Sağlık , HIPAA/HITECH , Sektöre Özel
Gastroenterolog Satıcısının Kötü Amaçlı Yazılım Araştırmasından Sonra Akışta 244.000 Kişisel Veri
Marianne Kolbasuk McGee (SağlıkBilgisi) •
9 Ocak 2023
Sanki kolonoskopiler yeterince invaziv değilmiş gibi, 2019’dan beri bağırsak probu uygulanan yaklaşık çeyrek milyon hasta, üçüncü taraf bir gastroenterolog satıcısında bir bilgisayar korsanlığı olayına bağlı bir veri ihlaliyle boğuşmak zorunda.
Ayrıca bakınız: Web Semineri | Teletıp ve Sağlık Hizmetinde Uzaktan Çalışmanın Geleceğini Güvence Altına Almak
Kansas merkezli Captify Health, yaklaşık 244.300 hastaya, ödeme kartlarının ve diğer kişisel bilgilerinin, kolonoskopi hazırlık kiti çevrimiçi perakende işini içeren 2019’da başlayan bir veri güvenliği olayında ele geçirilmiş olabileceğini bildiriyor.
Maine Başsavcılığı’na gönderilen bir şirket ihlali bildirimi, Captify Health çevrimiçi perakende hizmeti Hasta Danışmanınızın 26 Mayıs 2019’dan 20 Nisan 2022’ye kadar üç yıldan uzun süredir devam eden bir “kötü amaçlı kod” olayına maruz kaldığını söylüyor.
Şirket, Mart 2021’de ödeme kartı ortamıyla ilgili olarak tüketici kredi kartlarının hileli kullanımına ilişkin bildirim aldığını açıkladı. Konuyla ilgili bir soruşturma, bir ihlalin meydana geldiği tespitiyle 12 Ekim 2022’de sonuçlandı.
Captify Health, Information Security Media Group’un ek ayrıntılar talebine hemen yanıt vermedi.
Şirket, etkilenen bilgilerin tam ad, adres, ödeme kartı numarası, son kullanma tarihi ve ödeme kartı güvenlik kodunu içerdiğini söylüyor.
Bazı uzmanlar, olayın bir dizi tehlike işareti oluşturduğunu söylüyor.
“CVV numarasının veya güvenlik kodunun asla saklanmaması, ödeme kartı endüstrisi veri güvenliği standardı olan PCI-DSS’nin kesin bir gerekliliğidir – ve sanki öyleymiş gibi görünmektedir” diyor Michael Hamilton, kurucusu ve CISO’su. güvenlik firması Critical Insight.
Hamilton, durum buysa, Hasta Danışmanınızın potansiyel olarak çeşitli federal hükümet ve eyalet düzenleyici sorunlarının yanı sıra olası toplu dava davasıyla karşı karşıya kalacağını söylüyor.
En az bir hukuk firması – Markovits, Stock & DeMarco LLC – şimdiden potansiyel bir toplu dava davasını araştırıyor.
Web sitesinde ülke çapında 27 eyalete, 500 hekime ve 7 milyon hastaya hizmet verdiğini söyleyen Captify Health, tıbbi uygulamaların iş ortakları için HIPAA düzenlemeleri kapsamında görünüyor.
HIPAA kapsamında, 500 veya daha fazla kişiyi etkileyen ihlaller, keşfin ardından 60 gün içinde Sağlık ve İnsan Hizmetleri Bakanlığı Sivil Haklar Ofisine bildirilmelidir. Pazartesi itibariyle, HHS OCR HIPAA İhlal Raporlama Aracı web sitesinde Captify Health ile ilgili herhangi bir ihlalin yayınlanmadığı görüldü.
Gizlilik ve güvenlik danışmanlığı tw-Security CEO’su Tom Walsh, kötü amaçlı yazılım olayının uzatılmış zaman çerçevesinin (19 aylık görünen soruşturma ve bir ihlalin bireylere bildirilmesindeki potansiyel gecikme dahil) çeşitli nedenlerle endişe verici olduğunu söylüyor. .
“Bir ihlal meydana geldikten sonra kapsamlı bir soruşturma yapmak zaman alıyor, ancak bu durumda, bildirimde bulunmak alışılmadık derecede uzun bir süre almış gibi görünüyor” diyor.
Walsh, “Potansiyel tehlikeler kimlik hırsızlığıdır; bu da, ihlal edilen verileri bir tür mali dolandırıcılık girişiminde bulunan bilgisayar korsanının veya kötü niyetli kişinin izinsiz satın alma girişiminde bulunmasına yol açabilir,” diyor.
Veri kaybını önleme CISO’su Tom Cope, bir varlık olarak Hasta Danışmanınız için itibar kaybının yanı sıra ana risklerin “uzun zaman çerçevesi nedeniyle kendilerini daha büyük bir para cezasına ve/veya yasal işlem yapmaya açık bırakmaları” olduğunu söylüyor. satıcı Sonraki Veri Kaybını Önleme.
“PCI DSS cezaları aylık olarak düzenleniyor, dolayısıyla işletme 21 ay öncesine ait ceza cezalarını inceliyor olabilir” diyor.
Kötü Güvenlik Uygulamalarını Ortadan Kaldırmak
Captify Health’in Hasta Danışmanınız, veri güvenliğini artırmak için bir dizi adım attığını söylüyor. Bunlardan biri, gelecekte benzer bir olayın meydana gelme riskini azaltmak amacıyla çevrimiçi sipariş platformunu güvence altına almak için ek güvenlik önlemleri uyguluyor.
Raporda, “Hasta Danışmanınız, platformunun tüm satın alma işlemleri için güvenli ve güvenli olmasını sağlamak için adımlar attı” diyor.
Walsh, kuruluşların ayrıca çevrimiçi perakende ve benzeri web sitelerini içeren ihlalleri önlemek için önceden gayretli olmaları gerektiğini söylüyor.
“En azından, web’e yönelik herhangi bir tüketici/hasta erişimi, bilgisayar korsanları için birincil hedeftir. Bu nedenle, kapsamlı bir risk analizi, en fazla maruz kalma alanlarının ve düzeltme çabalarına en çok ihtiyaç duyulan alanların belirlenmesine yardımcı olur.”