Dalış Özeti:
- Baltimore merkezli Johns Hopkins Sağlık Sistemi, Cuma günü bir toplu davayla vuruldu hastane sistemi Mayıs ayında bir üçüncü taraf veri ihlalini ortaya çıkardıktan sonra ihmal iddiasında bulundu.
- Davaya göre, Maryland Bölge Mahkemesinde açılan dava, sağlık sisteminin ihlalden etkilenenlerin kişisel sağlık bilgilerini ve PII’lerini güvence altına almak için önlemleri uygulamadığını iddia ediyor.
- Johns Hopkins, MOVEit dosya aktarım hizmetindeki yaygın olarak kullanılan bir güvenlik açığı nedeniyle verilerinin güvenliğinin ihlal edildiğini 31 Mayıs’ta keşfetti. Davaya göre yüz binlerce kişi ihlalden etkilenebilir.
Dalış Bilgisi:
Toplu dava davası, daha fazla şirket ve sağlık sistemi elektronik sağlık kayıtlarına yöneldikçe sağlık şirketlerindeki bilgisayar korsanlığı olaylarının artmasıyla ortaya çıkıyor. Federal kayıtlara göre, 2010’dan 2022’ye kadar veri ihlalleri nedeniyle 385 milyon hasta kaydı ifşa edildi.
Hastanenin bir müşterisi olan Pamela Hunter tarafından 7 Temmuz’da açılan dava, sağlık sisteminin bilgi sistemlerinin “standart altı” durumunun farkında olduğunu ve yeterli güvenlik protokollerini sürdürmeyerek zımni iyi niyet sözleşmesini bozduğunu iddia ediyor.
Johns Hopkins’in veri ihlali, MOVEit dosya aktarım yazılımındaki istismar edilen bir güvenlik açığı nedeniyle gerçekleşti. MOVEit ihlali, ABD Enerji Bakanlığı da dahil olmak üzere birçok devlet kurumunu etkiledi ve finansal amaçlı fidye yazılımı grubu Clop’a atfedildi.
Şubat ayında HHS, Clop’un Tennessee merkezli Toplum Sağlık Sistemlerine yapılan bir saldırı da dahil olmak üzere sağlık kuruluşlarındaki ihlallerden sorumlu olduğu konusunda uyardı.
Johns Hopkins, Mayıs ayındaki veri ihlalinden haberdar olmasına rağmen, toplu dava, Hunter’ın 24 Haziran tarihli bir mektup alana kadar bildirim almadığını – hatta sistemin onun kişisel sağlık verilerini sakladığının farkında olduğunu – iddia ediyor.
HIPAA, hastanelerin bir veri ihlalini “makul bir gecikme olmadan” ve keşfin ardından en geç 60 gün içinde bireylere bildirmesini gerektirse de, dava, davacıların ihlalin olası sonuçlarıyla uğraşırken zaman kaybettiklerini ve çalınan verilerle ilgili yetersiz ayrıntı verildiğini iddia ediyor. .
Davada, “Davacı ve sınıf üyeleri, bugün bile, hangi verilerin çalındığı, belirli bir kötü amaçlı yazılımın kullanıldığı ve ileride PHI/PII ve finansal bilgilerinin güvenliğini sağlamak için hangi adımların atıldığı konusunda karanlıkta kalıyor” diyor.
Siber istihbarat firması Black Kite’ın bir raporuna göre, geçen yıl hastaneler COVID-19 salgınından kurtulmak için mücadele ederken, sağlık sektörü üçüncü taraf ihlallerinin en yaygın kurbanıydı.
Rapora göre, endüstrinin zayıf siber güvenlik protokolleri, birbirine bağlı sağlık bilgi sistemleriyle birleştiğinde, sağlık hizmetlerini üçüncü taraf satıcı ihlalleri için en yüksek riskli sektör haline getiriyor.
Daha bu hafta HCA Healthcare, 11 milyondan fazla hastayı etkilemiş olabilecek bir veri güvenliği olayı bildirdi.