Sağlık, Sektöre Özel, Mevzuat ve Dava
Dava, Satıcının Saldırıdan Sonra Veri Hırsızlığını Keşfetmesinin 2 Yıl Sürdüğünü İddia Ediyor
Marianne Sosis McGee (SağlıkBilgiGüvenliği) •
25 Temmuz 2024
Yazılım satıcısı MCG Health, 2020’deki bir bilgisayar korsanlığı olayını içeren birleşik bir federal toplu dava teklifini çözmek için 8,8 milyon dolar ödemeyi kabul etti. Dava, şirketin yaklaşık 1,1 milyon kişiyi etkileyen bir veri hırsızlığını tespit edip bildirmesinin iki yıl sürdüğünü iddia ediyor.
Ayrıca bakınız: Panel Tartışması | Daha hızlı pazara sunma süresi ve iyileştirilmiş yatırım getirisi için HITRUST sertifikasyonunu hızlandırın
2022’de açılan ve 2023’te değiştirilen birleştirilmiş toplu dava önerisi, diğer iddiaların yanı sıra, Seattle merkezli MCG’nin davacıların ve toplu dava üyelerinin hassas bilgilerini korumada ihmalkar davrandığını ve Şubat 2020’deki saldırıdan sonra iki yıldan fazla bir süre veri ihlalini tespit edemediğini iddia ediyor.
Hearst Health Network’ün bir parçası olan ve sağlık planları ile sağlık kuruluşlarına hasta rehberleri ve yazılımları sağlayan MCG, davadaki tüm iddiaları ve yanlış uygulamaları reddediyor (bkz: MCG Health Veri İhlali Sonrasında Açılan Davalar Birikmeye Başlıyor).
MCG, 6 Haziran 2022’de olayı Maine başsavcılığına 1,1 milyon kişiyi etkilediği şeklinde bildirdi, ancak aynı ayın sonlarında ABD Sağlık ve İnsan Hizmetleri Bakanlığı Sivil Haklar Ofisi’ne olayı yaklaşık 800.000 kişiyi etkileyen bir HIPAA ihlali olarak listeledi.
Etkilenenler arasında, Kuzey Carolina merkezli UNC Lenoir Health, Missouri merkezli Phelps Health ve Indiana merkezli IU Health dahil olmak üzere en az 10 MCG sağlık kuruluşunun hastaları da yer alıyor.
Mayıs ayında Washington federal mahkemesi tarafından onaylanan ve 13 Eylül’de nihai onay duruşması yapılması planlanan önerilen anlaşmaya göre, sınıf üyeleri MCG olayına ilişkin belgelenen cepten harcamalar için 1.500 dolara kadar veya olaydan kaynaklanan belgelenen olağanüstü kayıplar için 10.000 dolara kadar tazminat alabilirler.
Alternatif olarak, sınıf üyeleri, olağan ve olağanüstü kayıplara ilişkin talepler için ödemeler yapıldıktan sonra 8,8 milyon dolarlık uzlaşma fonundan geriye kalan miktardan orantılı bir nakit ödeme ve düzinelerce temsilci davacının her biri için 2.500 dolara kadar hizmet ödülleri ile avukatlık ücreti ve masrafları için 2,93 milyon dolar ödemeyi seçebilirler.
Ayrıca her sınıf üyesine üç yıllık kredi izleme imkanı sunuluyor.
Önerilen anlaşmaya göre MCG, gelişmiş saldırı tespit ve önleme araçları, BT ortamındaki yetkisiz faaliyetlerin gelişmiş tespiti ve izlenmesi ve düzenli güvenlik açığı taraması da dahil olmak üzere “belirli gelişmiş siber güvenlik önlemlerini” uygulamayı ve sürdürmeyi kabul etti.
MCG davasında yer almayan Hales Hukuk Grubu’ndan düzenleyici avukat Paul Hales, “MCG anlaşması, sağlık verisi ihlali toplu davalarının doğasını ve sağlık sektörü üzerindeki ani ve önemli etkisini açıklıyor” dedi.
“Toplu dava avukatları bildirilen sağlık verisi ihlallerine hızla saldırmaya hazır. Özel avukatlar artık sağlık gizliliği yasalarının en korkutucu uygulayıcıları olabilir,” dedi.
İddia Edilen İhlalin Ayrıntıları
MCG, Maine başsavcısına sunduğu Haziran 2022 tarihli ihlal raporunda, etkilenen verilerin “25-26 Şubat 2020 civarında yetkisiz bir tarafça edinilmiş olabileceğini” ancak “ihlalin meydana geldiği tarih konusunda belirsizlik olduğunu” söyledi.
Düzeltilen birleştirilmiş dava, tespitteki gecikmenin kabul edilemez olduğunu söyledi. Davacılar, “Veri ihlalinin sağlık sektörüne veri yönetimi hizmetleri ve yazılım çözümleri sağlayan gelişmiş bir sağlayıcı tarafından iki yıldan uzun süre tespit edilememiş olması, davalının güvenlik başarısızlığını daha da korkunç hale getiriyor” iddiasında bulundu.
Davada, veri ihlalinin “davalının, hastaların ve çalışanların özel bilgilerini öngörülebilir bir siber saldırı tehdidinden korumak için gerekli yeterli ve makul siber güvenlik prosedürlerini ve protokollerini uygulamadaki başarısızlığının doğrudan bir sonucu olduğu” iddia ediliyor.
MCG, Information Security Media Group’un saldırı olayı ve önerilen dava anlaşmasıyla ilgili yorum talebine hemen yanıt vermedi.
Diğer Davalar
MCG veri ihlali davasında önerilen anlaşma, sağlık sektöründeki üçüncü taraf satıcıları ilgilendiren büyük çaplı bilgisayar korsanlığı olaylarının ve sonrasında açılan ilgili toplu dava davalarının giderek artan listesine ekleniyor.
22 Temmuz’da Ulusal Toplum Eczacıları Derneği, birçok eyaletten düzinelerce sağlık hizmeti sağlayıcısıyla birlikte Minnesota federal mahkemesinde UnitedHealth Group ve onun Change Healthcare ve Optum yan kuruluşlarına karşı, Şubat ayında Change Healthcare’de gerçekleşen büyük siber saldırıdan kaynaklanan kayıplar için toplu dava açma önerisi sundu.
Davada, Change Healthcare’in “felaket” niteliğindeki bir ihlale karşı makul önlemleri almadığı, müşterilerini ağ güvenliği konusunda yanılttığı ve sağlık hizmeti sağlayıcılarının hiçbir zaman hizmetleri için geri ödeme alamaması nedeniyle büyük mali kayıplara neden olduğu ve tedarikçinin BT hizmetlerindeki kesinti sırasında geçici çözümler için büyük masraflar yaptığı iddia ediliyor.
Change Healthcare ve UnitedHealth Group ayrıca, olayda bilgilerinin tehlikeye atıldığını iddia eden kişiler de dahil olmak üzere diğer davacılar tarafından açılan düzinelerce başka toplu dava önerisiyle de karşı karşıya (bkz: Sağlık Hizmetlerinde Saldırıyı Değiştirin: İyileşme Sıkıntıları; Davalar Yığılıyor).
“Sağlık verisi ihlali toplu davaları hızla çoğalıyor çünkü her şey paraya dayanıyor,” diyor Hales. “Ve para, hassas kişisel bilgilerinin haksız yere ifşa edilmesinden zarar gören kişilere ödenen meblağlarla ölçülmüyor. Davalıların tasarruf ettiği yasal ve itibar maliyetleri ve davacıların avukatlarının kazandığı yasal ücretlerle ölçülüyor.”