3. Taraf Risk Yönetimi , Yönetişim ve Risk Yönetimi , HIPAA/HITECH
Fortra GoAnywhere Hack’in Ardından Intellihartx’e Karşı Önerilen Toplu Dava Açıldı
Marianne Kolbasuk McGee (SağlıkBilgisi) •
22 Haziran 2023
Önerilen bir federal toplu dava davası, hasta alacak tahsili yazılım firması Intellihartx’in üçüncü taraf risklerini ele almada ihmalkar davrandığını, yaklaşık 490.000 kişiyi etkileyen bir ihlale katkıda bulunduğunu ve dosya aktarım yazılımı satıcısı Fortra’da yakın zamanda bir hack’i içerdiğini iddia ediyor.
Ayrıca bakınız: Web Semineri | Teletıp ve Sağlık Hizmetinde Uzaktan Çalışmanın Geleceğini Güvence Altına Almak
Davacı Lauren Perrone tarafından kendisi ve benzer şekilde etkilenen diğerleri adına Çarşamba günü Ohio federal mahkemesinde açılan davada, diğer başarısızlıkların yanı sıra Intellihartx’in hassas kişisel bilgileri toplayan ve saklayan iş ortaklarını, satıcılarını ve tedarikçilerini yeterince denetlemediği iddia ediliyor. .
ITx olarak da bilinen bir sağlık gelir döngüsü yazılımı satıcısı olan Tennessee merkezli Intellihartx, Clop fidye yazılımı grubunun sıfır gün güvenlik açığı hacklemesinden etkilenen 130 Fortra müşterisinden biridir. Clop, Şubat ayından bu yana iki dosya paylaşım hizmeti olan GoAnywhere MFT ve MOVEit’ten yararlanıyor (bkz: Fortra Health Veri İhlalinde Federal Davalar Birikiyor).
8 Haziran’da ITx, yaklaşık yarım milyon kişiyi etkileyen ve güvenli dosya aktarım protokolü sağlayıcısı Fortra’da bir hack içeren bir sağlık verisi ihlali bildirdi (bkz:: Başka Bir Sağlık Satıcısı Big Fortra GoAnywhere Hack Bildirdi).
ITx, etkilenen hasta bilgilerinin isim, adres, tıbbi fatura ve sigorta bilgileri, teşhis ve ilaç gibi tıbbi bilgiler ve doğum tarihi ve Sosyal Güvenlik numarası gibi demografik bilgileri içerdiğini söyledi.
Yazılım tedarik zinciri saldırılarındaki ve üçüncü taraf güvenlik açıklarındaki artış, sağlık sektöründe büyüyen bir endişe kaynağıdır. Sağlık ve İnsani Hizmetler Departmanına göre, iş ortakları 2023’te şimdiye kadar bildirilen büyük sağlık verisi ihlallerinin yaklaşık %40’ına karıştı ve ihlallerden etkilenen tüm bireylerin yarısını oluşturdu. Toplu davalar, bu üçüncü taraf ihlallerinin çoğunu takip etti.
GoAnywhere ile ilgili en son dava, ITx’in “iş ortaklarıyla paylaştığı hasta bilgilerini sınırlandırması ve yeterli veri güvenliği uygulamalarının, prosedürlerinin ve protokollerinin uygulandığından ve iş ortakları tarafından sürdürülür.”
ITx’in “sınıf üyelerinin topladıkları ve sakladıkları özel bilgilerinin toplu olarak yetersiz korunması ve denetlenmesi ve iş ortaklarını, satıcılarını ve/veya tedarikçilerini yeterince denetlememesi”, davacıları ve sınıf üyelerini kimlik dolandırıcılığı ve hırsızlık suçları için risk altına soktu , şikayet de iddia ediyor.
Dava, mağdurların özel bilgilerinin kötüye kullanılması nedeniyle kimlik avı, veri ihlali ve diğer yasa dışı planlar için daha yüksek risk altında olacağını söylüyor. Ayrıca, verilerinin hala ITx tarafından tutulduğuna ve mahkemenin düzeltici eylemi olmaksızın gelecekteki ihlallere maruz kalabileceğine işaret ediyor.
Dava, davacı ve sınıf üyeleri için parasal tazminat, ömür boyu kredi ve kimlik izleme ile ITx’in gelecekte benzer veri güvenliği olaylarını önlemek için önlem alması için bir mahkeme kararı talep ediyor.
Dava, “Davalının bilgi güvenliğine yaklaşımının, özellikle de iş ortaklarının, satıcılarının ve/veya tedarikçilerinin denetimiyle ilgili olması nedeniyle, ileriye dönük olarak yeterli ve uygun olmasını sağlamak için ihtiyati tedbir gereklidir” diyor.
Bilgi Güvenliği Medya Grubu’nun dava ve veri ihlaline ilişkin yorum taleplerine ne ITx ne de davacının avukatı hemen yanıt vermedi.
İnceleme Satıcıları
ITx davasına dahil olmayan Hales Law Group’tan düzenleyici avukat Paul Hales, davacı ve sınıf üyelerinin davalarında zorluklarla karşılaşacağını tahmin etti.
“ITx davasında davacıların karşılaştıkları ilk engel – ve bu çok yüksek bir engeldir – bu davayı federal mahkemede bile açıp açamayacaklarıdır. Şikayet, davacılara yönelik potansiyel zarar risklerine odaklanıyor ancak gerçek parasal veya fiziksel zarar örnekleri sunmuyor. zarar – Yargıtay’ın ‘somut zarar’ dediği şey,” dedi ISMG’ye.
“Davacılar bu temel yargı yetkisi sorununun üstesinden gelirse, ITX’in Fortra’nın ihlaline ilişkin yükümlülüğü, Fortra ile yaptığı sözleşme hükümlerine ve Fortra ile sözleşme yaparken ve Fortra’nın GoAnywhere yazılımını kullanırken, özellikle de yazılımdaki güvenlik sorunları geniş çapta ortaya çıktıktan sonra, gösterdiği özen derecesine dayanacaktır. duyurulur” diye ekledi.
Hales, HIPAA kapsamındaki kuruluşların tüm iş ortaklarıyla durum tespiti yapmalarını veya önceki görüşmeleri yeniden gözden geçirmelerini tavsiye etti. “Örneğin, iş ortağı yakın zamanda risk analizi yaptı mı ve belirlediği riskleri yönetmek için yürürlükte olan politikaları ve prosedürleri var mı?” dedi.
Kapsanan kuruluşlar ayrıca, korunan sağlık bilgilerini işleyen tüm üçüncü taraflarla yürürlükte olan güncel iş ortağı anlaşmalarına sahip olduklarından emin olmalıdır.