Dolandırıcılık Yönetimi ve Siber Suçlar , Sağlık Hizmetleri , Sektöre Özgü
Sigortacı Nisan Fidye Yazılımı Saldırısından Kurtulmaya Devam Ederken Sınıf Davaları Açıldı
Marianne Kolbasuk McGee (SağlıkBilgisi) •
9 Haziran 2023
Nisan ayında 2,5 milyondan fazla kişinin kişisel bilgilerini tehlikeye atan bir fidye yazılımı saldırısı, Massachusetts sağlık sigortası Harvard Pilgrim Health ve ana şirketi Point32Health aleyhine önerilen en az dört federal toplu davayı tetikledi.
Ayrıca bakınız: Canlı Web Semineri | Bankacılıkta İçeriden Gelen Tehditleri Ele Alma Sınırlamalarını Aşmak: Gerçek Güvenlik Zorlukları için Gerçek Çözümler
ABD Massachusetts Bölge Mahkemesinde son 10 gün içinde açılan davaların her biri, şirketler aleyhine ihmal, zımni sözleşmenin ihlali, güvene dayalı görevin ihlali ve kişisel bilgilerin karşı korunmaması nedeniyle haksız zenginleşme dahil olmak üzere benzer iddialarda bulunuyor. siber saldırılar.
Davacılar dört davadan ilkini 30 Mayıs’ta açtılar. Son iki dava Çarşamba günü geldi.
Massachusetts’in en büyük ikinci sağlık sigortası ve yaklaşık bir düzine şirketin ana şirketi olan Point32Health, fidye yazılımı saldırısını 17 Nisan’da keşfetti. Olay, Harvard Pilgrim Health Care’in ticari ve New Hampshire Medicare Advantage Stride planlarını etkiledi (bkz:: New England Sağlık Planı Hala Saldırıdan Kurtuluyor).
Point32Health Salı günü, sağlık planı üyeleri için, şirketin Harvard Pilgrim Health Care ticari ve Medicare Advantage Stride sağlık planları dahil olmak üzere BT sisteminde hala etkiler yaşadığını belirten bir güncelleme yayınladı.
Bir Point32Health sözcüsü, Information Security Media Group’a şirketin sistemlerini tekrar çevrimiçi hale getirme ve ticari işlemleri işleme koyma konusunda “önemli ilerleme” kaydettiğini söyledi.
Buna, olaydan önce işlenen talepler için sağlayıcı ödemelerinin dağıtılması, üye uygunluğu için hizmet ekipleri ve sağlayıcılar için erişimin yeniden sağlanması, güvenlik protokollerinin onaylanması ve birçok ticari ortakla yeniden etkinleştirilen bilgi paylaşımı, aracı komisyonlarının sağlanması ve gerektiğinde geçici üye kimlik kartlarının verilmesi dahildir.
“Önümüzdeki birkaç hafta içinde, daha fazla temel işlevin ve aracın tekrar çevrimiçi olmasını bekliyoruz” dedi. Bu, yeni üyelerin kaydedilmesini, kendinden sigortalı bireyler için talep işlemeyi ve üye, sağlayıcı, işveren ve komisyoncu hizmet ekipleri içinde genişletilmiş işlevselliği içerir.
Point32Health web sitesinde, Harvard Pilgrim sağlık planı üyelerinin eczane dışı tıbbi ve davranışsal sağlık faydalarını kullanması için ön izin gerekliliklerinden hâlâ feragat ettiğini söylüyor.
Veri Sızdırma
Harvard Pilgrim, web sitesinde yayınlanan bir ihlal duyurusunda, olayla ilgili soruşturmanın “28 Mart – 17 Nisan tarihleri arasında Harvard Pilgrim sistemlerimizden verilerin kopyalanıp alındığına dair işaretler belirlediğini” söyledi.
Şirket, etkilenen bilgilerin isimleri, adresleri, telefon numaralarını, doğum tarihlerini, sağlık sigortası hesap bilgilerini, Sosyal Güvenlik numaralarını, sağlayıcı vergi mükellefi kimlik numaralarını ve klinik bilgileri içerdiğini söyledi.
Harvard Pilgrim, etkilenen bireylere iki yıllık kredi izleme ve kimlik hırsızlığı koruması hizmetleri sunuyor.
Bununla birlikte, davalar, olaydan etkilenen davacılar ve sınıf üyelerinin kimlik hırsızlığı ve dolandırıcılık suçları riskiyle karşı karşıya olduğunu iddia ediyor.
Davacı Tracy Wilson tarafından açılan dava şikayetinde, “Davalıların veri ihlalini zamanında tespit edip bildirmemesi, müşterilerini, hassas bilgilerinin yetkisiz kullanımını önlemek için mali hesaplarını veya kredi raporlarını izlemek için herhangi bir uyarı olmaksızın kimlik hırsızlığına karşı savunmasız hale getirdi.” Harvard Pilgrim sağlık planı üyesi.
Önerilen her bir toplu dava davası, hassas verileri gelecekteki olaylara karşı korumak için Harvard Pilgrim ve Point32Health için cezai tazminat ve ihtiyati tedbir kararı da dahil olmak üzere benzer bir çözüm istiyor.
Olayla ilgili son halka açık güncellemesinde Point32Health, “kuruluşumuzun ve bize emanet edilen verilerin güvenliğini daha da artırmak için birkaç adım attığını” söyledi. Buna, kullanıcı erişim protokollerinin gözden geçirilmesi ve geliştirilmesi, güvenlik açığı taramasının desteklenmesi ve öncelikli BT güvenlik iyileştirmelerinin belirlenmesi, yeni bir uç nokta algılama ve yanıt çözümünün uygulanması ve yönetici hesapları için parola sıfırlama işlemlerinin gerçekleştirilmesi dahildir.
Point32Health, ISMG’nin davalar hakkında yorum yapma ve fidye yazılımı olayı hakkında ek ayrıntılar talep etme taleplerine hemen yanıt vermedi.