Veri gizliliği, veri güvenliği, sahtekarlık yönetimi ve siber suç
Finansal Sesli Bulut Hizmetleri Firması, 2020 Hasta Veri Hackinden Suittes Settings
Marianne Kolbasuk McGee (Healthinfosec) •
15 Mayıs 2025
Düzinelerce sağlık sektörü müşterisini ve yüz binlerce hastayı etkileyen 2020 fidye yazılımı saldırısı yaşayan finansal olarak bağlanan bir bulut hizmetleri satıcısı, veri hırsızlığı davasını içeren önerilen sınıf eylem davalarında 1,9 milyon dolarlık bir çözüm kabul etti.
Ayrıca bakınız: Vmware karbon siyah uygulama kontrolü
Mahkeme gazeteleri, şirketin dört yıllık dava ve saldırı ile ilgili diğer masraflardan sonra siber sigortayı tükettiğini göstermektedir.
Ön yerleşim kapsamında, Minnesota merkezli Netgain Technology, belgelenen sınıf üyelerine, saatte 25 $ ‘lık-üç saatte sınırlandırılan-olayla ilgili olarak harcanan sorunlar da dahil olmak üzere belgelenmiş veri ihlali için belgelenen veri ihlali için 5.000 dolara kadar ödeme yapmayı kabul etti.
Alternatif olarak, sınıf üyeleri, diğer uzlaşma ödemeleri ve diğer masraflar yapıldıktan sonra 1.9 milyon dolarlık uzlaşma fonundan geriye kalanlara dayanarak derecelendirilmiş bir nakit ödeme almayı tercih edebilirler. Bu, her temsili davacıya ve ayrıca avukatlık ücretlerine 1.500 dolarlık hizmet ödemesini içerir. Davacı ve sınıf üye avukatları, hizmetleri için ödeme olarak uzlaşma fonunun üçte birini – veya yaklaşık 633.000 $ – arıyorlar.
Yerleşim, bu büyüklük ihlali için birçok menzilde gibi görünüyor, ancak hukuk uzmanları davanın sınıf eylemi iddialarının sanıklar üzerinde yaşadığı ağır parlamayı gösterdiğini söylüyor.
Hales Law Group’tan düzenleyici avukat Paul Hales, Netgain davasında yer almayan “Bu üzücü dava sağlık veri ihlallerini vurgulamaktadır.” Dedi.
Hales, Netgain “yetersiz fonlanmış bir sanıktır” dedi. “Sigorta kapsamı tükendi ve yükümlülükleri sıvı varlıklarını aşıyor.” “Sonuç olarak, önerilen parasal toparlanma, yüz binlerce etkilenen insanın ve Netgain’in müşterilerinin maruz kaldığı zararla orantısızdır. Avukatlık ücretleri bile bu karmaşıklık vakası için düşüktür. Tek kazanan yerleşim yöneticisidir.” Dedi.
Önerilen uzlaşma belgesi, şirketin finansal koşullarının sözleşmede dikkate alındığını belirtmektedir.
Güvenliği artırma
Finansal uzlaşmaya ek olarak Netgain, çevre dış kaynaklardan korumak ve trafiği sadece izin verilen limanlara ve hizmetlerle sınırlamak, Azurlu müşteriler için coğrafi engelleme sağlamak ve güvenli kapı yolları boyunca barındırılan ortama dış erişim sağlamak da dahil olmak üzere, veri güvenliği uygulamalarını geliştirmek için uzun bir önlem listesi uygulamayı kabul etti.
Netgain, temel ağının “istemci başına özel alt ağlar, VLAN’lar ve VRF’lerle güvenli, ölçeklenebilir bir şekilde yapılandırılmasını” sağlamayı kabul etti.
Ayrıca Netgain, istenmeyen trafiği engellemek ve DNS filtreleme ve izlemenin barındırılan ortamda dağıtılmasını sağlamak için temel güvenlik duvarı teknolojisini bir blok listesi metodolojisine dağıtmayı kabul etti.
Yerleşim belgesi, şirketin 7/24 izleme hizmeti ile birlikte Netgain’in tüm veri ortamında “Sentinelone veya benzeri bir platform kullanacağını” söyledi.
Netgain ayrıca, müşteri ortamlarında ayrı alanların ve yönetim hesaplarının oluşturulmasını sağlamayı ve “tüm barındırma ortamlarında çok faktörlü kimlik doğrulamanın kullanıldığını ve tüm şüpheli uygulama faaliyetleri için izleme ve bildirimde bulunmayı onaylamayı” kabul etti.
