancak cevaplanmamış büyük bir soru, diğer müşterilerin etkilenip etkilenmediğidir.

Presbyterian Healthcare Services’in web sitesinde yayınlanan bir ihlal bildiriminde Thompson Coburn, olayın ilk olarak 29 Mayıs’ta hukuk firmasının ağındaki şüpheli faaliyetten haberdar olmasıyla tespit edildiğini söyledi.

Presbiteryen Sağlık Hizmetleri, New Mexico’da 100’den fazla doktor ve uzmanlık kliniği ve dokuz tam hizmet hastanesi işletmektedir. Grup ayrıca bireysel, aile, Medicare Advantage ve eyalet Medicaid sağlık planları sunmaktadır.

Thompson Coburn, yetkisiz bir kişinin 28 Mayıs ile 29 Mayıs tarihleri ​​arasında bazı dosyaları çaldığını söyledi.

Hukuk firması, “Etkilenen dosyalar üzerinde ayrıntılı bir inceleme yapıldı ve bu inceleme aracılığıyla, belirli PHS hastalarıyla ilgili belirli korunan sağlık bilgilerinin bu dosyalar içinde yer aldığını belirledik” dedi.

Potansiyel olarak ele geçirilen bilgiler arasında Presbiteryen Sağlık Hizmetleri hasta adı, Sosyal Güvenlik numarası, doğum tarihi, tıbbi kayıt numarası, hasta hesap numarası, reçete ve tedavi bilgileri, klinik bilgiler, tıbbi sağlayıcı bilgileri ve sağlık sigortası bilgileri yer alır.

Perşembe günü itibarıyla olay, ABD Sağlık ve İnsani Hizmetler Bakanlığı’nın 500 veya daha fazla kişiyi etkileyen sağlık verileri ihlallerini listeleyen HIPAA İhlal Raporlama Aracı web sitesinde yayınlanmamıştı.

Thompson Coburn, şu ana kadar ihlalden kaynaklanan kimlik hırsızlığı veya dolandırıcılık belirtisi bulunmadığını söyledi. Bildiride, “Bu olayın farkına varılması üzerine Thompson Coburn, olayı soruşturmak için derhal harekete geçti ve benzer olaylara karşı daha fazla koruma sağlamak için ek güvenlik geliştirmeleri uyguladı” denildi.

Ne Thompson Coburn ne de Presbyterian Healthcare Services, Information Security Media Group’un etkilenen kişi sayısı, hukuk firmasının sağladığı hukuki hizmetlerin türü ve diğer Thompson Coburn müşterilerinin olaydan etkilenip etkilenmediği dahil olmak üzere olayla ilgili ek ayrıntılara ilişkin talebine hemen yanıt vermedi. kesmek.

Diğer Müşteriler Etkilendi mi?

Sağlık hizmetlerinin yanı sıra bir dizi sektörde veri ihlali davaları da dahil olmak üzere uzun bir hukuki hizmet listesi sunan Thompson Coburn, şu ana kadar diğer müşterilerin bilgilerinin de olayda potansiyel olarak ele geçirilip geçirilmediğini kamuya açıklamadı.

Ancak Thompson Coburn hack olayına dahil olmayan bazı uzmanlar durumun böyle olabileceğinden şüpheleniyor.

Gizlilik ve danışmanlıktan sorumlu baş risk sorumlusu Jon Moore, “Eğer tehdit aktörü, burada olduğu gibi, ağlarının içindeyse, diğer Thompson Coburn müşterilerinin verilerine erişmeleri kesinlikle mümkün, hatta belki de muhtemeldir” dedi. firması Clearwater. “En azından adli analiz gerekli olacak ve bu bile tehdit aktörünün hangi dosyalara veya verilere eriştiğini kesin olarak belirleyemeyebilir.”

Bu arada Moore, bu olayın henüz ek ihlal bildirimleriyle sonuçlanmamasının birkaç nedeni olabileceğini söyledi.

“Örneğin, elektronik PHI’sı ihlal edilen bireylerin bildirimine ilişkin birincil sorumluluk kapsam dahilindeki kuruluşa aittir. ePHI ihlaline maruz kalan bir iş ortağının genellikle yalnızca bilgileri etkilenen kapsam dahilindeki kuruluşa bildirimde bulunması gerekir” dedi.

“Çoğu durumda, bildirim bu şekilde ele alınır. Bunun istisnası, iş ortağının sözleşmeye bağlı olarak bildirimleri işleme almayı veya desteklemeyi kabul etmesidir. Bu durumda, diğer müşterilere bilgi verilmiş olabilir ve ya biz onların gönderdikleri bireysel bildirimlerden habersiz olabiliriz ya da henüz yapmadılar” dedi.

