Sağlık Hizmetleri, Sektöre Özel, Mevzuat ve Davalar
Daha Fazla Eyaletin Sağlık Hizmetleri ve UHG Değişimine Karşı Benzer Yasal İddialarda Bulunması Olasıdır
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
17 Aralık 2024
UnitedHealth Group, son aylarda açılan ve bu yılın başlarında Change Healthcare BT hizmetleri biriminde meydana gelen büyük çaplı siber saldırı ve devasa veri ihlallerini içeren toplu davalarla karşı karşıya bulunuyor. Ancak şimdi şirket, eyalet başsavcıları tarafından açılacak çok daha fazla davanın ilkiyle karşı karşıya.
Ayrıca bakınız: Netskope HIPAA Haritalama Kılavuzunu Kullanma
Pazartesi günü, Nebraska Başsavcısı Mike Hilgers, Change Healthcare ve ana şirket UHG’ye karşı devlet davası açtı ve “felaket yaratan veri ihlali ve ardından gelen operasyonel kapatmanın” 575.000 – potansiyel olarak 1 milyon – Nebraskalının kişisel ve elektronik korumalı sağlık bilgilerinin açığa çıktığını iddia etti.
Şikayette, şirketlerin uygun güvenlik önlemlerini uygulamadaki başarısızlığının “veri ihlalini ağırlaştırdığı, sağlık hizmeti sağlayıcılarının zamanında bakım sağlayamamasına ve Nebraskalıların en hassas bilgilerini riske atmasına neden olduğu” iddia ediliyor.
Lancaster İlçe Bölge Mahkemesinde açılan davada, şirketlerin daha güçlü veri güvenliği önlemleri uygulaması ve Nebraska sakinleri ile sağlık hizmeti sağlayıcılarına verilen zarar için mali tazminat ve cezalar ödemesi yönünde bir mahkeme kararı talep ediliyor.
“Bu veri ihlali tarihi bir ihlaldir. Yalnızca Nebraskalıların en hassas mahremiyetini ve finansal verilerini tehlikeye attığı için değil, aynı zamanda tıbbi ödeme işleme endüstrisinin omurgasının önemli bir bölümünü oluşturan ödeme ve talep işleme sistemlerini kapattığı için.” Hilgers yaptığı açıklamada şunları söyledi.
“Kırsal bölgelerdeki kritik erişim hastaneleri de dahil olmak üzere sağlık hizmeti sağlayıcıları, haksız bir şekilde finansal acıyı üstlenmek zorunda kalıyor, büyük nakit akışı sorunlarına yol açıyor ve bazı durumlarda hizmetleri geciktiriyor” dedi. “Ve daha da kötüsü Change, Nebraskalılara bildirimde bulunma görevini ne yazık ki göz ardı ederek onları olası dolandırıcılık ve sahtekarlığa karşı hazırlıklı olma şansından mahrum bıraktı. Change’i sorumlu tutmak için bu davayı açıyoruz.”
Dava İddiaları
Nebraska’nın şikayetinde Change Healthcare’in “sistemik başarısızlıklarının” şunları içerdiği iddia ediliyor:
- Çok faktörlü kimlik doğrulama eksikliği de dahil olmak üzere temel kurumsal güvenlik standartlarını karşılayamayan, bazıları 40 yıla kadar eski, eski ve kötü bölümlere ayrılmış BT sistemleri;
- Dokuz gün boyunca yetkisiz erişimin tespit edilememesi de dahil olmak üzere ihlale yetersiz yanıt verilmesi, bilgisayar korsanlarının Nebraskalılar dahil on milyonlarca kişinin kişisel verilerine ve PHI’sına erişmesine izin verilmesi;
- Etkilenen kişilere ihlalin bildirilmesinde gecikmeler; Nebraskalılar, ihlalin keşfedilmesinden yaklaşık beş ay sonra bildirim almaya başladı;
- Tıbbi bakım ve reçeteler için ön izinlerin alınmasını engelleyen, hastaların gerekli ilaç ve tedavilerden mahrum kalmasına neden olan yaygın operasyonel aksaklıklar;
- Nebraska hastaneleri, eczaneler ve doktor muayenehaneleri de dahil olmak üzere sağlık hizmeti sağlayıcılarına uygulanan mali ve operasyonel yükler;
- Kimlik hırsızlığı, mali dolandırıcılık ve kişisel sağlık bilgilerinin kötüye kullanılması potansiyeli de dahil olmak üzere hastalara ciddi zarar verilmesi.