Ayrıca, Netgain, Azure Sitesi kurtarma ile sistem yolsuzluğu durumunda yedekleme hizmetlerinin veri koruma sunmasını sağlayacaktır.
Anlaşma uyarınca, üç yıllık bir süre için Netgain, şirketin sınıf avukatı için ihtiyati tedbirlere uygunluğunu kanıtlayan yıllık bir rapor sunacaktır.
Şikayet iddiaları
2021 yılında bir Minnesota Federal Mahkemesinde açılan şikayet, “yetkisiz bireylerin” Netgain’in bilgisayar sistemlerine erişim sağladığı ve Sınıf Üyelerinin Eylül ve Kasım 2020 arasında bildirildiği olayda ihmal ve Netgain’e karşı diğer iddiaların bir çeşitliliği olduğu iddia edilmektedir.
Dava ayrıca, Netgain’in tehdit aktörlerinin çalınan verilerin tüm kopyalarını silecek ve verileri yayınlamaması, satmaması veya başka bir şekilde ifşa etmeyeceğine dair güvence karşılığında, siber suçlulara açıklanmayan bir miktar ödediğini iddia ettiğini iddia etti.
Önerilen uzlaşma anlaşması, hackleme olayını içeren ihlal bildirimleri yayınlayan iki düzineden fazla Netgain sağlık sektörü müşterisini listelemektedir. Şikayet, “yüz binlerce” bireyin hassas bilgilerinin hackten etkilendiğini iddia ediyor (bkz:: Bulut satıcı saldırısının ardından yığılan kurbanlar).
Netgain Sağlık Sektörü müşterileri tarafından etkilenen hastalara gönderilen ihlal bildirim mektupları, veri hırsızlığında çeşitli bilgilerin potansiyel olarak tehlikeye atıldığını söyledi. Buna isimler, doğum tarihleri, banka hesabı ve yönlendirme numaraları, sosyal güvenlik numaraları, ehliyet numaraları, tıbbi kayıtlar, sağlık sigortası poliçesi numaraları ve çalışan sağlık bilgileri dahildir.
Netgain’i davada temsil eden bir avukat, bilgi güvenliği medya grubunun dava iddiaları ve önerilen uzlaşma hakkında yorum talebine hemen yanıt vermedi.
Üçüncü taraf riski
Netgain, son yıllarda büyük ihlaller bildiren ve daha sonra uzun ve pahalı sınıf eylem davalarıyla karşılaşan üçüncü taraf hizmet sağlayıcılarının ve diğer HIPAA iş ortaklarının uzun ve büyüyen bir listesi arasında yer alıyor.
Hales, “Netgain gibi iş ortakları cezai saldırılar için ana hedeflerdir, çünkü başarılı bir ihlal yüz binlerce insan hakkında veri verebilir.” Dedi. “Avukatlar bildirilen sağlık verileri ihlallerine yanıt olarak hızlı hareket etmeye hazır ve sınıf eylemi davaları hızla artıyor” dedi.
Siber sigorta, diğer kuruluşların bu tür durumlara hazırlanması için koruma sağlayabileceğini, ancak dikkatlice tedarik edilmesi gerektiğini söyledi.
“En iyi koruma temel HIPAA uyumluluğudur. Bir BA gizlilik ve güvenlik risklerini belirleyebilir ve onları azaltabilir” dedi. Bununla birlikte, federal düzenleyiciler tarafından yayınlanan soruşturmalar ve uygulama eylemleri, özellikle risk analizi ve risk yönetimi gibi alanlarda düşük HIPAA uyumluluk seviyelerini göstermektedir.
İronik bir şekilde, sağlık sektörü kuruluşlarına hizmet veren hukuk firmaları bile, bu ihlalle ilgili dava eğilimlerinden muaf değildir.
Geçen Kasım ayında, bir Kaliforniya federal mahkemesi, Hukuk Bürosu Orrick, Herrington & Sutcliffe’ye karşı konsolide önerilen bir sınıf eylem davasında 8 milyon dolarlık bir anlaşmayı tamamladı ve çeşitli sağlık sektörünü ve diğer müşterileri ve 638.000’den fazla kişiyi etkileyen bir hack olayı dahil (bakınız: bkz:: Mahkeme, Orrick veri ihlali davasında 8 milyon dolarlık uzlaşmayı tamamladı).