Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi
Takip Etmesi Muhtemel Daha Fazla Dava; Ayrıca Birleşik Krallık Hastalarının Verileri İhlal Edildi mi?
Marianne Kolbasuk McGee (SağlıkBilgisi) •
13 Temmuz 2023
Davacılar, hastane zincirinin bir dark web forumunda potansiyel olarak 11 milyon hastaya ilişkin bilgilerin yayınlanmasını içeren bir bilgisayar korsanlığı olayını kamuya ifşa etmesinden sadece iki gün sonra HCA Healthcare’e karşı muhtemelen çok daha fazla önerilen toplu dava davalarının ilkini açtı.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditleri Ele Alma Sınırlamalarını Aşmak: Gerçek Güvenlik Zorlukları için Gerçek Çözümler
Bu arada, Nashville, Tennessee merkezli şirket, ihlalin bazı önemli koşullarını henüz kamuya açıklamış değil – uzlaşmanın üçüncü taraf bir depolama satıcısıyla ilgili olup olmadığı ve ABD dışındaki herhangi bir HCA hastasının etkilenip etkilenmediği de dahil.
Geçen yıl 60 milyar dolardan fazla gelir bildiren HCA, 20 ABD eyaletinde 182 hastane ve 2.300 başka tıbbi bakım tesisi ve ayrıca Birleşik Krallık’ta bir hastane işletiyor (bkz:: HCA, E-posta Veri Hack’inden Etkilenen 11 Milyona Kadar Hastanın Etkilendiğini Söyledi).
Etkilenen iki HCA ABD hastası Gary Silvers ve Richard Marous tarafından dün bir Tennessee federal mahkemesinde açılan dava, HCA’nın kişisel tanımlanabilir ve korunan sağlık bilgilerini yetkisiz erişim ve ifşadan korumada ihmalkar davrandığını iddia ediyor.
“Davacıların ve sınıf üyelerinin özel bilgileri, bilgisayar korsanları ve siber suçlular için çok değerlidir ve veri ihlali sırasında çalınan veriler, suçluların davacıları ve sınıf üyelerini istismar etmesi için çeşitli kirli şekillerde kullanıldı ve kullanılmaya devam edecek. talihsizliklerinden kâr elde etmek için,” iddiasında önerilen toplu dava şikayeti.
HCA’nın veri güvenliği sistemlerini ve izleme uygulamalarını güçlendirmesini gerektiren maddi tazminat ve ihtiyati tedbir talep eden davayı, şüphesiz önümüzdeki haftalarda ve aylarda önerilen birçok benzer toplu dava izleyecektir.
HCA davasında yer almayan düzenleyici avukat Rachel Rose, “Etkilenen kişilerin sayısı göz önüne alındığında, ayrı toplu davaların açılması ve nihayetinde birleştirilmesi muhtemeldir” dedi.
Hukuk firması Mandelbaum Barrett PC’nin ortağı ve siber güvenlik baş hukuk sorumlusu Steven Teppler – yine HCA davasına dahil değil – kurbanların coğrafi olarak ne kadar yaygın olduğu göz önüne alındığında, “muhtemelen devam eden davalar göreceğiz, bu da Bunu çok bölgeli bir davaya dönüştürmek için bir önerge verilmesi daha muhtemeldir.”
HCA, olayı Pazartesi günü ABD Menkul Kıymetler ve Borsa Komisyonu’na yaptığı bir dosyada bildirdi ve şu ana kadar bilinen bilgilere dayanarak HCA’nın olayın işlerini, operasyonlarını veya mali sonuçlarını önemli ölçüde etkileyeceğine inanmadığını söyledi.
Cevapsız sorular
HCA, SEC’e “harici depolama konumunun yalnızca e-posta mesajlarının biçimlendirilmesini otomatikleştirmek için kullanıldığını” içeren olayın günlük operasyonları veya hastalara verilen hizmetleri kesintiye uğratmadığını söyledi.