21 Şubat’ta Change Healthcare’e düzenlenen siber saldırı, haftalarca 100’den fazla BT hizmetini durdurarak binlerce doktorun, eczanenin ve tıbbi muayenehanenin iş ve klinik süreçlerini sekteye uğrattı.
Saldırının sorumluluğunu Rusça konuşan fidye yazılımı siber suçluları BlackCat, diğer adıyla AlphV üstlendi ve şirket, saldırganlara 22 milyon dolarlık bitcoin fidyesi ödediğini itiraf etti. BlackCat, karanlık ağda 4 terabayt hasta verisini çaldığını iddia etti (bkz: İkinci Bir Çete, UnitedHealth Grubunu Fidye İçin Salladı).
Davada, “Fidyenin ödenmesi Change’in sistemlerini tekrar çevrimiçi hale getirmedi veya verilen zararı hafifletmedi” iddia ediliyor. “Change her sistemi ve arayüzü arka kapılar açısından kontrol edemediğinden ve Change’in yedekleme sistemleri de ele geçirildiğinden, Change sistemlerini onaramadı. Bunun yerine sistemlerini sıfırdan yeniden inşa etmeyi tercih etti (bkz: Şirket, Sağlık Hizmeti Hackerlarının Hassas Verileri Çaldığını Söyledi).
Ayrıca davada Change’in yedekleme sistemlerinin yetersiz olduğu iddia ediliyor. “Tüm bunlar işlemede ek gecikmelere neden oldu ve sağlayıcılara, ödeme yapanlara ve tüketicilere zarar verdi.” Davada, fidye ödemesine rağmen Nisan 2024’te başka bir grup olan RansomHub’ın, bir BlackCat üyesi grubun kendisini Change’in 22 milyon dolarlık ödemesinden kestiğini iddia etmesinin ardından çalınan Change verilerinin dosyalarını sızdırmaya başladığı belirtildi.
Change, saldırıdan sonraki birkaç ay boyunca etkilenen kişilere bildirimde bulunmadı ve ilk olarak Temmuz ayında ihlalin 500 kişiyi etkilediğini federal düzenleyicilere bildirdi. Change Healthcare daha sonra bu yer tutucu tahminini Ekim ayında etkilenen 100 milyon kişiye ilişkin başka bir tahminle değiştirdi (bkz.: Change Healthcare, Hack’ten Etkilenen Milyonları Bildirmeye Başlıyor).
UHG CEO’su Andrew Witty, Nisan ayında iki Kongre komitesi önünde Change’in verilerinin çoğunu bulut yerine şirket içi sunucularda sakladığını ifade etti. Davada, bu fiziksel sunucuların “daha az güvenli olduğu ve söz konusu verilerin hassasiyetini hesaba katacak uygun bölümlendirmeden yoksun olduğu” iddia ediliyor (bkz.: Milletvekilleri Grill UnitedHealth Grubu CEO’su Sağlık Hizmetlerinde Değişim Saldırısı Konusunda).
UHG, Salı günü Bilgi Güvenliği Medya Grubu’na yaptığı açıklamada, Nebraska davasının asılsız olduğuna inandığını söyledi. “Kendimizi güçlü bir şekilde savunmak niyetindeyiz.” Şirket daha fazla yorum yapmaktan kaçındı.
