Sağlık Hizmetleri, Olay ve İhlallere Müdahale, Sektöre Özel
Perry Johnson ve Associates’e Karşı Davalar Birikmeye Devam Ediyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
19 Aralık 2023
Iowa’daki bir tıp merkezi, bu yılın başlarında tıbbi transkripsiyon tedarikçisi Perry Johnson and Associates’te meydana gelen bir bilgisayar korsanlığı olayıyla bağlantılı bir ihlali federal düzenleyicilere bildiren en son sağlık kurumları arasında yer alıyor.
Ayrıca bakınız: Olaya Hazırlık ve Müdahalenin Kritik Doğası
Cedar Rapids, Iowa’da bulunan 450 yataklı bir Katolik hastanesi olan Mercy Tıp Merkezi, 8 Aralık’ta ABD Sağlık ve İnsani Hizmetler Bakanlığı’na, transkripsiyon sağlayıcısının dahil olduğu bilgisayar korsanlığı olayından 97.132 hastanın etkilendiğini bildirdi.
Hastane, bir ihlal bildiriminde kendisinin “eski” bir Perry Johnson müşterisi olduğunu ve olayın Mercy Medical Center’ın bilgisayar sistemlerinden herhangi birine izinsiz erişim içermediğini veya hastalara bakım sağlama yeteneğini etkilemediğini söyledi.
Mercy, satıcının 2 Mayıs veya civarında bir veri güvenliği olayına maruz kaldığını keşfettiğini ve etkilenen kuruluşlar arasında kendisinin de olduğunu söylemek için hastaneyle temasa geçtiğini söyledi.
Mercy, olaya yanıt olarak Perry Johnson’ın bir soruşturma başlattığını, üçüncü taraf bir siber güvenlik uzmanını görevlendirdiğini ve tehdidin kontrol altına alındığından emin olmak için çalıştığını söyledi. “Daha ayrıntılı bir incelemenin ardından PJ&A, yetkisiz tarafın, Mercy Medical Center da dahil olmak üzere çeşitli kuruluşların müşteri verilerini içeren bir veritabanına ait yedek dosyaları ele geçirdiğini belirledi.”
Satıcı, ihlali 10 Ekim’de Mercy Medical Center’a bildirdi.
Ele geçirilen Mercy hasta bilgileri arasında isim, doğum tarihi, adres, Sosyal Güvenlik numarası ve kabul, taburculuk ve tıbbi muayene tarihleri yer alıyor.
PJ&A, 3 Kasım’da federal düzenleyicilere bilgisayar korsanlığı olayının yaklaşık 8,95 milyon kişiyi etkilediğini bildirdi.
Son haftalarda ihlal bildiriminde bulunan diğer müşteriler veya eski müşteriler arasında yaklaşık 1,2 milyon hastanın etkilendiği Illinois’deki Cook County Health ve kaç hastanın etkilendiğini açıklamayan New York merkezli kar amacı gütmeyen Crouse Health Syracuse yer alıyor ( Görmek: NY AG, Tıbbi Transkripsiyon Hackinde Kimlik Hırsızlığı Riski Konusunda Uyardı).
Salı günü itibarıyla Perry Johnson iki düzineden fazla federal toplu davayla karşı karşıya. Dava şikâyetlerinde de şirketin davacıların ve grup üyelerinin hassas bilgilerini tehlikeye karşı koruma konusunda ihmalkar olduğu ve çeşitli eyalet veya federal düzenlemeleri ihlal ettiği iddiaları da dahil olmak üzere benzer iddialar yer alıyor.
8 Aralık’ta birkaç toplu dava davacısı, PJ&A veri ihlalinden kaynaklanan tüm toplu davaların birleştirilmesi için ortak bir önerge sundu. ABD Çok Bölgeli Davalarla İlgili Yargı Panelinin önergeyi 25 Ocak’ta dinlemesi planlanıyor.
Bazı uzmanlar, büyük ihlallerin ardından açılan davaların yaygın olmasına rağmen, etkilenen bu kadar çok kişinin bu davada PJ&A’ya karşı dava açma yarışının, bir transkripsiyon şirketinin saldırıya uğramasıyla ilgili rahatsız edici koşulları yansıttığını söyledi.
PJ&A davalarında yer almayan Hales Hukuk Grubu’ndan düzenleme avukatı Paul Hales, “Tıbbi transkripsiyon satıcısının hacklenmesi özellikle endişe verici çünkü bir hasta hakkındaki çok hassas bilgileri dayanılmaz ayrıntılarla ortaya çıkarabilir” dedi.