Yönetişim ve Risk Yönetimi , Sağlık Hizmetleri , Sektöre Özel
Diğer Hukuk Firmaları Kendi Veri İhlali Sorunlarıyla Yüzleşirken Uzlaşma Geliyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
12 Kasım 2024
Bir federal mahkeme, Orrick, Herrington & Sutcliffe hukuk firmasına karşı, çok sayıda müşteriyi ve 638.000’den fazla kişiyi etkileyen bir bilgisayar korsanlığı olayını içeren toplu birleştirilmiş toplu dava davasında 8 milyon dolarlık bir uzlaşmayı sonuçlandırdı.
Ayrıca bakınız: 2024 Dolandırıcılık Analizleri Raporu
Cuma günü, ABD’nin Kaliforniya Kuzey Bölgesi bölge mahkemesi, sınıf üyelerine belgelenebilir cepten yapılan harcamalar için 2.500 dolara kadar ve belgelenebilir olağanüstü zararlar için 7.500 dolara kadar ödeme sağlayan anlaşmanın nihai onayını verdi. Davadaki dokuz baş davacının her biri ayrıca 2.500 dolarlık hizmet ödülü alacak.
Orrick daha önce veri ihlaline ilişkin ilk bildirimle birlikte 24 aylık kredi izleme hizmetleri sunmuştu. Ancak anlaşmaya göre sınıf üyeleri, 1 milyon dolarlık kimlik hırsızlığı sigortası da dahil olmak üzere üç yıl daha üç büro kredi izleme hizmeti talebinde bulunabilecek.
Anlaşma aynı zamanda Orrick’in, yerleşim sınıfı üyelerinin hukuk firmasında gelecekte meydana gelebilecek veri ihlallerinden korunmasına yardımcı olmak için “anlamlı veri güvenliği iyileştirmeleri” uygulayarak ve sürdürerek veri güvenliği uygulamalarını güçlendirmesini gerektiriyor.
Buna, Orrick’in algılama ve yanıt araçlarını geliştirmesi, hem ağ hem de uygulama düzeyinde sürekli güvenlik açığı taramasını geliştirmesi, ek uç nokta algılama ve yanıt yazılımı dağıtması ve bir üçüncü tarafın yardımıyla ek 7/24 ağ tarafından yönetilen algılama ve yanıt gerçekleştirmesi dahildir. Mahkeme belgelerine göre siber güvenlik sağlayıcısı.
Grup üyelerini ve davacıları temsil eden avukatların toplam 2 milyon dolar, yani 8 milyon dolarlık uzlaşma fonunun yaklaşık dörtte birini alması bekleniyor.
Orrick’e karşı önerilen dört toplu davayı birleştiren dava, hukuk firmasının 13 Mart 2023’te tespit ettiği bir bilgisayar korsanlığı olayına odaklanıyordu.
Orrick’in olayla ilgili soruşturması, bir siber suçlunun, 19 Kasım 2022 ile 13 Mart 2023 tarihleri arasında yaklaşık dört ay boyunca hukuk firmasının ağına yetkisiz erişim sağladığını belirledi. Sonuçta firma, 638.023 kişiye bilgilerine potansiyel olarak erişildiğini ve bu kişilerin bilgilerine erişildiğini bildirdi. olayda dışarı çıkarıldı.
Potansiyel olarak ele geçirilen bilgiler arasında bireylerin adı, adresi, doğum tarihi, Sosyal Güvenlik numarası, sağlık bilgileri ve diğer kişisel olarak tanımlanabilir bilgiler yer alıyordu.
Veri ihlalinden etkilenen Orrick müşterileri arasında görme faydaları planı EyeMed ve diş sigortası planı Delta Dental of California da dahil olmak üzere birçok sağlık sektörü kuruluşu yer alıyor (bkz: Hukuk Bürosu, Sağlık Verileri Hackleme Davasını Sonuçlandırmak İçin 8 Milyon Dolar Ödeyecek).
