Pediatrik Uygulama, BT satıcısı 5,15 milyon dolarlık ihlal davası açıyor

Önceden önerilen anlaşma, bir New York Eyalet Yüksek Mahkemesi Hakimi tarafından önceden onaylanan ATSG Inc., şimdi XTIUM adı altında faaliyet gösteren ATSG Inc. ve Müşteri Boston Çocuk Sağlığı Hekimleri, LLP, Eylül 2024 hackleme olayıyla ilgili herhangi bir yanlışlığı reddederken yerleşimi finanse etmeyi kabul etti. Anlaşma hakkında nihai onay mahkemesi duruşması 10 Aralık’ta yapılması planlanıyor.

BCHP, 60 New York ve Connecticut ofisinde 300 klinisyen ve Boston’daki Boston Çocuk Hastanesi’ne bağlı olan New York merkezli çok özel pediatrik uygulamadır. Mahkeme belgelerine göre, New York merkezli yönetilen BT hizmetleri firması olan ATSG, saldırı sırasında BHCP’nin üçüncü taraf ağ hizmetleri satıcılarından biriydi.

BCHP, 10 Eylül 2024’te, uygulamanın o zaman tanımlamadığı BT satıcılarından birinin BCHP ağının sınırlı kısımlarında yetkisiz faaliyet tespit ettiğini söyledi.

BCHP, sistemlerini “koruyucu bir önlem” olarak kapatma da dahil olmak üzere olay müdahale protokollerini hemen başlattığını söyledi. Uygulamanın elektronik tıbbi kayıtlar sistemi ayrı bir ağda ve olaydan etkilenmedi, dedi BCHP (bakınız: Bianlian Ransomware Gang pediatrik verilerin soygununu iddia ediyor).

BCHP’nin olayla ilgili soruşturması, “yetkisiz bir üçüncü taraf” ın 10 Eylül’de uygulamanın ağına erişim sağladığını ve belirli dosyaları ağından altığını buldu.

BCHP bildiriminde, olayda tehlikeye atılan dosyaların mevcut ve eski çalışan, hasta ve garantör bilgilerini içerdiğini söyledi. Buna isimler, sosyal güvenlik numaraları, adresler, doğum tarihleri, ehliyet numaraları, tıbbi kayıt numaraları, sağlık sigortası bilgileri, faturalandırma bilgileri ve/veya sınırlı tedavi bilgileri.

15 Ekim 2024’te Bianlian, BCHP’yi karanlık web sitesinde kurban olarak listeledi ve finans verileri, İK verileri, posta kutuları ve iç ve harici e -posta yazışmaları, veritabanı ihracatı, korumalı sağlık bilgileri ve kişisel olarak tanımlanabilir kayıtlar, sağlık sigortası kayıtları ve alıcılar verileri de dahil olmak üzere uygulamanın verilerine sahip olduğunu iddia etti.

ATSG, hack olayını 4 Ekim’de ABD Sağlık ve İnsan Hizmetleri Bakanlığı’na HIPAA iş ortağı olarak bildirdi ve yaklaşık 909.500 kişiyi etkiledi. ATSG, bilgi güvenliği medya grubunun uzlaşma hakkındaki yorum talebine ve BCHP’nin ötesindeki diğer müşterilerin etkilenip etkilenmediği de dahil olmak üzere Hack hakkında ek ayrıntılar için hemen yanıt vermedi.

BCHP ayrıca ISMG’nin uzlaşma hakkındaki yorum talebine ve veri ihlali hakkında ek ayrıntılar için hemen yanıt vermedi.

Yerleşim şartları

Yerleşim belgeleri, siber saldırının 63 eyalette ve illerde yaklaşık 918.000 BCHP hastasının ve çalışanının bilgilerini etkilediğini söyledi.

Anlaşma uyarınca, sınıf üyeleri iki nakit ödeme seçeneğinden birini almaya hak kazanırlar.

