Finans ve Bankacılık , Sektöre Özgü , Mevzuat ve Dava
Legal Saga, 2015’ten Bu Yana Davacılar ve Şirket İçin Birçok İniş ve Çıkışı İçeriyor
Marianne Kolbasuk McGee (SağlıkBilgisi) •
30 Mart 2023
Bir ABD federal mahkemesinin bu hafta verdiği karar, 2014 yılında 1,1 milyondan fazla kişiyi etkileyen bir siber saldırının ardından sağlık sigortası şirketi CareFirst BlueCross BlueShield aleyhine açılan 8 yıllık bir toplu dava davasında davacılar için son başarısızlık oldu.
Ayrıca bakınız: Web Semineri | SASE Mimarisi Uzaktan Çalışmayı Nasıl Sağlar?
Önerilen toplu davanın ilk kez 2015’te açılmasından bu yana, davanın davacılar ve CareFirst için iniş çıkışları oldu.
Salı günkü kararda, ABD Columbia Bölgesi Bölge Mahkemesi’nden Bölge Yargıcı Christopher Cooper, davacıların geçen Ağustos ayında üç sınıfı tasdik etmek için yaptıkları dilekçeyi reddetti.
Mahkeme kararı, ihlalin sunduğu riske yanıt vermek için zaman harcayan bir grup birey gibi, davanın belirli değişikliklerle devam etme olasılığını açık bıraktı.
Dava, sadece 2017’de bir federal temyiz mahkemesinin 2016’da önerilen toplu davayı reddeden bir alt mahkemenin kararını bozan bir kararı nedeniyle hala aktiftir (bkz:: Temyiz Mahkemesi, CareFirst İhlali Toplu Dava Davasının Devam Etmesine İzin Verdi).
2018’de ABD Yüksek Mahkemesi, CareFirst’in inceleme talebini reddetti ve davayı devam etmesi için Columbia Bölgesi için ABD Bölge Mahkemesine geri gönderdi (bkz:: Yargıtay, CareFirst Veri İhlali Davasını İncelemeyecek).
Son Karar
Cooper, davacıların davasının temel iddialarının, CareFirst veri ihlalinin milyonları “artan dolandırıcılık ve kimlik hırsızlığı riskine maruz bırakarak, kredi izleme hizmetleri ve benzeri satın alma gibi hafifletici önlemlere zaman ve para harcamalarını gerektirmesi” olduğunu söyledi. kararında yazdı.
“Mahkemenin, bu davada ortak meselelerin bireysel soruşturmalara üstün gelip gelmeyeceği konusunda ciddi endişeleri var” diye yazdı.
Cooper, Yargıtay’ın TransUnion – Ramirez davasında dava edilebilir yaralanmaları “somut zarar” ile sınırlayan son kararının ışığında, önerilen sınıfın “çok sayıda yaralanmamış sınıf üyesini kabul edilemez bir şekilde süpüreceğinden” şüphelendiğini yazdı.
Davacılar, klas sertifikası için önergelerinde üç sınıf önerdiler.
İlki, “sözleşmeli sınıf” veya Washington, DC’de ikamet eden tüm kişilerdir; Maryland ve Virginia – CareFirst’in sigorta sunduğu bölgeler – sigortacıdan sağlık sigortası satın alan veya sahip olan ve şirket tarafından Mayıs 2015’te duyurulan veri ihlali sonucunda bilgileri ihlal edilen kişiler.
Diğer iki sınıf, CareFirst’ten sağlık sigortası satın alan veya sahip olan ve veri ihlalinden etkilenen Maryland veya Virginia’da ikamet edenler için ayrı “tüketici sınıfları”dır.
Cooper, “Davacılar, sınıf tanımlarını TransUnion ışığında daraltmanın (gerekirse) bu davayı bireyselleştirilmiş soruşturmalarla boğmayacağını henüz gösterebilirler” diye yazdı.
CareFirst davasına dahil olmayan hukuk firması Mandelbaum Barrett’in ortağı ve baş siber güvenlik hukuk sorumlusu avukat Steven Teppler, mahkemenin kararının Ramirez kararının etkileriyle devam eden mücadeleyi gösterdiğini söyledi.
“Bu noktada, ‘somut’ yaralanma teriminin oldukça farklı yorumlarını görüyoruz” dedi.
“Bir siber güvenlik olayının neredeyse her zaman bir PHI/PII sızmasını içereceğini varsayarsak, asıl soru şu: Kimliğin ele geçirilmesinde veya gaspta kullanılmak üzere satış için değilse – bir tehdit aktörü hangi amaçla rahatsız olur?”
Teppler, davacıların, sınıfı yalnızca ihlalden etkilenen “hafifletici önlemler almak için zaman veya para harcayan” CareFirst müşterileri ile sınırlandırarak “somut zarar” testini temize çıkarabileceklerini söyledi.
Ne CareFirst’in avukatları ne de davada davacıları temsil eden avukatlar, Bilgi Güvenliği Medya Grubu’nun kararla ilgili yorum taleplerine hemen yanıt vermedi.
İhlal Ayrıntıları
Şirket, yaklaşık 1,1 milyon mevcut ve eski CareFirst üyesi ve CareFirst ile çevrimiçi iş yapan ve 20 Haziran 2014’ten önce CareFirst’in web sitelerini kullanmak için kayıt yaptıran bireylerin ihlalden etkilendiğini söyledi (bkz.: CareFirst BlueCross BlueShield Hacklendi).
Olay, Nisan 2014’te bir mızrakla kimlik avı kampanyasıyla ilgiliydi. CareFirst ihlal bildiriminde, olayın gözden geçirilmesi, saldırganların CareFirst’in üyelerin ve diğer kişilerin CareFirst’in web sitelerine ve çevrimiçi hizmetlerine erişmek için girdiği verileri depoladığı tek bir veritabanına erişim elde ettiğini belirledi.
Olayda ele geçirilen bilgiler, CareFirst üyelerinin adlarını, doğum tarihlerini, e-posta adreslerini ve abone kimlik numaralarını içerir.