Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi , Gizlilik
Üniversite, Sağlık Sistemi, Veri İhlaliyle İlgili Önerilen Toplu Eylemlerle Karşı Karşıya
Marianne Kolbasuk McGee (SağlıkBilgisi) •
11 Temmuz 2023
Johns Hopkins Üniversitesi ve Johns Hopkins Sağlık Sistemi, kurumun MOVEit dosya aktarım yazılımını içeren son bilgisayar korsanlığı saldırılarının kurbanları arasında yer aldığını açıklamasının ardından son günlerde açılan en az iki önerilen federal toplu davayla karşı karşıya.
Ayrıca bakınız: Canlı Web Semineri | Bankacılıkta İçeriden Gelen Tehditleri Ele Alma Sınırlamalarını Aşmak: Gerçek Güvenlik Zorlukları için Gerçek Çözümler
ABD Maryland Bölgesi Bölge Mahkemesinde biri Cuma ve diğeri Pazartesi günü açılan iki davada, araştırma üniversitesi ve amiral gemisi eğitim hastanesi de dahil olmak üzere sağlık sistemi tarafından ihmal edildiği iddiaları da dahil olmak üzere benzer iddialarda bulunuluyor. bireylerin hassas bilgilerini siber suçlular tarafından ele geçirilmesine karşı koruyun.
Johns Hopkins Üniversitesi ve John Hopkins Health System geçtiğimiz günlerde, Progress Software’in yaygın olarak kullanılan MOVEit dosya aktarım uygulamasındaki bir güvenlik açığından yararlanan siber güvenlik saldırılarından dünya çapında etkilenen birçok büyük kuruluş arasında yer aldıklarını açıkladı.
Fidye yazılımı grubu Clop, saldırıların sorumluluğunu üstlendi. Clop, 27 Mayıs ve 28 Mayıs tarihlerinde Progress Software’in MOVEit yazılımında önceden bilinmeyen bir güvenlik açığını hedeflemeye başladı (bkz: Clop’un MOVEit Kampanyası 16 Milyondan Fazla Kişiyi Etkiledi).
Progress Software ilk olarak MOVEit güvenlik açığını bildirdi ve 31 Mayıs’ta sıfır gün açığı için bir ilk yama yayınladı. O zamandan beri, şirket birkaç başka güvenlik açığı keşfetti ve yamalar yayınladı (bkz:: MOVEit Daha Fazla Güvenlik Açığı Açıklıyor, Yama Sorunları Ve Son MOVEit Hatası Bir Başka Kritik SQL Enjeksiyon Kusurudur).
Güvenlik uzmanları, 16 milyondan fazla kişinin kişisel verilerinin ele geçirildiği saldırılardan en az 150 kuruluşun etkilendiğini tahmin ediyor.
Johns Hopkins, ihlalin 31 Mayıs’ta meydana geldiğini ve kurumun sistemlerini güvence altına almak için acil adımlar attığını söyledi. Üniversite ve sağlık sistemi ortak bir kamu duyurusunda, “Siber güvenlik ekibimiz, hangi bilgilerin ele geçirildiğini belirlemek için veri güvenliği uzmanları ve kolluk kuvvetleriyle yakın bir şekilde çalışıyor. Bu soruşturma devam ediyor.”
Kuruluşlar, saldırının operasyonları etkilemediğini, ancak “ilk değerlendirme, saldırının Johns Hopkins çalışanlarının, öğrencilerinin ve hastalarının bilgilerini etkilemiş olabileceğini gösteriyor” dedi.
Şimdiye kadar Johns Hopkins, MOVEit hack’inden etkilenen insan sayısını kamuya açıklamadı, ancak davalar toplamın binlerce veya on binlerce olduğunu tahmin ediyor.
Johns Hopkins, Information Security Media Group’un davalar hakkında yorum yapma ve veri ihlaliyle ilgili ek ayrıntılar talebine hemen yanıt vermedi.
Dava İddiaları
Her iki dava da Johns Hopkins’in tüketicilerin kişisel tanımlanabilir bilgilerini ve korunan sağlık bilgilerini korumak için yasa ve endüstri standartlarına uygun güvenlik uygulamaları uygulamasını gerektiren parasal tazminat ve ihtiyati tedbir talebinde bulunuyor. Davalar, veri ihlalinin davacıları ve sınıf üyelerini artan bir kimlik hırsızlığı, mali dolandırıcılık ve diğer suçlar riskine soktuğunu iddia ediyor.
Baş davacılar Maria Gregory ve Ayomiposi Asaolu tarafından Pazartesi günü açılan dava şikayetinde, “Veri ihlali, sanıkların müşterilerinin PII’larını korumak için temel güvenlik prosedürlerini uygulamaması ve takip etmemesinin doğrudan bir sonucu olarak meydana geldi.”
Davacı Pamela Hunter tarafından Cuma günü açılan dava şikayetinde, Johns Hopkins’in HIPAA kapsamında hastaların korunan sağlık bilgilerini gizli tutma konusundaki yasal görevini de yerine getirmediği iddia ediliyor.
Dava, Johns Hopkins’in “kapsanan kuruluşun veya iş ortağının oluşturduğu, aldığı, sürdürdüğü veya ilettiği tüm elektronik PHI’ların gizliliğini, bütünlüğünü ve kullanılabilirliğini” sağlamadığını iddia ediyor.
Johns Hopkins bilgisayar korsanlığı olayı, üçüncü taraf bir şirketin yazılımındaki bir güvenlik açığı nedeniyle gerçekleşmiş olsa da, satıcıdan ziyade üniversiteye ve sağlık sistemlerine açılan davalar, veri ihlalinden etkilenen bazı kişiler için mantıklı görünmektedir. Hukuk uzmanları söylüyor.
Hales Law Group’tan düzenleyici avukat Paul Hales, “İhlalden sorumlu olduğu iddia edilen dosya aktarım yazılımının son kullanıcıları muhtemelen doğru sanıklardır” dedi. Yine de, bu erken aşamada, davacıların federal mahkemede dava açmak için gereken fiili somut zararı savunmasının zor olduğunu söyledi.
“Bu dava ve tüm MOVEit tabanlı davalar, reddedilmek, diğer davalarla birleştirmek ve yazılım sağlayıcının sanıklar tarafından birleştirilmesi için uzun, dolambaçlı bir hareket yolu ile karşı karşıya. Çözülmesi karmaşık bir karmaşa olacak.”
Johns Hopkins’e karşı açılan davalara ek olarak, MOVEit ihlallerinden etkilenen diğer kişiler, Progress Software’e karşı bir dizi önerilen toplu dava davası açmıştır (bkz.: MOVEit Veri İhlali Mağdurları İlerleme Yazılımını Dava Ediyor).