Sağlık, HIPAA/HITECH, Sektöre Özel
Kaliforniya Şirketi Rhysida Fidye Yazılımı Saldırısıyla İlgili Bir Davaya Karıştı
Marianne Sosis McGee (SağlıkBilgiGüvenliği) •
7 Ağustos 2024
Prospect Medical Holdings, 16 hastanesinin BT operasyonlarını haftalarca aksatan ve 1,3 milyon kişiyi etkileyen bir veri ihlaline yol açan 2023 yılındaki fidye yazılımı saldırısının ardından artan hukuki ve ticari sorunlarla karşı karşıya kalmaya devam ediyor.
Ayrıca bakınız: VMware Carbon Black Uygulama Denetimi
Bunlar arasında, bu hafta Pensilvanya federal mahkemesinin davacıların Prospect’e karşı önerilen toplu dava ile ilerlemesine izin veren kararı ve saldırının tesislerdeki koşulları kötüleştirmesinden önce birkaç Prospect hastanesini satın almayı planlayan Connecticut’taki bir sağlık kuruluşuyla devam eden hukuki anlaşmazlık da yer alıyor.
Salı günü, Pensilvanya’daki bir federal yargıç, Prospect’in Mart ayında Kaliforniya merkezli şirkete karşı açılan birleştirilmiş toplu dava kapsamındaki iki suçlamanın reddedilmesi yönündeki talebini kabul etti, ancak nihayetinde davacıların Prospect’in veri ihlalinden kaynaklanan somut ve yakın zararlar gördükleri yönündeki iddialarını sürdürmelerine izin verdi.
“Davacılar, Madde III kapsamındadır ve tanımladıkları davaların sadece bir kısmı -hepsi değil- kapsamında makul bir tazminat talebinde bulunmuşlardır, bu nedenle Prospect’in talebi kısmen kabul edilecek, kısmen reddedilecektir, ABD bölge yargıcı Wendy Beetlestone karar verdi.
Hakim, “Değiştirilen şikâyette, Prospect’in davranışı ile davacıların yaralanmaları arasında makul bir nedensellik bağı açıklanıyor” diye yazdı.
“2023 yılının Temmuz sonu veya Ağustos başında şirket bir veri ihlali yaşadı. Prospect’in verileri Ağustos ayının sonlarında toplu halde karanlık ağda ortaya çıktı. Bunun davacıların kişisel bilgilerini de içerdiğini çıkarmak makul. Davanın bu erken aşamasında, izlenebilirliği savunmak için gereken tek şey bu.”
Düzeltilen davada, Rhysida fidye yazılımı çetesinin saldırının sorumluluğunu üstlendiği iddia edilmiş ve karanlık web sitesinde Prospect’in “500.000’den fazla SSN, müşterilerinin ve çalışanlarının pasaportları, sürücü belgeleri, hasta dosyaları (profil, tıbbi geçmiş), mali ve yasal belgeleri nazikçe sağladığı” belirtilmişti.
Rhysida, davada iddia edildiğine göre 1 terabayt benzersiz dosya ve 1,3 terabayt SQL veritabanı çaldığını iddia etti. Rhysida ayrıca grubun Prospect Medical Holdings’ten sızdırdığı ve henüz satmadığı tüm dosyaların %45’ini sızdırdığını iddia etti, iddia edilen şikayet (bkz: Kaliforniya Hastane Zinciri Fidye Hizmeti Kesintisiyle Karşı Karşıya).
Güvenlik firması Critical Insight’ın kurucusu ve CISO’su Mike Hamilton, “Toplu davalar giderek daha yaygın hale geliyor ve aslında bu davaların tehdidi, mağdur kuruluşları siber suçluların gasp taleplerini ödemeye zorlamak için ek bir kaldıraç olarak kullanılıyor” dedi.
