Медицинская сеть в США выплатит 65 миллионов долларов в качестве компенсации за утечку данных пациентов
Одна из крупнейших медицинских организаций Пенсильвании, Lehigh Valley Health Network (LVHN), согласилась выплатить 65 миллионов долларов для урегулирования коллективного иска, поданного пациентами после утечки их персональных данных в результате атаки вымогателей.
В числе утекших данных оказались не только личные сведения, такие как имена, адреса и номера социального страхования, но и медицинские записи, а также фотографии, в том числе изображения обнажённых пациентов, которые частично были опубликованы в интернете.
Вторжение в IT-системы LVHN было обнаружено 6 февраля 2023 года. Ответственность за атаку была возложена на хакерскую группу ALPHV, также известную как BlackCat. Преступники похитили гигабайты данных 134 тысяч пациентов и сотрудников и потребовали выкуп, угрожая в противном случае обнародовать украденную информацию.
Согласно иску , поданному в марте 2023 года, медицинская организация систематически делала снимки обнажённых пациентов, проходивших лечение от рака, иногда без их ведома. После отказа LVHN выплатить выкуп, киберпреступники выполнили свою угрозу и начали публиковать похищенные данные, включая фотографии с личной информацией.
Медицинская сеть публично заявила о хакерской атаке 20 февраля, утверждая, что её масштабы были ограничены. Однако уже 4 марта группировка ALPHV разместила на своём сайте предупреждение о том, что собирается обнародовать украденные снимки, если не будет выплачен выкуп. Несмотря на отказ LVHN, 10 марта преступники опубликовали ещё 132 ГБ данных и пообещали продолжать утечки каждую неделю.
Одна из истцов, получившая уведомление о том, что её обнажённые снимки оказались в открытом доступе, заявила, что даже не подозревала о том, что её фотографировали во время лечения рака груди, а тем более о том, что эти изображения хранились на серверах медицинской сети. Более того, её возмутила реакция представителя LVHN, который сообщил ей об утечке с усмешкой, предложив в качестве компенсации два года бесплатного мониторинга кредитной истории.
Юристы истцов утверждают, что LVHN нарушила свои обязательства по защите конфиденциальности данных пациентов, что является также нарушением американского закона о переносимости и подотчётности медицинского страхования (HIPAA). Тем не менее, медицинская сеть не признала своей вины, несмотря на согласие на выплату компенсации.
По утверждению юридической фирмы Saltz Mongeluzzi Bendesky, это урегулирование стало крупнейшим в своём роде в деле, связанном с утечкой данных в результате атаки вымогателей. Пациенты, чьи данные были опубликованы в сети, получат компенсации, разделённые на четыре категории. Наименьшая сумма выплат — 50 долларов для тех, чьи медицинские записи были скомпрометированы. Самую крупную компенсацию в размере от 70 до 80 тысяч долларов получат те, чьи обнажённые фотографии оказались в сети.
Lehigh Valley Health Network ранее уже подвергалась кибератакам. В июле 2022 года организация стала жертвой аналогичного инцидента, в результате которого были скомпрометированы данные почти 76 тысяч пациентов. Несмотря на это, не были приняты необходимые меры для предотвращения повторной атаки, что вызывает вопросы о подготовленности медицинской сети к противодействию киберугрозам.