New York’ta bir hukuk firması, yaklaşık 114.000 hastanın özel ve elektronik sağlık bilgilerini koruyamadığı için devlete 200.000 dolar ceza ödemeyi kabul etti.
Veri hırsızlığı nasıl oldu?
Heidell, Pittoni, Murphy ve Bach (HPMB) New York City bölge hastanelerini davada temsil eder ve hastalardan doğum tarihleri, sosyal güvenlik numaraları, sağlık sigortası bilgileri, tıbbi geçmiş ve/veya sağlık tedavisi bilgileri dahil olmak üzere hassas özel bilgileri tutar.
Kasım 2021’de bir saldırgan, şirketin sistemlerine erişim elde etmek için HPMB’nin Hibrit Exchange Yönetim Sunucusundaki bir güvenlik açığından yararlanmayı başardı. Saldırgan, Aralık ayında Lockbit fidye yazılımı varyantını HPMB’nin sistemlerine yerleştirdi.
Bu güvenlik açığına yönelik yamalar Microsoft tarafından birkaç ay önce yayınlanmıştı, ancak HPMB bu yamaları zamanında uygulamadı ve bu güvenlik açığı potansiyel istismara açık hale geldi.
Aralık 2021’de bir saldırgan, HPMB’nin sistemlerine kötü amaçlı yazılım yerleştirdi ve bu da şirketin e-posta sisteminde kesintiye neden oldu. Sonraki araştırmasında HPMB, potansiyel olarak sistemlerinden on binlerce dosyanın alındığını tespit etti.
Başsavcılığın bulgularına göre, firma “geri dönüş karşılığında 100.000 $ fidye ödedi ve sızdırılan verilerin silineceğine söz verdi, ancak verilerin silindiğine dair kanıt sunulmadı.”
Mayıs 2022’de HPMB, olay sırasında kişisel bilgileri ele geçirilen etkilenen tüketicilere bildirimde bulunmaya başladı.
cezalar
New York Başsavcılığı Ofisi, HPMB’nin çeşitli alanlarda tüketicilerin kişisel bilgilerini korumak için makul uygulamaları benimsemediğini belirledi.
HPMB’nin veri güvenliği hataları yalnızca eyalet yasalarını değil, aynı zamanda HIPAA’yı da ihlal etti. Firma, sistemlerine ilişkin düzenli risk değerlendirmeleri yapmak, sunucularındaki özel bilgileri şifrelemek ve uygun veri minimizasyonu uygulamalarını benimsemek dahil olmak üzere, hastaneler ve hastanelerle olan iş ilişkisi nedeniyle HPMB’nin kapsadığı HIPAA’nın gerektirdiği çeşitli önlemleri almakta başarısız oldu.
Anlaşmanın bir sonucu olarak, HPMB devlete 200.000 $ ceza ödemeli ve müşterilerinin hastalarının kişisel ve özel sağlık bilgilerini daha iyi korumak için önlemler almalıdır, örneğin:
- Teknoloji ve güvenlik tehditlerindeki değişikliklere ayak uydurmak için düzenli güncellemeler içeren kapsamlı bir bilgi güvenliği programı sürdürmek ve güvenlik risklerini firmanın liderliğine raporlamak;
- Topladığı, kullandığı, sakladığı ve muhafaza ettiği özel ve sağlık bilgilerini şifrelemek;
- En az 90 günlük bir süre boyunca kolayca erişilebilen ve etkinliğin kaydedildiği tarihten itibaren en az bir yıl süreyle saklanan günlükler dahil olmak üzere, ağ etkinliğinin merkezi olarak günlüğe kaydedilmesi ve izlenmesi;
- Gerekli güncellemelerin uygun şekilde izlenmesi, programın denetlenmesi ve çalışanlar için eğitim dahil olmak üzere makul bir yama yönetimi programı oluşturmak;
- HPMB’nin ağ güvenliğinin düzenli olarak test edilmesini içeren bir sızma testi programı geliştirmek; Ve,
- Yalnızca yasal ticari işlevleri yerine getirmek için gereken minimum ölçüde veri toplamak ve bu tür bilgileri saklamak için artık makul bir ticari veya yasal amaç kalmadığında bu tür tüm verileri kalıcı olarak silmek dahil olmak üzere veri toplama ve saklama uygulamalarını güncellemek.
“Gizli hasta bilgileri dikkatle ele alınmalı ve New Yorkluları kimlik hırsızlığı ve dolandırıcılıktan korumak için çevrimiçi olarak güvence altına alınmalıdır. Bu bilgileri korumakla görevli kurumların, bu bilgileri doğru bir şekilde elde etme ve yetkilileri ve New Yorkluları ihlaller hakkında bilgilendirme sorumluluğu vardır. New York Başsavcısı Letitia James, “Şirketler, tüketicilerin dijital verilerini korumak için veri güvenliği önlemlerini güçlendirebilir ve güçlendirmelidir, aksi takdirde ofisimden haber bekleyebilirler” dedi.