Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi
IBM, Hasta Bilgilerine İzinsiz Erişime İzin Veren ‘Teknik Yöntemi’ Suçluyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
17 Ekim 2023
IBM, federal düzenleyicilere, 631.000 kişinin kişisel bilgilerinin, Johnson & Johnson hasta ilacı destek platformu tarafından kullanılan üçüncü taraf veri tabanına yetkisiz erişime izin veren bir “teknik yöntem” yoluyla ele geçirildiğini bildirdi. IBM sorunun çözüldüğünü ancak halihazırda iki dava açıldığını söyledi.
Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu
Geçen ay IBM ve Johnson & Johnson tarafından kamuya açıklanan ancak bu hafta Sağlık ve İnsani Hizmetler Bakanlığı’nın HIPAA İhlal Raporlama Aracı web sitesinde yayınlanan veri ihlali, halihazırda önerilen en az iki federal toplu davanın konusu oldu. Şirketlere karşı açılan davalar.
Eylül ayı sonlarında açılan iki davaya bakan ABD New York Güney Bölgesi Bölge Mahkemesindeki federal yargıç, 2 Ekim’de iki davanın birleştirilmesine karar verdi.
Davaların her biri IBM ve Johnson & Johnson’a karşı benzer iddialarda bulunuyor; buna şirketlerin bireylerin hassas korunan sağlık bilgilerini ve kişisel tanımlayıcı bilgilerini yetkisiz erişime karşı koruma konusunda ihmalkar davrandıkları iddiaları da dahil.
“Sonuç olarak, davacı temsilcisinin ve grup üyelerinin PHI/PII’si, bilinmeyen ve yetkisiz bir üçüncü tarafa – gelecekte davacı temsilcisini ve grup üyelerini dolandırarak bu ifşadan kâr elde etmeye çalışan şüphesiz hain bir üçüncü tarafa – ifşa yoluyla tehlikeye atılmıştır.” 22 Eylül’de Elaine Malinowski’nin kendisi ve benzer durumdaki diğerleri adına açtığı dava.
Davalarda, davacılar ve sınıf üyeleri için mali tazminatın yanı sıra IBM ve Johnson & Johnson’a veri güvenliği uygulamalarını iyileştirmeye yönelik ihtiyati tedbir kararları talep ediliyor.
IBM, sağlık hizmeti sağlayıcıları tarafından Janssen ilaçları reçete edilen hastalara destek hizmetleri ve kaynaklar sunan Johnson & Johnson’ın Janssen CarePath platformunu destekleyen uygulamayı ve üçüncü taraf veritabanını yönetir.
İhlal Ayrıntıları
Janssen CarePath, yakın zamanda IBM tarafından yönetilen bir üçüncü taraf veri tabanına yetkisiz erişime izin veren bir “teknik yöntemin” farkına vardığını söyledi. Janssen, ihlal bildiriminde, IBM’e sorunun derhal bildirilmesinin ardından teknoloji devinin sorunu derhal düzelttiğini ve olayı araştırdığını söyledi.
İhlal bildiriminde, IBM’in araştırmasının 2 Ağustos’ta veritabanındaki kişisel bilgilere yetkisiz erişim tespit ettiği ancak teknoloji firmasının erişimin kapsamını belirleyemediği belirtildi.
Johnson & Johnson’ın HIPAA iş ortağı olan IBM, Janssen CarePath müşterilerini ve bilgileri etkilenen veritabanında depolanan kullanıcıları bilgilendiriyor.
Olayda ele geçirilen potansiyel bilgiler arasında bireylerin adları, iletişim bilgileri, doğum tarihleri, sağlık sigortası bilgileri ve Janssen CarePath uygulamasına sağlanan ilaçlar ve ilgili koşullar hakkındaki bilgiler yer alıyor. IBM, etkilenen veritabanında Sosyal Güvenlik numaralarının ve mali hesap bilgilerinin bulunmadığını söyledi.
Şirket, IBM’in etkilenen kişilere bir yıllık ücretsiz kredi ve kimlik izleme olanağı sunduğunu ve aynı zamanda “gelecekte benzer bir olayın meydana gelme olasılığını azaltmak amacıyla güvenlik kontrollerini artırmak için” veritabanı sağlayıcısıyla birlikte çalıştığını söyledi.
IBM, Information Security Media Group’un, veri tabanına ve verilere yetkisiz erişime izin veren “teknik yönteme” ilişkin ayrıntılar da dahil olmak üzere, olayla ilgili ek ayrıntılara ilişkin talebini reddetti. IBM ayrıca ISMG’nin önerilen toplu davalara ilişkin yorum talebini de reddetti.
Johnson & Johnson, ISMG’nin olayla ilgili ek ayrıntılar ve davalarla ilgili yorum yapma talebine hemen yanıt vermedi.
İş ortakları ve diğer üçüncü taraf satıcılar, 2023’te şu ana kadar bildirilen en büyük sağlık verisi ihlallerinin çoğunun merkezinde yer aldı.
Bunlar arasında IBM/Johnson & Johnson ihlali gibi belirgin bağımsız olaylar ve Progress Software’in MOVEit ve Fortra’nın GoAnywhere dosya aktarım yazılımı gibi yaygın olarak kullanılan yazılım ürünlerini içeren önemli hack’ler yer alıyor.
Salı günü itibarıyla, HHS’nin Sivil Haklar Ofisi’nin web sitesi, 2023’te şu ana kadar bildirilen 88,7 milyon kişiyi etkileyen 524 büyük sağlık verisi ihlalinin yaklaşık %40’ının (yaklaşık 54 milyon kişiyi etkileyen 211 vakanın) bu ihlallerle ilgilenen iş ortaklarını içerdiğini gösteriyor. PHI.