Kliniğe Karşı Dava Uzun Siber İyileştirmeler Listesi Arıyor

Parasal zararların yanı sıra, Cardiovascular Associates’e karşı açılan dava, Birmingham kliniğine kapsamlı bir bilgi güvenliği programının uygulanması ve sürdürülmesinden 10 yıllık yıllık, mahkeme gözetiminde yürütülen SOC 2 Tip 2 tasdiklerinin zorunlu kılınmasına kadar uzanan kapsamlı bir önlem listesi düzenlemesi için ihtiyati tedbir talebinde bulunuyor. bağımsız bir üçüncü taraf değerlendirici. Davacılar ayrıca kliniğin özel bilgileri bulut tabanlı bir veritabanında saklamasının yasaklanmasını talep ediyor.

Diğer iddiaların yanı sıra, Çarşamba günü federal mahkemede açılan davada, kliniğin hastaların bilgilerini birkaç cephede korumayı ihmal ettiği iddia ediliyor.

Buna, Federal Ticaret Komisyonu yönergelerine, HIPAA düzenlemelerine ve Ulusal Standartlar ve Teknoloji Enstitüsü’nün Siber Güvenlik Çerçevesinde yer alanlar gibi endüstri standartlarına uyulmadığı iddiası da dahildir.

Dava, bu güvenlik eksikliklerinin bir sonucu olarak, sınıf üyelerinin kimlik hırsızlığı ve dolandırıcılık riski altında olduğunu iddia ediyor.

CVA, Information Security Media Group’un dava hakkında yorum yapma ve olayla ilgili ek ayrıntılar talebini reddetti.

Davaya dahil olmayan hukuk firması Zimmerman Reed LLP’nin avukatı Jeff Westerman, bilgisayar korsanları tarafından çok sayıda hassas hasta verisinin çalınmasını içeren olayların özellikle endişe verici olduğunu söyledi.

“Bilgisayar korsanları verileri kopyalayıp kaldırdığında, bu çok kötü bir ihlal senaryosudur” dedi. CVA’nın bilgisayar korsanlarının çaldığını kabul ettiği veriler, “esasen bir kişinin kredi kartı bilgileri, Sosyal Güvenlik numaraları, sürücü ehliyetleri ve listelenen diğer öğeler gibi şeyler için ödeme yapmak ve kendilerini tanıtmak için kullandığı araçlardır” diye ekledi.

Davada yer almayan düzenleyici avukat Rachel Rose, sızmanın genellikle saldırganların verileri ikincil bir amaç için kullanması anlamına geldiğini söyledi.

“Bireyler için bilgilerinin karanlık ağda veya internette yayınlanmış veya yayınlanacak olması konusunda daha büyük bir risk var. Bu da, toplu eylem üyelerine ve hükümete zararlar için daha güçlü bir temel sağlıyor.”

İhlal Ayrıntıları

CVA, ihlali 3 Şubat’ta ABD Sağlık ve İnsani Hizmetler Departmanına bir ağ sunucusunu içeren bir bilgisayar korsanlığı olayı olarak bildirdi (bkz: 2 Sağlık Verisi Hack’i 1 Milyondan Fazla Kişiyi Etkiledi).

Bir ihlal bildiriminde CVA, bilgisayar korsanlarının varlığını 5 Aralık 2022’de keşfettiğini söylüyor.

Olayda potansiyel olarak tehlikeye atılan bilgiler çok çeşitliydi. Adları, doğum tarihlerini, adresleri, Sosyal Güvenlik numaralarını, sağlık sigortası bilgilerini ve tıbbi kayıt numarası, hizmet tarihleri, sağlayıcı ve tesis adları, prosedür ve teşhis bilgileri ve muhtemelen değerlendirmeler, testler ve görüntüleme dahil olmak üzere tıbbi ve tedavi bilgilerini içerir.

CVA, ayrıca hesap ve hak talebi durumu, fatura ve teşhis kodları ve ödeme bilgileri dahil olmak üzere fatura ve talep bilgilerinin, pasaport ve ehliyet numaraları ve kredi kartı, banka kartı ve finansal hesap bilgilerinin de etkilendiğini söyledi.

Dava şikayeti, CVA’nın ihlal bildiriminin, meydana gelen veri güvenliği olayının türüne ilişkin, örneğin olayın temel nedeni veya yararlanılan güvenlik açıklarının türü hakkındaki ayrıntılar gibi bir açıklama içermediğine işaret ediyor.

Dava, “Bugüne kadar, bu kritik gerçekler, özel bilgilerinin korunmasını sağlamakta kazanılmış bir menfaati olan davacı ve sınıf üyelerine açıklanmadı veya açıklığa kavuşturulmadı.” “Bu ‘açıklama’, herhangi bir belirlilik derecesi ile bilgi vermediği için hiçbir şekilde gerçek bir açıklama anlamına gelmez.”

Dava, CVA’nın davacının ve sınıf üyelerinin özel bilgilerini güvende tutmadığı iddiasının sonuçlarının “uzun süreli ve şiddetli” olduğunu iddia ediyor. “Özel bilgiler – özellikle Sosyal Güvenlik numaraları – bir kez çalındığında, bu bilgilerin hileli kullanımı ve mağdurlara verilen zarar yıllarca devam edebilir.”