Sağlık Hizmetleri, Sektöre Özel, Mevzuat ve Davalar
Pediatrik Teknoloji Satıcısı 2022 Veri İhlalinden Etkilendi ve Çoğunluğu Çocuklardan Oluşan 3 Milyon Kişiyi Etkiledi
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
15 Şubat 2024
Bir elektronik sağlık kaydı ve muayenehane yönetimi yazılım firması, 2022’deki bir veri ihlalinin ardından açılan önerilen dokuz toplu davanın birleştirilmesiyle iflastan kaçınmanın tek yolunun, davayı 4 milyon dolara kapatmak olduğunu söyledi.
Ayrıca bakınız: Sağlık Sürümü: Üretken Yapay Zeka Aracının Benimsenmesinde Eğilimler ve Güvenlik Zorlukları
Veri ihlali, çocuk doktorlarının hastası olan çoğu çocuk olmak üzere 3 milyon kişiyi etkiledi. Ön uzlaşma belgesine göre, Office Practicum olarak faaliyet gösteren Connexin Software, hakime “davanın karara varmak şöyle dursun, ciddi anlamda ilerlemesi durumunda iflas koruması talep etmek zorunda kalacağını” söyledi.
Çarşamba günü Pensilvanya federal mahkemesinde sunulan ön anlaşmaya göre Connexin Software, veri güvenliği uygulamalarını iyileştirmek amacıyla iş değişikliklerine 1,5 milyon dolara kadar harcamayı kabul etti.
Mahkeme ayrıca, birleştirilmiş davanın birçok iddiasını reddeden önceki bir kararla davacıların davasına darbe indirdi.
“Mahkemenin Connexin’in kısmi ret talebine ilişkin kararı, binlerce sayfalık belge alışverişi, neredeyse bir düzine ifade ve Connexin’e yönelik arabuluculukla ilgili keşif ve analiz sayesinde taraflar birbirlerinin güçlü ve zayıf yönlerinin çok iyi farkındaydı. finansman” diyor uzlaşma belgesinde.
“Davayı uzatmak yerine davacılar, kendilerine ve sınıf üyelerine veri güvenliği olayından kaynaklanan yaralanmalar için derhal önemli faydalar sağlayacak bir anlaşmaya vardılar” diyor.
Önerilen anlaşma uyarınca, Fort Washington, Pensilvanya merkezli Connexin Software, her davacıya ve sınıf üyesine üç uzlaşma seçeneği sunacak: üç yıl boyunca kimlik hırsızlığı izleme artı 1 milyon dolara kadar sigorta; veri güvenliği olayı sonucunda cepten yapılan kayıplar veya harcanan zaman için 7.500 $’a kadar geri ödeme; veya tutarı o seçenek için sunulan geçerli taleplerin sayısına bağlı olan sabit bir nakit ödeme.
Avukatlar, ücret olarak uzlaşma fonunun yaklaşık üçte birini veya yaklaşık 1,3 milyon doları talep ediyor. Mahkeme belgelerine göre, Connexin’in anlaşma için finansman sağlama sürecinde olduğu belirtildi.
Perşembe günü itibarıyla mahkeme, ön anlaşmaya ilişkin duruşma için henüz bir tarih belirlememişti.
Vaka Çocuklar Üzerindeki Etkiye Odaklanıyor
Web sitesine göre Connexin, “pediatri uzmanları tarafından pediatri uzmanları için tasarlanmış, pediatriye özel iş akışları, şablonlar ve aşı yönetimi işlevselliğine sahip” bir yazılım üretiyor.
Nisan 2023’te Connexin aleyhine sunulan değiştirilmiş şikayet, şirketi yeterli güvenlik önlemlerini almamakla suçluyor ve ihlalin çocuklar, ebeveynleri, vasileri ve sigorta poliçesi sahipleri üzerindeki etkisine odaklanıyor.
Davacılar, kişisel kayıtların ihlalinin bu genç hastaları ve diğerlerini “dolandırıcılık, kimlik hırsızlığı, tıbbi kimlik hırsızlığı, sağlık sigortası yardımlarının kötüye kullanılması, sağlık mahremiyetlerinin ihlali” ve diğer suç türleriyle karşı karşıya bırakabileceğini savundu.
Değiştirilen davada, “Connexin’in görevi kötüye kullanması ve yasa ihlallerinin sonuçları, ülke genelinde çok sayıda genç için ciddi sonuçlar doğurdu ve olmaya devam edecek” iddiası yer alıyor.
Connexin, bir ihlal bildiriminde 26 Ağustos 2022’de iç ağında “bir veri anormalliği” tespit ettiğini söyledi. Soruşturması, yetkisiz bir tarafın, veri dönüştürme ve sorun giderme için kullanılan çevrimdışı hasta verileri kümesine erişebildiğini belirledi. Bu verilerin bir kısmı yetkisiz tarafça kaldırıldı (bkz.: Pediatrik EMR Tedarikçi Hack’i 2,2 Milyonu Etkiliyor).
