Dolandırıcılık Yönetimi ve Siber Suç, Sağlık Hizmetleri, Sektöre Özel
Bazı hastalar doğrudan bilgisayar korsanları tarafından tehdit edildi; Güvenlik için 13,5 milyon dolar harcayacak merkez
Marianne Kolbasuk McGee (Healthinfosec) •
27 Mayıs 2025
Bir Seattle Kanser Merkezi, 2.1 milyon kişiyi etkileyen 2023 çift genişlemeli fidye yazılımı saldırısını içeren önerilen bir sınıf eylem davası çözmek için 11,5 milyon dolar ödemeyi kabul etti ve bazı hastalar fidye ödemedikleri takdirde hackerlar tarafından doğrudan tehdit edildi.
Ayrıca bakınız: Netskope Hipaa Haritalama Kılavuzunu Kullanma
Anlaşma, 11,5 milyon dolarlık finansal anlaşmaya ek olarak, Washington Üniversitesi’ne bağlı olan Fred Hutchinson Kanser Merkezi’ne ve davada adlandırılmış bir davalı – “veri güvenliği sistemlerini iyileştirmek ve toplamaya, kullanmaya ve sahip olmaya devam ettiği özel bilgileri korumak için 13,5 milyon doların üzerinde iş uygulaması geliştirmeleri harcamasını” gerektiriyor.
Yerleşim, UW tıbbı “Fred Hutch ile ortaklık, klinik bakım ve araştırma anlaşmaları ve protokolleri altında paylaştığı hasta verileri için politikaları, prosedürleri ve güvenlik kontrollerini değerlendirmek için üçüncü taraf bir denetçi olan Fred Hutch ile birlikte çalışmasını gerektiriyor.”
Kamu mahkemesi belgeleri Fred Hutchinson’un uygulaması gereken belirli güvenlik geliştirmelerini detaylandırmaz.
Anlaşma geçen hafta bir Washington eyalet mahkemesi tarafından nihai onay aldı.
Konsolide şikayet, 6 Aralık 2023 itibariyle, Fred Hutchinson’un, siber suçluların verilerini veri brokerlerine satma tehdidinden etkilenen yüzlerce kişiye 50 dolarlık bir gasp talebi ödenmedikçe, yüzlerce kişiye e -posta gönderdiğini iddia etti. Dava “en az 300 hasta bu tehdit edici e -postalardan birini aldıktan sonra Fred Hutch ile temasa geçti.”
Bu hastalardan bazıları, fidye ödemediyse, kolluk ve SWAT ekiplerinin sahte acil durumlara yanıt olarak bir kişinin evinde veya başka bir yerde göründüğü “swatting saldırıları” ile tehdit edildi (bkz:: Siber suçlular, swatting tehditleri olan zorbalık kanseri hastaları).
Bilgi Güvenliği Medya Grubu’na yaptığı açıklamada, bir Fred Hutchinson sözcüsü, merkezin Kasım 2023 siber güvenlik olayını çözmek için yerleşime ulaştığını söyledi. “Hastalarımızın ve çalışanlarımızın güvenine büyük değer veriyoruz ve kişisel bilgilerin güvenliğini çok ciddiye alıyoruz. Kişisel bilgileri korumaya ve veri güvenliğimizi güçlendirmek için önemli yatırımlar yapmaya devam ediyoruz.” Dedi.
Fred Hutchinson, kuruluşun veri güvenliği uygulamalarını geliştirmek için atacağı adımlar ve gasp talebi ödediği bilinen bireylerin sayısı da dahil olmak üzere ISMG’nin ek ayrıntılar taleplerine hemen yanıt vermedi.
Mahkeme belgeleri, bireylerin Fred Hutchinson hackini içeren siber suçlulara kaç tane gasp talebi ödediğine dair ayrıntı vermez.
Hacking olayı 10 Kasım 2023 ve 25 Kasım 2023 arasında meydana geldi. Saldırganlar, mevcut ve eski hastaların kişisel ve sağlık bilgilerini içeren varlık sunucularında depolanan belirli dosyalara erişim kazandı.
Geri ihlal edilen dosyalar arasında hasta adları, adresler, sosyal güvenlik numaraları, doğum tarihleri, sağlık sigortası bilgileri, tıbbi geçmiş bilgileri, zihinsel ve fiziksel koşullar ve tıbbi teşhis ve tedaviyi içermektedir.
Anlaşma uyarınca, uygun sınıf üyeleri iki tür nakit ödemenin yanı sıra iki yıllık ücretsiz kredi izleme ve tıbbi kimlik-hırsızlığı koruma hizmetleri için talepte bulunabilir.
Nakit ödemeler, sahtekarlık veya kimlik hırsızlığı ile ilgili kayıplar gibi veri ihlalinden kaynaklanan belgelenmiş cepten zararlar için 5.000 dolara kadar geri ödeme; ve sınıf üyesinin cepten kayıplar için bir talepte bulunup yapmadığına bakılmaksızın, 599 dolara kadar olan bir Pro Rata Nakit Fonu ödemesi.
Anlaşma uyarınca, davacıları ve sınıf üyelerini temsil eden avukatlar, uzlaşma fonunun üçte birini veya yasal ücretler ve giderler için yaklaşık 3.83 milyon dolar alacaklardır.