Devlet Eylemleri
Change Healthcare saldırısından sonraki aylarda, çeşitli eyaletlerin başsavcıları, tüketicileri, Change Healthcare’in iki yıllık ücretsiz kimlik ve kredi izleme teklifi de dahil olmak üzere mevcut kaynaklardan yararlanmaya çağıran uyarılar yayınladı; şirket (bkz: Eyalet AG’leri Tüketicileri Sağlık Hizmeti İhlali Konusunda Uyardı).
Buna ek olarak, Nebraska da dahil olmak üzere 22 eyaletin başsavcıları Nisan ayında Witty’ye, Change Healthcare’in bu noktada verdiği tepkiye ilişkin hayal kırıklıklarını dile getiren bir mektup gönderdiler; bu mektupta, “uzun süre bağlantının kesilmesi ve ardından platform hizmetlerinin sınırlı bir şekilde yeniden başlatılması” da vardı. siber saldırı (bkz: Eyalet AG’leri ve Endüstri Grupları, Sağlık Efsanesini Değiştirmek İçin Harekete Geçme Çağrısında Bulundu).
Eyalet başsavcılarının bu genel uyarıları, mektupları ve yeni Nebraska davası, eyalette muhtemelen bir dizi hukuki davaya dönüşecek olanın sadece başlangıcıdır.
Eyalet başsavcıları, diğer sektörlerdeki ihlallerin yanı sıra büyük sağlık verileri ihlallerine karışan şirketlere karşı sıklıkla dava açıyor ve bazı hukuk uzmanları, Sağlık Hizmetlerini Değiştir olayında bu tür eylemde bulunacak tek eyaletin Nebraska olmayacağını tahmin ediyor.
Düzenleme avukatı Rachel Rose, “Bu olayın genişliği ve kapsamı göz önüne alındığında, diğer eyalet AG’lerinin de onu takip etmesi muhtemeldir” dedi.
“İlk olarak, kendi eyaletlerinin vatandaşlarının – kurumsal ve bireysel – hassas bilgilerine erişildi ve sızdırıldı” dedi. “İkincisi, sağlayıcılara yapılan ödemeler de dahil olmak üzere, durumun düzeltilmesine yardımcı olan özel ve devlet kurumları üzerindeki etkisi maddi ve maliyetliydi” dedi.
“Üçüncü olarak, Change Healthcare’in davranışının caydırılması gerekiyor. HIPAA ve Güvenlik Kuralı kapsamındaki gerekli teknik, idari ve fiziksel koruma gereklilikleri 2005’ten bu yana yürürlüktedir. Yaklaşık 20 yıldır, tehditlere karşı proaktif bir şekilde güncel kalma zorunluluğu devam etmektedir. saldırıları önlemek için kişinin katmanlı güvenliğini ve altyapısını geliştirmenin yanı sıra.”
Morrison Foerster hukuk firmasının ortağı olan düzenleme avukatı Melissa Crespo, gerçekten önemli bir veri ihlali olduğunda eyaletler tarafından sıklıkla dava açıldığını söyledi. “Bunu Target’ta gördük. Bunu, büyük miktarda kaydın etkilendiği ve özellikle hassas bilgilerin olduğu Anthem’de gördük” dedi.
“Bence AG’lerin tümü, uygulama ve beklentiler konusunda bir mesajı gerçekten eve ulaştırmak için işbirliği yapıyor.”
Change Healthcare saldırısının yanı sıra UHG, UnitedHealthcare sağlık sigortası şirketinin CEO’su Brian Thompson’ın 4 Aralık’ta öldürülmesinin de sersemlemesini sürdürüyor; bu cinayet, şirketin sigorta kapsamı kararına ve reddetme uygulamalarına yönelik kamuoyunda çığ gibi bir eleştiriye yol açtı (bkz.: ISMG Editörleri: CEO Çekimi Yapay Zeka Sorumluluk Tartışmasını Ateşledi).