Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi
Daha Büyük PharMerica İhlaliyle Bağlantılı Amerita’ya Karşı Önerilen Toplu Dava İddiası
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
28 Eylül 2023
Özel infüzyon şirketi Amerita, Mart ayında ana şirketi PharMerica’ya düzenlenen ve yaklaşık 6 milyon kişiyi etkileyen bir ihlalin rapor edildiği siber saldırının ardından önerilen federal toplu davayla karşı karşıya. Amerita, ihlalin yaklaşık 220.000 kişiyi etkilediğini söylüyor.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditlerle Mücadelenin Sınırlamalarını Aşmak: Gerçek Güvenlik Sorunlarına Gerçek Çözümler
Amerita, 5 Eylül’deki ihlal bildiriminde 14 Mart’ta Amerita ve ana şirketi PharMerica’nın bilgisayar ağlarında şüpheli etkinlik öğrendiğini söyledi.
Amerita, derhal bir iç soruşturma başlattığını ve ardından bilinmeyen bir üçüncü tarafın 12-13 Mart tarihleri arasında Amerita’nın bilgisayar sistemlerine erişip bazı verileri elde ettiğini belirlediğini söyledi.
Amerita, olayla ilgili olarak bazı Amerita hastalarının kişisel bilgilerini içeren bir veri setinin “yakın zamanda” tespit edildiğini söyledi. Bu bilgiler arasında isim, adres ve tıbbi geçmiş, teşhis, ilaçlar ve sağlık sigortası bilgileri yer alıyordu. Şirket, ihlalin Amerita hastasının Sosyal Güvenlik numaralarını veya sürücü belgesi numaralarını içermediğini söyledi.
Kentucky merkezli PharMerica daha önce Mayıs ayında hack olayının HHS OCR’ye ve eyalet düzenleyicilerine – kendisi ve ana şirketi BrightSpring Health Services adına – 5,8 milyondan fazla kişiyi etkilediğini bildirmişti.
PharMerica, ihlal bildiriminde olayı, PharMerica’nın Sosyal Güvenlik numaralarının potansiyel olarak ele geçirildiği dışında Amerita’nın ihlal bildirimine benzer şekilde tanımladı.
Mayıs ayında fidye yazılımı grubu Money Mesaj, PharMerica olayındaki saldırganın kendisi olduğunu iddia etmiş ve karanlık web sızıntı sitesinde grubun hasta verileri içerdiğini söylediği çok sayıda e-tablo yayınlamıştı. Siber suç grubu ayrıca piyasa modelleri ve bilançolar da dahil olmak üzere görünürdeki dahili iş belgelerini de yayınladı (bkz: PharMerica İhlalin Yaklaşık 6 Milyon Kişiyi Etkilediğini Bildirdi).
Grup, “minimum 1,6 milyon kişisel veri kaydına sahip” 4,7 terabaytlık bir veritabanına sahip olduğunu ve içeriğini kamuya açıklama tehdidinde bulunduğunu iddia etti.
Önerilen Toplu Eylemler
Haziran ayında PharMerica hastası Jaketrius Lurry tarafından Kentucky federal mahkemesinde açılan toplu dava önerisi, diğer iddiaların yanı sıra şirketin hassas sağlık bilgilerini koruma konusunda ihmalkar olduğunu iddia ediyor. Bu dava, fiili ve olası zararlar da dahil olmak üzere tazminat ve şirketin veri güvenliği uygulamalarını iyileştirmesi için bir ihtiyati tedbir kararı talep ediyor.
Şimdi, Amerita ihlalinin ifşa edilmesinin ardından, PharMerica olayına ilişkin ayrı bir ihlal raporu, Pazartesi günü sunulan benzer bir toplu dava şikayeti, Amerita’yı Kaliforniya federal mahkemesinde davalı olarak adlandırdı.
Amerita’ya karşı açılan davada davacı olan Andrew Rose’u temsil eden bir avukat, Rose’un davasının neden ana şirketi PharMerica’ya değil de Amerita’ya karşı açıldığı da dahil olmak üzere Bilgi Güvenliği Medya Grubu’nun davaya ilişkin yorum talebine hemen yanıt vermedi.