Şimdiye kadar HCA, güvenliği ihlal edilmiş sistemin sahibi veya yöneticisi bağlamında “harici depolama konumu”nun ne anlama geldiğini netleştirmedi.
Rose, “Harici depolama”nın, ele geçirilen sistemin HCA’ya ait olduğu ve HCA tarafından kontrol edildiği, ancak şirket merkezinin veya hastanelerinin dışında yer aldığı anlamına gelebileceğini söyledi. “Alternatif olarak, üçüncü bir şahıs tarafından kontrol edildiği anlamına da gelebilir.”
Rose, üçüncü taraf bir depolama sisteminin ihlal edilmesinin potansiyel olarak toplu davaya daha fazla sanığın ekleneceği anlamına geldiğini söyledi.
“Ayrıca, üçüncü taraf bir depolama sistemi kullanılmışsa, bunlar HIPAA kapsamında bir iş ortağı olacaktır. Sağlık ve İnsan Hizmetleri Bakanlığı’nın Medeni Haklar Ofisi, hiç şüphesiz iş ortağını ve ayrıca HCA’yı kapsam dahilinde inceleyecektir. varlık” dedi.
HCA, web sitesinde yayınlanan bir SSS’de, olaydan etkilenen ABD’deki yüzlerce hastanesini ve doktor kliniklerini adlandıran uzun bir liste içeriyor.
HCA, Birleşik Krallık’taki tesisi Londra’daki Lister Hastanesi’ni listelemedi ve şirket, Information Security Media Group’un ihlalle ilgili ek ayrıntılara ilişkin talebine hemen yanıt vermedi. hile.
Ancak hukuk uzmanlarına göre, Birleşik Krallık’taki herhangi bir HCA hasta verisi etkilenirse, düzenleme açısından uzlaşma potansiyel olarak daha karmaşık hale gelir.
Teppler, “Birleşik Krallık’taki veri koruma yetkilisinin – Bilgi Komiserliği Ofisi – bir soruşturma başlatması olasıdır” dedi.
“Birleşik Krallık ICO’nun web sitesi, Brexit’ten bu yana Genel Veri Koruma Yönetmeliğinin Haziran 2025’e kadar Birleşik Krallık yasası olarak tutulduğunu doğruluyor. Birleşik Krallık yasalarına göre izin veriliyorsa, toplu bir eylem olasılığı da olabilir” dedi.
Avrupalı düzenleyiciler tarafından yapılan yaptırımlar da HCA için tehlikede olabilir. Rose, “Örneğin, HCA’nın İrlanda’da verileri olduğu tespit edilirse, yine de GDPR’nin sonuçları olabilir ve İrlanda, uygulanmasında agresiftir” dedi.
Teppler, HCA’nın güvenliği ihlal edilmiş harici depolama sisteminin coğrafi konumunun ve etkilenen bireylerin ikametgahının da uluslararası düzenleyici bir bakış açısıyla devreye girebileceğini söyledi.
“Şu an için depolamanın bulut tabanlı olduğunu varsayarsak, Birleşik Krallık sağlık bilgilerinin Birleşik Krallık/AB’de, ABD’de veya başka bir yerde depolanmış kabul edilip edilemeyeceği belirlenmelidir” dedi.
“‘Harici depolama’ bulut tabanlı değilse, depolamanın konumunun en başta tespit edilmesi gerekir. HCA muhtemelen Birleşik Krallık GDPR’sini ve belki de AB GDPR’sini ihlal ettiği iddialarına konu olacaktır.”
Her halükarda uzmanlar, HCA hack’i ve benzeri olaylarla ilgili birkaç gerçeğin kesin olduğunu söylüyor. Rose, “Veri ihlallerinden kaynaklanan sorumluluk artıyor. Sağlık sektörü tarihsel olarak siber suçluların hedefi olmuştur ve olmaya devam etmektedir.”