Veri İhlali Bildirimi, Veri Güvenliği, Sağlık Hizmetleri
Hukuk Bürosu, Bilgisayar Korsanlarının Hedeflediği Diğer Grup Davası Davacılarına Katılıyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
16 Ocak 2025
Tüketicileri veri ihlali davalarında ve diğer anlaşmazlıklarda temsil eden bir hukuk firması olan Wolf Haldenstein Adler Freeman & Herz LLP, 2023’te 3,4 milyondan fazla kişiyi etkileyen kendi büyük hack olayını düzenleyici kurumlara bildirdi.
Ayrıca bakınız: Panel Tartışması | Daha hızlı pazara sunma süresi ve gelişmiş yatırım getirisi için HITRUST sertifikasyonunu hızlandırın
New York, Chicago, Nashville ve San Diego’da ofisleri bulunan hukuk firması Çarşamba günü Maine başsavcısına, olayda ele geçirilen bilgilerin isim, Sosyal Güvenlik numarası, çalışan kimlik numarası, tıbbi teşhis ve tıbbi talep bilgilerini içerdiğini söyledi. Wolf Haldenstein eyaletin düzenleyicilerine, etkilenen 3,4 milyondan fazla kişiden yaklaşık 3.200’ünün Maine sakini olduğunu söyledi.
Wolf Haldenstein, hack’in Aralık 2023’te firmanın ağ ortamında şüpheli aktivite tespit etmesiyle keşfedildiğini söyledi. Firmanın ihlal bildiriminde, “Bu olayın ortaya çıkması üzerine Wolf Haldenstein, ağını güvence altına almak için derhal gerekli adımları attı ve olayın niteliğini ve kapsamını araştırması için uzman bir siber güvenlik firmasıyla iletişime geçti.” ifadesine yer verildi.
Bildirimde, soruşturmanın yetkisiz bir aktörün firmanın ağında saklanan belirli dosyalara ve verilere eriştiğinin belirlendiği belirtildi. Firma, “Wolf Haldenstein ayrıca sunucularında barındırılan verilerin potansiyel etkisini ve güvenliğini belirlemek için mevcut tüm bilgileri kullanarak sistem ve ağlarında bir inceleme gerçekleştirdi” dedi.
Firma, “Wolf Haldenstein daha sonra bu olayın gerçekleştiği sırada sunucularda saklanan verilerin kime ait olduğunu anlamak için zaman alıcı ve ayrıntılı bir inceleme gerçekleştirdi” dedi. Hukuk firması, neredeyse bir yıl sonra, 3 Aralık 2024’te, Wolf Haldenstein’ın potansiyel olarak etkilenen kişilerden oluşan bir alt kümeyi belirlediğini ancak firmanın bu grup bireylere doğrudan bildirimde bulunacak adres bilgilerini bulamadığını söyledi.
Wolf Haldenstein daha önce hacklenmeyi Mayıs ayında Vermont da dahil olmak üzere diğer bazı eyaletlerdeki düzenleyicilere bildirmişti. Hukuk firması ayrıca Perşembe günü olayın yaklaşık 328.000 Teksaslıyı etkilediğini Teksas başsavcılığına bildirdi. Ancak firmanın Çarşamba günü Maine başsavcısına sunduğu rapor, hukuk firmasının olaydan milyonlarca kişinin etkilendiğini kamuoyuna açıklayan ilk ve tek rapor gibi görünüyor.
Perşembe günü itibarıyla, ABD Sağlık ve İnsani Hizmetler Bakanlığı’nın HIPAA İhlali Raporlama Aracı web sitesinde Wolf Haldenstein tarafından sunulan herhangi bir HIPAA ihlal raporu gösterilmedi.
Maine başsavcılığına sunduğu ihlal raporunda Wolf Haldenstein’ı temsil eden bir avukat, Bilgi Güvenliği Medya Grubu’nun, firmanın veri ihlali davası müşterilerinden herhangi birinin saldırıdan etkilenip etkilenmediği de dahil olmak üzere olayla ilgili ek ayrıntılar talebine hemen yanıt vermedi.
Wolf Haldenstein olayında yer almayan Hales Hukuk Grubu’ndan düzenleme avukatı Paul Hales, “Wolf Haldenstein’ın veri ihlali ve ihlali tespit etmek için yapılan dolambaçlı soruşturma, bir hukuk firmasının en kötü kabusu” dedi.
“Sistem çapında HIPAA uyumluluğunu sürdürmek zorludur ancak Wolf Haldenstein gibi birden fazla konuma sahip kuruluşlar için yönetilebilir” dedi. “Hukuk firmalarında sıkı müşteri gizliliği çok önemlidir, ancak korunan sağlık bilgilerine erişim için gereken minimum standart yanlışlıkla göz ardı edilebilir” dedi.
Hukuk firması iş ortakları için HIPAA kurallarının veri ihlallerini en aza indirmeye, tespit etmeye ve önlemeye yönelik bir plan sağladığını söyledi.
“Wolf Haldenstein’ın uzun ve özenli ihlal araştırması, HHS OCR’nin, HIPAA tarafından düzenlenen bir kuruluşun elektronik bilgi sistemleri ve bir teknoloji varlığı envanteri boyunca elektronik PHI hareketinin haritalanmasını gerektirecek önerilen Güvenlik Kuralı değişikliklerinin mantığını vurguluyor” dedi.
Diğer Hukuk Bürosu Hack’leri
Wolf Haldenstein saldırısı, veri ihlaliyle ilgili davalarla ilgilenen bir hukuk firmasının, bu müşterilerin bazılarını potansiyel olarak etkileyen büyük bir veri güvenliği olayını rapor ederken bulduğu ilk olay değil.
Küresel hukuk firması Orrick, Herrington & Sutcliffe, 2023 yılında, üç yıl önce bir müşterinin veri ihlalinin kurbanları da dahil olmak üzere yaklaşık 638.000 kişinin bilgilerinin tehlikeye girdiği belirlenen bir bilgisayar korsanlığı olayını bildirdi.
Kasım ayında Orrick, hukuk firmasına karşı veri ihlaliyle ilgili önerilen toplu dava davasını sonuçlandırmak için 8 milyon dolar ödemeyi kabul etti (bkz: Mahkeme, Orrick Veri İhlali Davasında 8 Milyon Dolarlık Uzlaşmayı Kesinleştirdi).
Aynı sıralarda Orrick toplu davayı sonuçlandırdı; başka bir hukuk bürosu (veri ihlali kanunu ve diğer hukuki davalar konusunda uzmanlaşmış Missouri merkezli bir ulusal hukuk firması olan Thompson Coburn) da 305.000 kişiyi etkileyen kendi ayrı bir bilgisayar korsanlığı olayını bildirdi. Bu ihlalden etkilenenler arasında Thompson Coburn sağlık sektörü müşterisi olan New Mexico’daki Presbiteryen Sağlık Hizmetleri’nin belirsiz sayıda hastası da vardı (bkz: Hukuk Bürosu Hack’i Sağlık Sisteminin Hasta Verilerini Ele Geçirdi).