Amerita’ya karşı açılan davada, şirketin yasaların gerektirdiği makul veri güvenliği prosedürlerini uygulamadığı veya bunlara uymadığı ve davacıyı ve önerilen grup üyelerinin hassas Bilgilerini izinsiz erişime karşı korumada başarısız olduğu, bu durumun onları kimlik hırsızlığı, dolandırıcılık ve ilgili suçlar riskine soktuğu iddia ediliyor .
Ayrıca Amerita’ya karşı açılan davada, şirketin ihlali 13 Mart’ta öğrendiği halde davacıya ve diğer grup üyelerine 3 Eylül’de bildirimde bulunmak için yaklaşık altı ay beklediği iddia ediliyor.
Amerita, ISMG’nin veri ihlaline ve önerilen toplu davaya ilişkin yorum talebine hemen yanıt vermedi.
Pharmerica’yı temsil eden bir avukat da ISMG’nin dava ve veri ihlaline ilişkin yorum talebine hemen yanıt vermedi.
Lider Trendler
Şirketlere karşı açılan davalarda yer almayan Hales Hukuk Grubu hukuk firmasından düzenleme avukatı Paul Hales, Amerita ve PharMerica veri güvenliği olayı ve bunu takip eden davaların birçok önemli trendle uyumlu olduğunu söyledi.
“Öncelikle, özel sağlık verilerinin ihlali davaları, kişisel sağlık bilgilerinin mahremiyet haklarının uygulanmasında en hızlı büyüyen, en agresif ve korkulan araçlardır” dedi.
Ayrıca, FTC’nin sağlık bilgileri gizliliği anlaşmazlıklarında HIPAA tarafından düzenlenmeyen şirketlere karşı yürüttüğü çeşitli yaptırım faaliyetlerine atıfta bulunarak, “Federal Ticaret Komisyonu – her iki davadaki davacıların da kabul ettiği gibi – aniden sağlık gizliliği yasasının güçlü bir federal uygulayıcısı haline geldi” dedi (bkz: FTC, Veri Gizliliği Gözetimini Geliştirmek İçin Harekete Geçiyor).
PharMerica ve Amerita aleyhindeki davaların her biri, davalı şirketin makul veri güvenliği uygulamalarını uygulamaya yönelik FTC yönergelerine uymadığını iddia ediyor.
Ayrıca Hale, sağlık hizmetleri firmaları ve benzeri iş ortaklarının bilgisayar korsanları için “büyük hedefler” olduğunu, çünkü bu firmaların çok sayıda sağlık hizmeti sağlayıcısı tarafından toplanan korumalı sağlık bilgilerini topladığını ve sakladığını söyledi.
Karmaşık İhlaller
PharMerica/Amerita olayı ve bunun sonucunda ortaya çıkan dava, ihlallerin büyük ulusal ve uluslararası sağlık sektörü firmasının birden fazla operasyonunu etkilediği durumlarda bazen yasal ve düzenleyici açıdan ortaya çıkan karmaşıklığı da göstermektedir. Uzmanlar, birleşme ve satın almaların, bütçe kesintilerinin ve sağlık hizmetlerinde dijital ve uzaktan hizmetlerin hızla benimsenmesinin, daha büyük güvenlik açıklarına sahip daha karmaşık BT ortamları yarattığını söylüyor.
PharMerica’nın özel sermaye şirketi KKR’nin onu 1,4 milyar dolara satın almasından kısa bir süre sonra sunduğu 2017 tarihli son üç aylık raporu, onu gelir ve müşteri lisanslı yataklara dayalı olarak ABD’deki en büyük ikinci kurumsal eczane hizmetleri şirketi olarak tanımladı.
KKR, yıllık geliri yaklaşık 4,5 milyar dolar olan bir şirket oluşturmak için 2019 yılında PharMerica’yı BrightSpring Sağlık Hizmetleri ile birleştirdi.