Bu davaları savunma perspektifinden bakıldığında iki konu kilit öneme sahip – ayakta durma ve izlenebilirlik, dedi. “Birkaç eyalet, kuruluş düzenleyici yükümlülüklerle tutarlı ve uyumlu bir siber güvenlik uygulaması standardı uyguladığını gösterebilirse, özel dava hakkına karşı ‘güvenli liman’ sağlayacak mevzuatı geçirdi veya düşünüyor,” dedi.
“Burada öğrenilmesi gereken ders, bu uygulama standartlarının isteğe bağlı olmadığı ve ideal olarak, olayın önlenebilir olmadığına dair keşif sırasında delil olarak kullanılmak üzere üçüncü bir tarafça denetlenmesi gerektiğidir.”
Diğer Yasal Sorunlar
Önerilen toplu dava sürecinin ilerlemesinin yanı sıra, Prospect ayrıca 2022’de -siber saldırıdan önce- Prospect’in Waterbury ve Eastern Connecticut Health Network hastanelerini satın almak için bir anlaşma imzalayan Yale New Haven Health ile de bir dava sürecine girmiştir (bkz: Son Büyük Sağlık Verisi Saldırılarından Kaynaklanan Çöküş Artıyor).
Ancak Mayıs ayında Yale New Haven Health, Prospect’e karşı anlaşmayı feshetmek amacıyla dava açtı (bkz: Saldırı Sonrası Bazı Prospect Tıbbi Hastaneleri Zor Durumda).
Yale New Haven, açtığı davada, diğer iddiaların yanı sıra, Prospect’in 2023’teki fidye yazılımı olayı ve binlerce hasta ve çalışanın bilgilerinin veri ihlaline uğramasının “Prospect’in uygun kontroller, gözetim, test, personel ve yatırımla yeterli teknik, idari ve operasyonel siber güvenlik ve gizlilik programlarını uygulama ve sürdürmede başarısız olduğunun kanıtı” olduğunu ileri sürüyor.
Yale New Haven Health’in açtığı davada, Prospect’in ayrıca “Yale New Haven Health’e, satış yapan kuruluşların güvenlik duruşunun ileriye dönük olarak uygun olduğunu teyit edecek yeterli bilgiyi sağlayamadığı” iddia ediliyor.
Prospect ise Haziran ayında Yale New Haven Health’e karşı dava açarak, Prospect’in Connecticut sağlık kuruluşunun satın alma bedelini 2022’de kararlaştırılan 435 milyon doların altında, açıklanmayan bir miktara düşürme talebini reddettiğini ve Yale New Haven Health’in bu sözleşmenin şartlarını ihlal ettiğini iddia etti.
Hamilton, Prospect’tekine benzer bir siber saldırı ve ihlalin “kuruluşun değerlemesi üzerinde kesinlikle olumsuz bir etkisi olacağını ve bu durumda satın alan kuruluşun en azından şartları yeniden müzakere etmeye çalışacağını -bazen ‘yeniden ticaret’ olarak da adlandırılır- öngörmesi ve buna göre plan yapması gerektiğini” söyledi.
“Bu, değerleme toparlanana kadar işlemin durdurulması için bir sebep olabilir, daha düşük teklifi almak yerine. Bu risk, satın alma sürecinin başlarında sigorta veya sözleşmesel taahhütler yoluyla ele alınabilir,” dedi.
Hamilton, bir satın alma süreci sırasında yaşanan bir siber olay nedeniyle değerlemede yaşanan düşüşün emsalsiz olmadığını ekledi. “2013’teki bir saldırıda bir milyardan fazla Yahoo hesabı ifşa edildi. Yahoo kendini 4,48 milyar dolara Verizon’a sattı, ancak işlem ihlalin ifşa edilmesiyle neredeyse rayından çıktı ve Verizon’un teklifinden 350 milyon dolar kesildi,” dedi.
Prospect Medical, Information Security Media Group’un yorum talebine hemen yanıt vermedi. Yale New Haven Health, ISMG’nin yorum talebini reddetti.