Başlangıçta Orrick, düzenleyicilere ihlalin yaklaşık 153.000 kişiyi etkilediğini söyledi ancak firma daha sonra ihlal raporlarını birkaç kez güncelledi ve nihai sayı 638.000’i aştı (bkz.: Hukuk Firması Kendi Büyük İhlalinin Ardından Davayla Karşı Karşıya).
Veri ihlali toplu davasında Orrick’i temsil eden bir avukat, Information Security Media Group’un anlaşmaya ilişkin yorum talebine hemen yanıt vermedi.
Diğer Hukuk Bürosu İhlalleri
Orrick veri ihlali davası anlaşması, Missouri merkezli başka bir hukuk firması Thompson Coburn’un ABD Sağlık ve İnsani Hizmetler Bakanlığı’na 305.088 kişinin korunan sağlık bilgilerini etkileyen bir bilgisayar korsanlığı olayını bildirdiği aynı hafta içinde sonuçlandırıldı (bkz: Hukuk Bürosu Sağlık Sistemlerinin Hasta Verilerini Ele Geçirdi).
Thompson Coburn bir bildirimde, etkilenen bireylerin bir hukuk hizmetleri müşterisi olan New Mexico merkezli Presbiteryen Sağlık Hizmetleri’nin hastaları olduğunu söyledi. Sağlık hizmetleri veya diğer sektörlerdeki diğer Thompson Coburn müşterilerinin de bilgisayar korsanlığı olayından etkilenip etkilenmediği belli değil. Şu ana kadar Thompson Coburn herhangi bir ek ihlal bildirimi yayınlamadı ve hukuk firması da ISMG’nin bilgisayar korsanlığı olayıyla ilgili açıklama ve yorum taleplerine yanıt vermedi.
Bununla birlikte, Thompson Coburn’un veri ihlali, Thompson Coburn’e karşı olası toplu dava davaları için bilgisayar korsanlığı olayıyla ilgili soruşturma başlattığını açıklayan diğer birçok hukuk firmasının dikkatini şimdiden çekiyor. Buna, Orrick’e karşı açılan veri ihlali davasında davacıları ve sınıf üyelerini temsil eden hukuk firması Federman & Sherwood da dahildir.
İronik bir şekilde, hem Thompson Coburn hem de Orrick, müşterilerine veri ihlali dava yardımını da içeren bir dizi hukuki hizmet sunuyor.
Thompson Coburn ve Orrick’in olayları, hukuk firmalarının sağlık sektörü müşterilerine karşı oluşturabileceği veri ihlali risklerinin başlıca örnekleri olsa da, bazen diğer üçüncü taraf sağlayıcıların da karışıma dahil olması durumunda bu riskler daha da karmaşık hale gelebilir.
Haziran ayında, hukuk firmalarına, sigortacılara ve üçüncü taraf yöneticilere tıbbi kayıt alma ve dava desteği sağlayan Compex Hukuk Hizmetleri, düzenleyici kurumlara ve aynı zamanda açıklanmayan sayıda müşteriye, Nisan ayında yaklaşık 30.000 kişiyi etkileyen bir veri sızıntısı olayının tespit edildiğini bildirdi. çalışanların geçmiş ve mevcut kayıtları ve bakmakla yükümlü oldukları kişiler dahil.
Compex, potansiyel olarak tehlikeye atılan bilgilerin bireylerin adını, Sosyal Güvenlik numarasını, mali hesap bilgilerini, teşhisi, tıbbi bilgileri ve kayıt numarasını ve sağlık sigortası bilgilerini içerdiğini söyledi.
Compex şu ana kadar, diğer iddiaların yanı sıra Compex’in davacının ve grup üyelerinin hassas bilgilerini koruma konusunda ihmalkar olduğunu iddia eden, olaydan etkilenen kişiler tarafından açılan en az dört önerilen cezai federal toplu davayla karşı karşıya.
Compex, ISMG’nin davalar ve bilgisayar korsanlığı olayıyla ilgili ek ayrıntılar hakkında yorum yapma talebine hemen yanıt vermedi.