Dolandırıcılık Yönetimi ve Siber Suç, Sağlık, Sektöre Özel
Lehigh Valley Sağlık Ağı, Fidye Yazılımı Saldırısı ve Sızıntısı Mağdurlarına 134.000 Tazminat Ödeyecek
Marianne Sosis McGee (SağlıkBilgiGüvenliği) •
23 Eylül 2024
2023 yılında fidye yazılımı grubu BlackCat tarafından hacklenen ve veri sızıntısı sitesinde yayınlanan meme kanseri hastalarının çalınan muayene fotoğrafları üzerinden gasp edilen Pensilvanya merkezli bir sağlık sistemi, 134.000 hasta ve çalışanı etkileyen bir toplu dava için önerilen anlaşma kapsamında 65 milyon dolar ödemeyi kabul etti.
Ayrıca bakınız: İşletmenizin Başarısını Artırmak İçin Varsayılan Olarak Güvenli Bir Strateji
Suç çetesinin sızdırdığı görüntüler arasında hasta teşhislerinin ekran görüntüleri ve tıbbi muayeneler sırasında belden yukarısı soyulmuş meme kanseri hastalarının fotoğrafları da yer alıyordu (bkz: BlackCat Saldırıda Hasta Verilerini ve Çalınan Fotoğrafları Sızdırdı).
Rus fidye yazılımı grubu BlackCat’in Şubat 2023’te gerçekleştirdiği siber saldırı, Lehigh Valley Sağlık Ağı’nın bir parçası olan ve bir hekim muayenehanesi olan Lackawanna İlçesi merkezli Delta Medix Group’u vurdu.
Lehigh Valley Sağlık Ağı, olayın sağlık kuruluşunun sistemlerinde herhangi bir kesintiye yol açmadığını o dönemde açıklamıştı (bkz: Pennsylvania Sağlık Sistemi CEO’su BlackCat Saldırısını Doğruladı).
Lehigh Valley Sağlık Ağı, Pazartesi günü Information Security Media Group’a yaptığı açıklamada, saldırıyı araştırmak için siber güvenlik şirketleri kiraladığını ve kolluk kuvvetlerine haber verdiğini söyledi.
“BlackCat fidye talep etti, ancak LVHN bu suç örgütüne ödeme yapmayı reddetti” denilen açıklamada, sağlık sisteminin “gelecekte olayları önlemek için savunmamızı güçlendirmeye devam ettiği” belirtildi.
Ön anlaşmaya göre, Lehigh Valley Health Network etkilenen sınıf üyelerinin dört kademesine ödeme yapmayı kabul etti. Bunlar arasında siber saldırıda tıbbi kayıtlarına erişilen her bir bireye 50$; bilgileri internette yayınlanan kişilere 1.000$; karanlık web’de “çıplak olmayan” fotoğrafları yayınlanan her bir hastaya 7.500$; ve karanlık web’de “çıplak fotoğrafları” yayınlanan her bir hastaya 70.000 ila 80.000$ yer alıyor.
Kimliği açıklanmayan baş davacı “Jane Doe”nun 125.000 dolar tazminat alması bekleniyor.
Davacıları temsil eden avukatlar, önerilen anlaşma tutarının üçte biri olan 21,5 milyon dolar alacak.
Dava ilk olarak Mart 2023’te Pensilvanya’daki Lackawanna İlçe Mahkemesi’nde açıldı. Dava daha sonra Pensilvanya federal mahkemesine transfer edildi ancak daha sonra ilçe mahkemesine geri gönderildi.
Dava Lackawanna İlçe Mahkemesi’nde beklemede ve önerilen anlaşmanın nihai onay duruşması 15 Kasım’da planlanıyor (bkz: Meme Kanseri Hastaları İhlal Edilen Muayene Fotoğrafları ve Verileri Nedeniyle Dava Açtı).
Lehigh Valley Sağlık Ağı, önerilen anlaşmaya göre sınıf üyelerinin anlaşma hakkında ek bilgiler içeren ayrı bir yazılı bildirim alacağını söyledi.
LVHN’ye karşı açılan davada davacıları temsil eden Saltz Mongeluzzi Bendesky hukuk firması, önerilen LVHN anlaşmasının “ülke çapında kişi başına düşen en büyük toplu dava anlaşması olabileceğini” söyledi.
LVHN davasında yer almayan Hales Hukuk Grubu’ndan düzenleyici avukat Paul Hales, “Baş davacıya verilen 125.000 dolarlık tazminat önemli,” dedi. “Baş davacıların aldığı tipik miktardan 20 kat daha fazla. Çıplak fotoğraflarının yayınlanması şüphesiz bu miktarı etkiledi,” dedi.
Hales, “Hızlı uzlaşma, sağlık hizmeti sağlayıcılarının devam eden utançtan kaçınmak ve finansal maliyetlerini sınırlamak için hızlı bir şekilde uzlaşmaya gitme eğilimini vurguluyor” dedi.
LVHN davasında yer almayan Mandelbaum Barrett PC hukuk firmasında baş siber güvenlik hukuk görevlisi olan avukat Steven Teppler, baş davacının ödeme açısından “sınıf dışı bir ortamda daha iyi iş çıkarabileceğini – tekrar ediyorum, çıkarabilirdi” diye düşünüyor. “Ayrıca bu tür ödeme kademelerinin daha yaygın hale geleceğini ve sınıf üyesi başına daha yüksek ödemeler olacağını düşünüyorum.”
Hales, LVHN veri ihlalinin altında yatan şeyin, birden fazla lokasyona sahip büyük sağlık kuruluşlarının “kronik bir zaafını” ortaya çıkardığını söyledi. “Kurum çapında risk analizleri yürütmekte ve etkili risk yönetimi uygulamakta zorluk çekiyorlar. Korunan sağlık bilgilerinin gizliliğini ve güvenliğini korumak, yönetim kurulları ve üst düzey yönetimden çok daha fazla dikkat gerektiriyor.”
Teppler, LVHN davasında önerilen anlaşmanın ortaya çıkan bir eğilimin parçası olduğunu söyledi. “Gerçek zarar ve gerçek zarar için tazminat örnekleri görmeye başlıyoruz” dedi.
“Şimdi her zamankinden daha fazla, bu hem eyleme geçirilen risk değerlendirmelerine hem de yeterli siber güvenlik sigortasına duyulan ihtiyacı dile getiriyor,” dedi Teppler. “İlkinin genellikle ikincisini elde etmek için bir gereklilik olduğunu unutmayın.”