İhlal Bildirimi , HIPAA/HITECH , Güvenlik İşlemleri
AG, Practicefirst İhlallere Yol Açan Kritik Güvenlik Duvarı Kusurunu Düzeltmekte Başarısız Oldu
Marianne Kolbasuk McGee (SağlıkBilgisi) •
23 Mayıs 2023
Bir muayenehane yönetimi yazılımı satıcısı, 428.000’i New Yorklu olmak üzere ülke çapında 1,2 milyon kişiyi etkileyen 2020 fidye yazılımı saldırısının ardından New York eyaleti düzenleyicileri tarafından açılan bir yaptırım davasını çözmek için 550.000 ABD doları para cezası ödemeyi ve kapsamlı bir veri güvenliği programı uygulamayı kabul etti.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakende Sektörünün ATO ve Dolandırıcılığı Önleme Zorluğunun Üstesinden Gelmek
New York Başsavcısı Letitia James yaptığı açıklamada, Practicefirst Medical Management Solutions olarak faaliyet gösteren New York merkezli Professional Business Systems Inc. Amherst’in Ocak 2019’da güvenlik duvarı sağlayıcısından kritik bir güvenlik açığını gidermek için bir yazılım güncellemesi uygulamayı başaramadığını söyledi. Salı.
Açıklamada, yama uygulanmayan güvenlik duvarının, Practicefirst’in ağlarını Kasım 2020’de gerçekleşen bir saldırıya açık hale getirdiği ve fidye yazılımının yayılmasına ve doğum tarihleri, ehliyet numaraları, Sosyal Güvenlik numaraları, teşhisler, ilaç bilgileri ve finansal bilgiler dahil olmak üzere hasta verilerinin çalınmasına yol açtığı belirtildi. 13 kişinin kişisel bilgilerini içeren ekran görüntüleri de dark web’de yayınlandı.
Yama yönetimi sürecini zamanında sürdürememenin yanı sıra, şirket aynı zamanda sistemlerinin düzenli güvenlik testlerini gerçekleştirmede ve sunucularındaki kişisel bilgileri şifrelemede başarısız oldu ve hem eyalet yasalarını hem de federal HIPAA düzenlemelerini, başsavcının Practicefirst olayına ilişkin soruşturmasını ihlal etti. azimli.
Devlet düzenleyicileri ile yapılan anlaşma uyarınca, Practicefirst veri şifreleme, çok faktörlü kimlik doğrulama, zamanında yama yönetimi, güvenlik açığı taraması ve penetrasyon testi içeren ve veri toplama, saklama ve imha etme uygulamalarını güncellemeyi içeren kapsamlı bir bilgi güvenliği programı sürdürmelidir.
Uzlaşma ayrıca, Practicefirst’e ihlalden etkilenen tüm bireylere iki yıllık kredi ve kimlik izleme hizmeti sunması çağrısında bulunuyor.
Practicefirst, Information Security Media Group’un uzlaşmayla ilgili yorum talebine hemen yanıt vermedi.
Şubat 2022’de, ABD New York Batı Bölgesi Bölge Mahkemesi, davacıların kimlik hırsızlığı veya diğer yaralanma riskinin çok “spekülatif” olduğunu ve yakın olmadığını söyleyerek, Practicefirst aleyhine açılan bir toplu dava davasının reddedilmesini tavsiye etti (bkz:: Mahkeme, Uygulama İlk İhlali Davasının Reddini Önerdi).
New York başsavcısının Practicefirst’e karşı açtığı dava, diğer eyalet başsavcılarının HIPAA ve diğer ihlalleri içeren sağlık verisi ihlalleriyle ilgili yakın tarihli birkaç benzer anlaşmasını takip ediyor.
Geçen hafta, New Jersey, Florida, Pensilvanya ve Oregon olmak üzere dört eyaletin başsavcıları, ABD’de 2,1 milyon kişinin kişisel verilerini ifşa eden 2020 e-posta kimlik avı olayıyla ilgili bir soruşturmayı sonuçlandırmak için göz sağlığı sağlayıcısı EyeMed’e 2,5 milyon dolar para cezası verdi. Amerika Birleşik Devletleri (bkz: 4 Eyalet AG’si, EyeMed’i 2020 İhlalinden Dolayı 25 Milyon Dolar Para Cezası ile Yumrukladı).