İlk seçenek uyarınca, her sınıf üyesi, olayla ilgili belgelenmiş kayıplar için 5.000 dolara kadar nakit ödeme talebinde bulunabilir.

İkinci seçenek, belgesiz kayıplar için sınıf üyelerine yaklaşık 100 $ nakit ödeme gerektirir. Uzlaşma belgesi, “Bu değer, alınan geçerli taleplerin sayısına göre artırılabilir veya azaltılabilir.” Dedi.

Yerleşim sınıfı üyeleri ayrıca iki yıllık ücretsiz tıbbi veri izleme almayı seçebilirler. Bu, tıbbi kimlik hırsızlığı için 1 milyon dolara kadar tıbbi kimlik izleme, gerçek zamanlı uyarılar ve sigorta kapsamını içerir.

Altı davacının her biri 2.500 dolarlık hizmet ödülü alması planlanmaktadır ve davacıları ve sınıf üyelerini temsil eden avukatlar uzlaşma fonunun üçte birini veya yaklaşık 1,71 milyon dolar alacaktır.

Anlaşma, BCHP veya ATSG’nin veri güvenliği uygulamalarını iyileştirme yetkisi içermese de, anlaşmanın nihai onaylanmasından önce, sanıklar siber olaydan sonra uygulanan güvenlik geliştirmelerini sınıf avukatına açıklamalıdır.

Sonrasında, davacılar eyalet ve federal mahkemelerde BCHP ve ATSG’ye karşı önerilen birkaç sınıf eylem davası açmışlardır. Federal davalar Aralık ayında reddedildi ve eyalet davaları birleştirildi. Ocak 2025’te açılan konsolide uyumlu, diğer iddiaların yanı sıra, BCHP ve ATSG’nin davacıları ve sınıf üyelerinin hassas sağlık ve kişisel bilgilerini korumaması konusunda New York Genel İş Yasasını ihlal ettiğini iddia etti.

Harekete geçmek

Önerilen birçok benzer sınıf eylem davası, büyük sağlık veri ihlallerini içeren yıllarca mahkemelerde gecikirken, bu tür davaların bazı yerleşimlerine çok daha hızlı ulaşılmaktadır. BCHP ve ATSG’ye karşı konsolide sınıf eylem davası siber saldırıdan bir yıldan daha kısa bir süre sonra yerleşti.

BCHP/Atsg davasında yer almayan hukuk bürosu Mandelbaum Barrett PC’nin ortağı ve baş siber güvenlik hukuk memuru avukat Steven Teppler, “En azından benim için – yerleşimlere daha önce ulaşılıyor. Bunların daha pahalı değil, daha az değil, daha az değil, daha az değil, sanıkların daha önce yerleşmesi ekonomik bir anlam ifade ediyor.” Dedi.

Pediatrik korumalı sağlık bilgilerine taviz içeren ihlal vakalarının genellikle özellikle ilgili olduğunu söyledi. “Yetişkin tıbbi bilgileri devalüe etmeden, çocuk Phi bir jüriye çok daha zorlayıcı bir sunum yapıyor. Ve sanıklar için önemli ölçüde daha yüksek maruz kalma” dedi.

“Çalınan Phi – küçük veya yetişkin – yetkisiz tıbbi bakım, kredi ve gasp için kullanılabilir. Reşit olmayanlar için bunlar ‘yaşlı’ ve yıllar sonra kullanılabilir.” Dedi.

Sağlık sektörü kuruluşları, yönetilen hizmet sağlayıcıları ve yönetilen yazılım hizmetleri sağlayıcısı da dahil olmak üzere yukarı akış satıcılarına çok dikkat etmelidir, çünkü bu üçüncü tarafların ortaya koyduğu siber riskler büyüyor, o

“Müşteriler imzalamadan önce hizmet anlaşmalarını dikkatle gözden geçirmelidir. Tazminat, satıcı olay görünürlüğü, satıcı sigortası düşünün.”