Num acordo de acordo no valor de 65 milhões de dólares, uma organização de saúde da Pensilvânia admitiu responsabilidade depois que intrusos digitais expuseram ilegalmente imagens íntimas de seus pacientes com câncer.
Este é o maior acordo do tipo em termos de compensação por vítima para aqueles afetados por um ataque cibernético, segundo a firma de advocacia Saltz Mongeluzzi Bendesky, que representa os autores da ação.
O acordo, sujeito à aprovação judicial, serve como um alerta para grandes provedores de saúde dos EUA de que dados sensíveis de pacientes, especialmente imagens explícitas, são altamente valiosos não apenas para hackers, mas também para os próprios pacientes, de acordo com especialistas em cibersegurança entrevistados pela CNN. Quase 80% dos $65 milhões do acordo são destinados às vítimas cujas fotos privadas foram compartilhadas online.
Carter Groome, CEO da empresa de cibersegurança First Health Advisory, opinou que esse acordoreshape o cenário legal, de seguros e adversarial. "Se você estiver tratando os dados de saúde como um ativo inestimável, como deveria, as imagens ou fotos precisam de uma camada adicional de armazenamento seguro", disse ele à CNN.
Isso poderia potencialmente levar a um ciclo recorrente em que hackers alvo os dados mais vulneráveis dos pacientes para roubar, e os provedores de saúde optam por acordos fora do tribunal para evitar danos à reputação a longo prazo, sugeriu Groome.
De acordo com a ação judicial, um grupo de cibercriminosos roubou fotos explícitas de pacientes com câncer da Lehigh Valley Health Network no ano passado, que inclui 15 hospitais e centros de saúde no leste da Pensilvânia. Os hackers exigiram um resgate e, após a recusa da Lehigh, liberaram as fotos online.
A ação judicial, apresentada por um residente da Pensilvânia e outros cujas fotos foram compartilhadas publicamente, acusou a Lehigh Valley Health Network de causar "embaraço e humilhação" aos autores da ação.
A Lehigh Valley Health Network manteve, em um comunicado à CNN, que a privacidade do paciente, do médico e da equipe é uma prioridade; eles estão continuamente aprimorando suas defesas para evitar tais incidentes no futuro. O ataque de software de resgate, como afirmado pela Lehigh, afetou apenas a rede que suporta uma prática médica em Lackawanna County.
Os ataques de software de resgate vêm perturbando há muito tempo os hospitais e instalações médicas dos EUA, afetando negativamente os cuidados com os pacientes e deixando o setor com perdas financeiras substanciais.
Um ataque de software de resgate em fevereiro a uma grande empresa de faturamento de saúde deixou os provedores de saúde sem acesso a bilhões de dólares e empurrou algumas clínicas à falência.
Outro ataque de software de resgate em maio a uma das maiores cadeias de hospitais dos EUA colocou em perigo a vida dos pacientes, já que as enfermeiras foram obrigadas a inserir manualmente informações de prescrição devido ao ataque.
Para muitos pacientes e profissionais de saúde, o setor tem sido mais lento do que o desejado em melhorar suas defesas. Os oficiais da administração Biden prometeram introduzir requisitos de cibersegurança obrigatórios para hospitais dos EUA, o que pode fortalecer gradualmente suas defesas.
De acordo com alguns especialistas, a litigação pode intensificar a pressão sobre as organizações de saúde para proteger os dados dos pacientes, mas nem sempre resulta em resultados positivos.
"Outras organizações podem considerar pagar um resgate de $5 ou $10 milhões para evitar uma ação coletiva", especulou Groome.
Muitas organizações de saúde não têm cobertura de seguro suficiente e, em caso de um ataque cibernético semelhante ao da Lehigh, poderiam enfrentar a falência, afirmou Max Henderson, assistente-vice-presidente da empresa de segurança Pondurance, que lidou com vários ataques cibernéticos voltados para a saúde.
Um grande ataque de software de resgate a um provedor de saúde envolve várias despesas além de potenciais ações judiciais, como a reconstrução dos sistemas de computador e a contratação de assessoria jurídica, de acordo com Henderson.
O acordo destaca a importância de priorizar e proteger os dados sensíveis dos pacientes nas operações comerciais dos provedores de saúde. A falha em fazer isso pode levar a importantes repercussões financeiras, incluindo acordos caros e potenciais falências.
