Sağlık Hizmetleri, Sektöre Özel, Mevzuat ve Davalar
Sağlık Sisteminin Siber Saldırısı 235.000’den Fazla Hastayı, Çalışanı ve Diğerlerini Etkiledi
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
15 Kasım 2024
Bir New York eyalet mahkemesi, Kasım 2022’de 235.000’den fazla kişinin hassas sağlık verilerini tehlikeye atan bir siber saldırının ardından One Brooklyn Health System’e karşı birleştirilmiş, değiştirilmiş önerilen toplu dava davasının 1,5 milyon dolarlık ön uzlaşmasını onayladı.
Ayrıca bakınız: 2024 Dolandırıcılık Analizleri Raporu
Olay, Brooklyn, New York’taki üç One Brooklyn hastanesi kampüsünün (Brookdale Hastanesi Tıp Merkezi, Dinlerarası Tıp Merkezi ve Kingsbrook Yahudi Tıp Merkezi) yanı sıra birçok bakım evini ve sağlık kliniğini de etkiledi (bkz.: Brooklyn’de Kasım’da Yaşanan Siber Olay).
Dava, iddiaları arasında One Brooklyn’i, davacıların ve sınıf üyelerinin kişisel olarak tanımlanabilir bilgilerini ve korunan sağlık bilgilerini makul şekilde korumama, güvence altına almama veya saklamama konusunda ihmalkarlıkla suçladı; bu da bireyleri kimlik hırsızlığı ve dolandırıcılık suçları açısından risk altına soktu.
Davada ayrıca One Brooklyn’in New York eyaleti tüketiciyi koruma yasalarını ihlal ettiği ve etkilenen kişilere ihlal hakkında zamanında bildirimde bulunmadığı iddia ediliyor.
Anlaşmaya göre One Brooklyn tüm iddiaları reddediyor.
Önerilen çözüm uyarınca, uygun sınıf üyeleri, cepten yapılan fiili kayıplar ve veri ihlali sonrasındaki işlemlerle uğraşmak için saat başına 25 ABD dolarından dört saate kadar harcanan kanıtlanmış süre için her biri 2.500 ABD Dolarına kadar talepte bulunabilir.
Uzlaşma sınıfı üyeleri ayrıca iki yıllık üç büro kredi izleme talebinde bulunma hakkına sahip olacak.
Belgelendirilmiş bir zarar ödemesi ve kredi izleme talebinin bir seçeneği olarak, sınıf üyeleri sabit ücretli alternatif bir nakit ödeme almak için talepte bulunabilirler. Bu nakit ödemenin tutarı, diğer alacaklar ve masraflar uzlaşma fonundan düşüldükten sonra belirlenecektir.
Anlaşmada ayrıca sekiz davacının her birine 1.000 dolarlık hizmet ödülü de teklif ediliyor. Mahkeme belgeleri ayrıca davacıların avukatlarının, uzlaşma fonunun üçte birine kadar olan kısmını veya 500.000 ABD Dolarını ve artı 50.000 ABD Dolarına kadar yapılan dava masraflarının geri ödenmesini istediklerini gösteriyor.
Buna ek olarak anlaşma, One Brooklyn’in veri güvenliği uygulamalarını geliştirmesi yönünde çağrıda bulunuyor. Bir Brooklyn, bu iyileştirmeler için yerleşim fonundan ayrı olarak ödeme yapmak zorundadır. One Brooklyn’in uygulamayı kabul ettiği güvenlik önlemleri mahkeme belgelerinde belirtilmemiştir.
Kings County’deki New York Eyaleti Yüksek Mahkemesi, anlaşmaya ilişkin nihai onay duruşmasını 26 Şubat 2025’te planladı.
İhlal Ayrıntıları
Önerilen birleştirilmiş toplu dava davasının merkezinde, ilk kez Kasım 2022’de One Brooklyn tarafından ağında şüpheli etkinlik olarak tespit edilen bir siber saldırı yer alıyordu. Olay, sağlık kuruluşunun elektronik sağlık kayıtları ve hasta portalları da dahil olmak üzere BT sistemlerine erişimi bir yıldan fazla süreyle kesintiye uğrattı. ay.
Brooklyn’li One Brooklyn, 2023 yılında yayınlanan bir ihlal bildiriminde, soruşturmanın yetkisiz bir aktörün 9 Temmuz 2022 ile 19 Kasım 2022 arasındaki dönemde kuruluşun BT sistemlerinden “sınırlı miktarda” veri elde ettiğini belirlediğini söyledi.
Olayla ilgili soruşturma, saldırının, hastalar, çalışanlar, bunların eşleri, bakmakla yükümlü oldukları kişiler ve hak sahipleri de dahil olmak üzere 235.000’den fazla kişinin kişisel bilgilerine siber suçlular tarafından yetkisiz erişim ve sızdırmayla sonuçlandığını belirledi (bkz.: One Brooklyn İhlal Bildirdi, Dava Sonrası Siber Saldırıyla Karşı Karşıya).
Olaydan etkilenen bilgiler arasında isimler, Sosyal Güvenlik numaraları, ehliyet veya devlet kimlik numaraları, doğum tarihleri, mali hesap bilgileri, tıbbi tedavi bilgileri, reçete bilgileri, tıbbi teşhis veya durum bilgileri ve sağlık sigortası bilgileri yer alıyordu.
One Brooklyn, olayın fidye yazılımı içerip içermediğini kamuya açıklamadı (bkz: Brooklyn Hastaneleri Siber Olaylar Konusunda Sessiz Kaldı).
Brooklyn’li biri, ihlali 18 Ocak 2023’te ABD Sağlık ve İnsani Hizmetler Bakanlığı’na, bir ağ sunucusunu içeren ve 500 kişiyi etkileyen bir bilgisayar korsanlığı olayı olarak bildirdi; bu, açık bir yer tutucu tahmindir.
Cuma günü itibarıyla, HHS’nin Sivil Haklar Ofisi’nin HIPAA İhlali Raporlama Aracı web sitesinde One Brooklyn olayı hâlâ yalnızca 500 kişiyi etkiliyor olarak listeleniyordu. One Brooklyn’in 20 Nisan 2023’te Maine eyaleti başsavcılığına sunduğu ihlal raporunda, olayın 235.251 kişiyi etkilediği belirtildi.
Veri ihlali davasında One Brooklyn’i temsil eden avukatlar, Information Security Media Group’un yorum talebine hemen yanıt vermedi.
Davacıları temsil eden Shub & Johns LLC hukuk firmasından avukat Benjamin Johns, yaptığı açıklamada, “Mahkemenin anlaşmaya ön onay veren kararından memnunuz ve bunu nihai onay için mahkemeye sunmayı sabırsızlıkla bekliyoruz” dedi. ISMG’ye. ISMG’nin davayla ilgili daha fazla yorum yapma talebine hemen yanıt vermedi.