警钟敲响!因勒索攻击泄露患者敏感数据,这家医疗巨头赔偿超4.6亿元
近些年,数据泄露事件频繁发生,医疗行业更是如此。相关部门对医疗数据的安全提出了各种规范和要求,但现实情况是,在具体执行时,很多基层数据管理部门并不是真的重视,因此,难免会出现各种泄露。可是,由于医疗数据的特殊性和敏感性,使得勒索黑客对医疗数据特别感兴趣,而有些医疗机构天真地认为,只要交了赎金,系统数据恢复可用就万事大吉了。可实际上,每一个勒索攻击必然伴随着数据泄露,而且基本是全量数据,其后续危害性会更大。今天就来看一个医疗行业的例子,在被勒索攻击后,为数据泄露而支付高达4.6亿元的赔偿。
近日,一家美国医疗巨头将支付6500万美元(约合人民币4.6亿元),以了结其患者发起的集体诉讼。这些患者的数据被勒索软件犯罪分子窃取,泄露的数据中包括患者的裸露照片,且至少部分已被公开发布到网上。
利哈伊谷健康网络(Lehigh Valley Health Network,简称LVHN)是美国宾夕法尼亚州最大的初级医疗集团之一。该机构于2023年2月6日发现其IT系统遭受入侵,随后确认臭名昭著的ALPHV(又称BlackCat)团伙是这次攻击的幕后黑手。
勒索者共窃取了13.4万名患者和员工的相关数据,数据量达数GB。这些被窃取的数据包括姓名、地址、社会安全号码、州ID信息,以及医疗记录和手术照片。勒索者要求LVHN支付赎金,否则将这些信息泄露到网上。
起诉书揭示LVHN数据违规状况
根据随后对LVHN提起的诉讼,该医院长期以来拍摄癌症患者的裸照。在某些情况下,甚至未经患者知晓。
由于LVHN拒绝向BlackCat支付赎金,犯罪分子将部分资料发布到了网上,引发了客户的极大愤怒。
起诉书中指出:“虽然LVHN公开宣称他们勇敢地对抗了这些黑客,拒绝支付赎金,但实际上,他们忽视了真正的受害者。LVHN并未优先考虑患者的利益,而是将自身的经济利益置于首位。”
2023年2月20日,LVHN公开披露了这次攻击,并声称其影响范围有限。
3月4日,ALPHV团伙在其网站上发布了警告,威胁如果LVHN不支付赎金,他们将在线发布被盗的照片。LVHN拒绝了这一要求,犯罪分子遂将部分窃取的资料上传至其暗网门户,其中包括带有个人身份信息的照片。
法庭文件显示,一名未具名的原告于3月6日接到医院合规副总裁的电话,得知她的裸照已被上传到网上。随后,这位副总裁“笑呵呵”地提供了两年的信用监控服务。这位匿名原告表示,她并不知情医院在她接受乳腺癌治疗时拍摄了她的裸照,更不清楚这些照片被存储在医院的企业服务器上。
尽管LVHN已通知客户和员工有关隐私泄露的情况,但ALPHV团伙继续加大压力,3月10日再次泄露了132GB的数据,并威胁将每周继续泄露,直到赎金支付为止。
法庭文件未提及LVHN最终是否支付了赎金,LVHN及其法律团队也未回应记者的相关询问。
此次和解金额(按每人计算)或为医疗数据泄露案件最高
原告律师指出,医院未能履行其保护信息的责任,其行为还涉嫌违反了美国《健康保险可携性与责任法案》(HIPAA)。
尽管LVHN同意了和解条款,但他们否认有任何不当行为。
值得注意的是,LVHN在这一领域已有类似的经历。早在2022年7月,该医疗集团曾确认遭受过一次类似的勒索软件攻击,影响了75628名患者。LVHN似乎未能采取足够的预防措施,防止类似事件再次发生,而在医疗行业中,医院本就是勒索软件的主要目标之一。
2023年3月,原告们正式对LVHN提起集体诉讼,指控这家医疗机构未能妥善保护患者数据。
2024年9月11日,原告代理律师事务所Saltz Mongeluzzi Bendesky宣布,已与LVHN就此集体诉讼达成6500万美元的和解。这家律所指出,“如果按每位患者计算,和解金额是医疗数据泄露勒索软件案件中最高的”。
那些数据被公开发布到网上的患者被分为四个等级。如果和解获得批准,最低等级的患者将获得每人50美元的赔偿。而最高等级(那些裸照被泄露的患者)在扣除律师费后,将获得7万至8万美元不等的赔偿。
凡是收到LVHN通知信的个人都将被视为集体诉讼的一部分,并自动获得赔偿,无需采取任何额外行动。
这笔和解的最终批准听证会已定于2024年11月15日举行。
来源:安全内参,参考资料:https://www.theregister.com/2024/09/12/lvhn_lawsuit_ransom/