İhlal, hasta adı, garantör adı, ebeveyn/vasi adı, adres, e-posta adresi ve doğum tarihi, Sosyal Güvenlik numaraları, sağlık sigortası bilgileri, tıbbi ve tedavi bilgileri ile fatura ve talep verileri gibi çok çeşitli hasta bilgilerini etkiledi.
Davacıları ve grup üyelerini davada temsil eden avukatlar, Bilgi Güvenliği Medya Grubu’nun görüş talebine hemen yanıt vermedi.
Ne Connexin’i temsil eden bir avukat ne de şirket, ISMG’nin yorum taleplerine ve davanın şirketi mali açıdan nasıl etkilediği de dahil olmak üzere ek ayrıntılara hemen yanıt vermedi.
Yerleşim Konuları
Davaya dahil olmayan düzenleme avukatı Rachel Rose, Connexin’in mali durumu ve firmanın iflas ilan etme olasılığının uzlaşma miktarı ve zamanlaması açısından meşru bir faktör olduğunu söyledi.
“Bir şirket, ‘Anlaşmazsanız iflas başvurusunda bulunacağız’ dediğinde göz önünde bulundurulması gereken hususlardan biri, bunun İflas Kanunu’nun yasa dışı kullanımının olup olmadığıdır. Bu, dava edilmesi gereken ayrı bir konudur” dedi.
Rose, “Bir şirket bu pozisyon konusunda samimiyse, iflas tehdidini kanıtlayacak, ihlalden bu yana kaybedilen gelirler de dahil olmak üzere mali belgelere sahip olacaktır. Karşı tarafın avukatı, iflas potansiyeline güvenmeden önce her zaman ayrıntılı inceleme yapmalıdır” dedi.
Küçükler İçin Artan Riskler
Rose, daha büyük resme bakıldığında, Connexin ihlali gibi reşit olmayanlara ait bilgilerin tehlikeye atılmasını içeren veri güvenliği olaylarının başka ciddi endişelere yol açtığını söyledi.
“Pediatrik hastalar özellikle savunmasızdır çünkü bilgileri yalnızca siber saldırganın küstahlığına bağlı olarak kullanılmakla kalmaz, aynı zamanda onu bir insan kaçakçılığı organizasyonuna satabilir ve bu da daha yasa dışı davranışlara yol açabilir” dedi.
ABD’deki federal yetkililer, çocuklara ait verilerin ele geçirilmesini içeren bazı ihlal vakalarında harekete geçti.
Geçtiğimiz yıl Adalet Bakanlığı, yüz binlerce reşit olmayan çocuğun düşük maliyetli sağlık ve dişçilik planları için yaptığı sigorta başvurularının bilgilerinin açığa çıkmasına neden olan bir ihlalle ilgili bir davada, artık faaliyet göstermeyen bir web barındırma şirketi olan Jelly Bean’e 300.000 dolarlık bir tazminat ödedi. Florida’da (bkz: Fed’in Çocuk Sigortası Sitesi Hack’inde İyi Web Hosting Firması).
Rose, “Psikiyatri kayıtları gibi, reşit olmayanların da hassasiyeti kesinlikle yüksektir. Ayrıca karaborsada daha değerli olabilir, bu nedenle pediatri hastaneleri artan sıklıkta hedef alınmaktadır” dedi.
Diğer Pediatrik Tüyolar
Bu ayın başlarında bir fidye yazılımı grubu, Chicago’daki Ann & Robert H. Lurie Çocuk Hastanesi’ni, pediatrik tıp merkezinin e-posta, telefon ve elektronik sağlık kayıtları da dahil olmak üzere birçok BT sistemini çevrimdışına almaya zorlayan bir siber saldırıyla vurdu.
Çarşamba günü olayla ilgili güncellenmiş bir açıklamada hastane, harici e-posta adreslerine gelen ve giden e-postaların ve telefon hatlarının çoğunluğunun geri yüklendiğini söyledi.
Ancak hastanenin MyChart hasta portalı hala çevrimdışı durumda. Hastane, “Akademik bir tıp merkezi olarak sistemlerimiz oldukça karmaşık ve bu olayların çözülmesi zaman alabilir. Ağ sistemlerimizin restorasyonu devam ediyor ve ilerliyor” dedi.
Lurie Çocuk Hastanesi, olayın “bilinen bir suç tehdidi aktörünün” erişimini içerdiğini söylese de hastane, saldırıda hasta kayıtlarının çalınıp çalınmadığı konusunda henüz kamuya açık bir yorumda bulunmadı.