3. taraf risk yönetimi, veri ihlali bildirimi, veri güvenliği
EBM, müşterilerin 2024 olayında tehlikeye atılan çalışanlara fayda planı bilgilerinin
Marianne Kolbasuk McGee (Healthinfosec) •
17 Mart 2025
İşçi sendikalarına, kar amacı gütmeyen kuruluşlara ve çalışanların fayda planları için diğer kuruluşlara hizmet veren sertifikalı bir kamu muhasebe firması, 2024 hackten yaklaşık 217.000 kişiyi bilgilendiriyor. Firma, ihlalle ilgili en az beş federal sınıf eylem davasıyla karşı karşıya.
Ayrıca bakınız: Netskope Hipaa Haritalama Kılavuzunu Kullanma
Illinois merkezli Legacy Professionals LLP, olayı 28 Şubat 2025’te federal ve eyalet düzenleyicilerine bildirdi. İhlal, son günlerde ABD Sağlık Bakanlığı İnsan Hizmetleri Dairesi HIPAA Breach Raporlama Aracı Ofisi’nde 500 veya daha fazla kişiyi etkileyen büyük sağlık veri ihlallerini listeleyen yayınlandı. Eski profesyoneller HHS OCR’ye hackleme olayının bir ağ sunucusunu içerdiğini ve 216.752 kişiyi etkilediğini söyledi.
Eski profesyoneller, olayın müşterilerinin BT sistemlerinden hiçbirini içermediğini söyledi.
Pazartesi itibariyle, eski profesyonellerin zaten son 10 gün içinde açılan en az beş federal sınıf eylem davası ile karşı karşıya olduğu ortaya çıktı.
Miras profesyonellerinin davacıları ve sınıf üyelerinin hassas özel bilgilerini siber suçlardan korumamada ihmalkar olduğu da dahil olmak üzere, tüm finansal zararlar arayan davalar benzer iddialarda bulunmaktadır. Davalar ayrıca Legacy Professional’ın etkilenen bireylere 10 aylık gecikmeli ihlal bildiriminin “ek zarar verdiğini” iddia ediyor.
“İhlal Nisan 2024’te meydana geldi, ancak miras, 27 Şubat 2025’e kadar kurbanları bilgilendirmedi.”
Dava, “Sanık gecikme için herhangi bir açıklama veya amaç sunmadı. Bu gecikme HIPAA ve diğer bildirim gereksinimlerini ihlal ediyor ve davacı ve sınıftaki yaralanmaları artırıyor.” HIPAA uyarınca, düzenlenmiş kapalı kuruluşlar ve iş ortakları, etkilenen bireyleri, ihlali keşfettikten sonraki 60 gün içinde korunan sağlık bilgilerini içeren uzlaşmalardan haberdar etmelidir.
Web sitesinde yayınlanan bir ihlal bildiriminde eski profesyoneller, Nisan 2024’ün sonlarında, bilgisayar ağında depolanan bazı verilerle ilgili “potansiyel olarak şüpheli etkinlik” i öğrendiğini söyledi. Firma, BT ortamını güvence altına almak ve üçüncü taraf bir siber güvenlik uzmanının yardımıyla sorunun doğasını ve kapsamını araştırmak için hemen adımlar attığını söyledi.
“Kasım 2024’te ek bilgi aldıktan sonra, soruşturma, belirli dosyaların eski sunuculardan yetkisiz bir aktör tarafından alındığını belirledi.” Dedi.
Eski profesyoneller, ihlalden etkilenen bilgileri ve insanları tanımlamak için kapsamlı bir inceleme yaptığını söyledi.
Eski profesyoneller, “Şubat 2025’in başlarında soruşturma, olay sırasında sistemimizdeki bilgilerin bireyin adı, sosyal güvenlik numarası, ehliyet ve devlet kimliği numarası ve tıbbi tedavi ve sağlık sigortası bilgileri ile ilgili bilgileri içerebileceğini doğruladı.” Dedi. Geri ihlal edilen bilgiler bireye göre değişir.
Şimdiye kadar, eski profesyoneller, tehlikeye atılan bilgilerin herhangi birinin kimlik hırsızlığı veya sahtekarlığı yapmak için kullanıldığını gösteren hiçbir kanıt olmadığını söylediler. Etkilenen bireylere 24 aylık kredi ve kimlik izleme teklif edilmektedir. Firma, “Legacy her zaman veri güvenliği ve gizliliği çok ciddiye almış olsa da, daha da sıkı erişim kontrolleri uyguladık.” Dedi.
İhlal raporunda eski profesyonelleri temsil eden bir avukat, Bilgi Güvenliği Medya Grubu’nun saldırı olayı ile ilgili ek ayrıntılar ve firmaya açılan birçok önerilen sınıf eylem davası hakkında yorum yapma talebine hemen yanıt vermedi.
Büyük İş Ortak İhlalleri
Pazartesi itibariyle, HHS OCR web sitesi bu yıl şimdiye kadar yayınlanan 124 büyük sağlık veri ihlali gösteriyor ve 4,6 milyondan fazla kişiyi etkiliyor. Bunlardan, iş ortaklarının ihlallerin yaklaşık% 46’sında yer aldığı veya 1,5 milyondan fazla kişiyi etkileyen 57 olay olduğu bildirildi. Bu, büyük sağlık veri ihlalleriyle bu yıl etkilenen toplam insan sayısının yaklaşık üçte biri.
Pazartesi günü eski profesyonellerin hacklenmesi, 2025 yılında şu ana kadar HHS OCR web sitesinde yayınlanan üçüncü büyük iş ortağı ihlalidir.
Pazartesi günü HHS OCR web sitesinde listelenen en büyük 2025 iş ortağı ihlali, Florida merkezli bir gelir döngüsü yönetimi ve faturalandırma hizmetleri satıcısı Medusind tarafından Ocak ayında bildirildi. Medusind, federal düzenleyicilere Aralık 2023’te keşfedilen hack olayının 694.000’den fazla kişiyi etkilediğini söyledi.
Şimdiye kadar 2025 yılında, HHS OCR web sitesinde yer alan bir iş ortağını içeren ikinci en büyük ihlal, 300’den fazla klinik yer ve ofisde 14 hastaneye ve 200’den fazla birincil ve özel bakım uygulamasına sahip olan Pennsylvania merkezli Allegheny Sağlık Ağı tarafından bildirilmiştir.
Ahn, Ocak ayında, Ahn’ın iştiraki ev tıbbi ekipmanlarını ve ev infüzyon şirketlerini destekleyen bazı BT sistemlerine ev sahipliği yapan ve yöneten satıcılarından birinin – yaklaşık 293.000 AHN hastasını etkilediğini (bkz: bkz: bkz: bkz: BT Hizmetleri Satıcı Hack 293.000 AHN hastasını etkiler).
2024’te HHS OCR’ye yaklaşık 277 milyon insanı etkileyen toplam 732 ihlal bildirildi. Bunlardan yaklaşık 222 milyon kişiyi etkileyen 220 ihlalin bir iş ortağı olduğu bildirildi. Tüm bu ihlallerin en büyüğü, 190 milyon kişiyi etkileyen Change Healthcare tarafından – iş ortağı olarak – bildirilen fidye yazılımı hackleme olayıydı.
Sağlık Sigortacısı UnitedHealth Group’un BT Hizmetleri Birimi Değişiklik Hizmetleri, Şubat 2024 olayını içeren düzinelerce önerilen federal sınıf eylem davası ve düzenleyici soruşturmalarla karşı karşıya.