Moore, diğer bir olasılık da Thompson Coburn’ün, başka hangi müşterilerin ve bireylerin etkilenmiş olabileceğini belirlemek için hala olayla ilgili soruşturma üzerinde çalışıyor olmasıdır, diye ekledi Moore.

Elbette Thompson Coburn, sağlık hizmeti müşterilerinin hastalarına ait korunan sağlık bilgilerinin tehlikeye girmesiyle sonuçlanan bir veri ihlali yaşayan tek hukuk firması değil.

Temmuz 2023’te, aynı zamanda veri ihlali dava hizmetleri de sunan küresel hukuk firması Orrick, Herrington & Sutcliffe, eyalet ve federal düzenleyicilere sağlık sektöründeki birçok müşteriyi ve toplamda yaklaşık 638.000 kişiyi etkileyen bir bilgisayar korsanlığı olayını bildirdi.

Orrick, Nisan ayında, görme faydaları planı EyeMed ve diş sigortası planı Delta Dental of California da dahil olmak üzere müşterileri etkileyen veri ihlali sonrasında firmaya karşı açılan toplu dava önerisini çözmek için 8 milyon dolarlık bir anlaşmayı kabul etti (bkz: Hukuk Bürosu Sağlık Verilerinin Hacklenmesi İçin 8 Milyon Dolar Ödeyecek).

Presbiteryen Sağlık Hizmetleri olayına dahil olmayan Hales Hukuk Grubu’ndan düzenleme avukatı Paul Hales, “PHI veri ihlalleri bir sağlık hukuk firmasının en büyük kabusudur. Bunlar maliyetli ve utanç vericidir ve toplu davalara davetiye çıkarır” dedi.

Hales, Orrick veri ihlalindeki duruma benzer şekilde Thompson Coburn’un, bir sağlık hizmeti müşterisinin yasal hizmetlerin yerine getirilmesi sırasında korunan sağlık bilgilerini kendisine ifşa etmesi durumunda HIPAA uyumluluğundan sorumlu bir iş ortağı olduğunu söyledi.

“Bu aşamada Thompson Coburn veri ihlalinin niteliği ve kapsamı kamuya açıklanmadı. Ancak elektronik iz, kritik ayrıntıları koruyor” dedi. Yetkili, düzenleyicilerin ve davacıların eninde sonunda ihlalin nasıl gerçekleştiğini öğreneceğini de sözlerine ekledi. “Ayrıca hukuk firmasının HIPAA uyumluluk programını da inceleyecekler” dedi.

Moore, hukuk firmalarına ePHI ile ilgilenen diğer üçüncü taraflar gibi davranılması ve gerekli özenin gösterilmesi gerektiğini söyledi.

“Bir iş ortaklığı anlaşması imzalamaları ve düzenli risk analizlerinden geçmeleri gerekiyor. ePHI’yi paylaşmadan önce kuruluşlar hukuk firmasının güvenlik duruşunu değerlendirmeli” dedi.

Sağlık hizmeti müşterilerinin ayrıca hukuk firmalarının PHI’ya erişimini gereken minimum düzeyde sınırlamaları gerektiğini söyledi.

“Firmanın bir olay müdahale planına sahip olduğunu ve verilerinin ihlal edilmesi durumunda kuruluşa zamanında yanıt vermeye ve bildirimde bulunmaya hazır olduğunu doğrulamaları gerekir. Kuruluşlar ayrıca firmanın uygun güvenlik önlemlerini sürdürdüğünü ve HIPAA’ya uygunluğunu sürdürdüğünü periyodik olarak incelemelidir. “dedi.

Moore, “Bu önlemler, hukuk firmalarının hassas sağlık hizmeti verilerini işleyen diğer satıcılarla aynı düzeyde veri koruma sağlamasına yardımcı oluyor” dedi.

Hales, Thompson Corburn’ün dahil olduğu Presbiteryen Sağlık Hizmetleri ihlalinin “bunu bir öğrenme deneyimi olarak kullanmaları tavsiye edilen diğer hukuk firmaları için uyarıcı bir hikaye” olduğunu söyledi.

Presbiteryen Sağlık Hizmetlerine gelince, Thompson Coburn’un dahil olduğu olay, sağlık kuruluşunun 2019’dan bu yana federal düzenleyicilere bildirdiği diğer bazı ihlallerin listesine katılıyor.

Bu türden en büyük olay, Presbiteryen Sağlık Hizmetleri Hizmetleri’nin ilk olarak Ağustos 2019’da HHS Sivil Haklar Ofisi’ne yaklaşık 183.400 sağlık planı üyesini etkilediği bildirilen bir e-posta kimlik avı ihlaliydi. Bu rakam daha sonra yukarı doğru revize edilerek 1,1 milyondan fazla etkilenen birey olarak revize edildi (bkz.: 2 Kimlik Avı Saldırısı Presbiteryen Sağlık Planı Üyelerini Etkiliyor).