Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi , Sağlık Hizmetleri
Alphv/BlackCat’in 2,5 Milyon Hastanın Verilerini Çaldığı İddiasından Günler Sonra Dava Açıldı
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
10 Ekim 2023
Rus bir hizmet olarak fidye yazılımı grubunun 2,5 milyon McLaren Health Care hastasının kişisel bilgilerini çalan yakın tarihli saldırısı, sağlık şirketinin hasta mahremiyetini korumada başarısız olduğu iddiasıyla son günlerde önerilen en az üç federal toplu davayı tetikledi. .
Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu
McLaren’in ihmali de dahil olmak üzere her biri benzer iddialarda bulunan davaların tümü, kendileri ve başkaları adına McLaren hastası olan veya McLaren hastası olan davacılar tarafından aynı Michigan federal mahkemesinde açıldı.
Dava, Alphv/Blackcat’in 29 Eylül’de karanlık web sitesinde 2,5 milyon McLaren hastasına ait 6 terabaytlık “hassas verileri” çalmakla övünmesinden yalnızca birkaç gün sonra açıldı. Tehdit aktörü ayrıca McLaren’in ağında “arka kapının hâlâ çalıştığını” iddia etti (bkz: Grup, Saldırıda 2,5 Milyon Hastanın Verilerini Çaldığını İddia Ediyor).
Avukatlar, McLaren’e karşı hızlı bir şekilde dava açtılar; üstelik şirket, ağustos ayının sonlarında gerçekleşen fidye yazılımı saldırısından bilgileri potansiyel olarak etkilenen kişilere bildirimde bulunmadan önce bile.
McLaren geçen hafta Bilgi Güvenliği Medya Grubu’na yaptığı açıklamada olayla ilgili olarak kolluk kuvvetleriyle iletişime geçtiğini söyledi ancak Salı günü itibarıyla McLaren’in resmi olarak düzenleyici makamlara herhangi bir veri ihlali raporu sunup sunmadığı belirsizliğini korudu.
Sağlık ve İnsani Hizmetler Bakanlığı’nın HIPAA İhlali Raporlama Aracı web sitesinde, 500 veya daha fazla kişiyi etkileyen sağlık verileri ihlallerini listeleyen McLaren’ı ilgilendiren hiçbir rapor yayınlanmadı.
Cuma günü, Michigan eyaleti başsavcısı Dana Nessel, Alphv/Blackcat tarafından Grand Blanc, Michigan merkezli McLaren Health Care’e yapılan son fidye yazılımı saldırısının “çok sayıda hastayı etkileyebileceğine” dair bir “tüketici koruma hatırlatması” yayınladı.
Fidye yazılımı grubu 2,5 milyon kişiye ait verileri çaldığını iddia ederken Nessel, “etkilenen hastaların gerçek sayısı ve kimliği ve korunan sağlık bilgilerinin türü bilinmiyor” dedi.
Nessel yaptığı açıklamada, “Bu saldırı, bilgi altyapımızın ne kadar hassas olabileceğini bir kez daha gösteriyor” dedi. “En kişisel verilerimizi işleyen kuruluşların, siber saldırılara dayanabilecek güvenlik önlemlerini uygulama ve hastanın özel sağlık bilgilerinin gizli kalmasını sağlama sorumluluğu vardır.”
Michigan, özel kuruluşların başsavcılığa veri ihlallerini bildiren bildirimler sunmasını zorunlu kılmıyor. AG’nin ofisi Salı günü yaptığı açıklamada, “McLaren’in kamuoyuna yaptığı açıklamalar aracılığıyla ihlalin farkına vardık ve Michigan tüketicilerine farkındalık ve kişisel gizlilik/güvenlik ipuçları ve kaynakları sağlamak için bir uyarı yayınladık” dedi. Ayrıca AG’nin ofisi, Michigan AG’nin ofisinin McLaren ile temas halinde olmadığını söyledi.
McLaren, ISMG’nin bir veri ihlali raporu sunmayı planlayıp planlamadığı veya ne zaman sunmayı planladığı, olayla ilgili soruşturmanın durumu ve önerilen üç toplu davaya tepki konusunda yorum yapma talebini reddetti.
McLaren, 15 hastane ve düzinelerce başka tıbbi tesisi kapsayan 6,6 milyar dolarlık entegre bir sağlık hizmeti dağıtım sistemidir. Kuruluş aynı zamanda Michigan’ın en büyük kanser merkezleri ve bakım sağlayıcıları ağını da işletiyor.
Dava İddiaları
Davacı Cheryl Drugich, 5 Ekim’de açtığı davada, McLaren’in, yetkisiz müdahalelere ve siber saldırılara karşı savunmasız bırakılan özel bilgileri “dikkatsizce” sakladığını iddia ediyor.
Drugich’in dava şikayetinde, McLaren olayında sızdırılan verilerin “kimlik hırsızları açısından değeri nedeniyle özel bilgileri hedef alan siber suçluların elinde kaldığı” iddia ediliyor.
Drugich’in iddiaları, davacı Jamie McSkulin’in Cuma günü ve Kati Komorosky’nin dün açtığı diğer iki önerilen toplu davadaki iddialara benziyordu.
Davalarda, McLaren’ın güvenlik uygulamalarını iyileştirmesi için cezai tazminatlar ve ihtiyati tedbir kararları da dahil olmak üzere benzer bir çözüm aranıyor.
McLaren aleyhindeki davada davacıları temsil eden avukatlar, ISMG’nin yorum taleplerine hemen yanıt vermedi.
McLaren geçen hafta ISMG’ye yaptığı açıklamada, Ağustos ayında BT sistemlerinde şüpheli aktivite tespit ettiğini ve olayın bir fidye yazılımı saldırısı içerdiğini doğruladığını söyledi. Kuruluş, olaya müdahale sırasında bilgisayar ağını çevrimdışına aldı ancak hasta bakımının etkilenmediğini söyledi.