В соглашении на сумму 65 миллионов долларов, организация здравоохранения Пенсильвании признала свою ответственность после того, как цифровые злоумышленники незаконно выложили интимные фотографии своих пациентов с раком.
Эта компенсация является крупнейшей по размеру среди аналогичных случаев и устанавливает рекорд по выплатам на одну жертву среди тех, кто пострадал от кибератаки, как заявил адвокатский кабинет Saltz Mongeluzzi Bendesky, представляющий истцов.
Утвержденная судом компенсация в размере $65 миллионов служит предупреждением для крупных американских поставщиков медицинских услуг о том, что чувствительные данные пациентов, в частности, интимные изображения, представляют высокую ценность не только для хакеров, но и для самих пациентов, как считают эксперты по кибербезопасности, опрошенные CNN. Почти 80% от общей суммы компенсации выделено жертвам, чьи личные фотографии были опубликованы в Интернете.
Картер Грум, CEO кибербезопасной компании First Health Advisory, считает, что это соглашение меняет правовую, страховую и противоборствующую среду. "Если вы рассматриваете данные о здоровье как бесценный актив, как вы должны, то изображения или фотографии нуждаются в дополнительном уровне защищенного хранения", - сказал он CNN.
Это может потенциально привести к повторяющемуся циклу, в котором хакеры целенаправленно атакуют наиболее уязвимые данные пациентов, а поставщики медицинских услуг предпочитают урегулировать споры в досудебном порядке, чтобы избежать долгосрочного ущерба репутации, предположил Грум.
В соответствии с иском, группа киберпреступников прошлого года похитила интимные фотографии пациентов с раком у сети здравоохранения Lehigh Valley Health Network, в которую входят 15 больниц и медицинских центров в восточной Пенсильвании. Хакеры потребовали выкуп, и после отказа Lehigh опубликовали фотографии в Интернете.
Иск, поданный жителем Пенсильвании и другими, чьи фотографии были опубликованы, обвиняет сеть здравоохранения Lehigh Valley Health Network в причинении "стыда и унижения" истцам.
В заявлении для CNN сеть здравоохранения Lehigh Valley Health Network заявила, что приоритетом являются конфиденциальность пациентов, врачей и сотрудников; они постоянно совершенствуют свои защиты, чтобы предотвратить подобные инциденты в будущем. Согласно заявлению Lehigh, вредоносная атака затронула только сеть, поддерживающую одну практику врача в графстве Lackawanna.
Вредоносные атаки уже давно нарушают работу американских больниц и медицинских учреждений, отрицательно влияя на уход за пациентами и оставляя сектор с существенными финансовыми потерями.
В феврале вредоносная атака на крупную компанию по выставлению счетов в сфере здравоохранения лишила поставщиков медицинских услуг доступа к миллиардам долларов и толкнула некоторые клиники на грани банкротства.
В мае вредоносная атака на одну из крупнейших сетей больниц США угрожала жизни пациентов, так как медсестры были вынуждены вручную вводить информацию о рецептах из-за атаки.
Для многих пациентов и медицинских работников сектор медленнее, чем хотелось бы, улучшает свои защиты. Чиновники из администрации Байдена обещают ввести обязательные требования по кибербезопасности для американских больниц, что может постепенно укрепить их защиты.
По словам некоторых экспертов, судебные разбирательства могут усилить давление на медицинские организации для защиты данных пациентов, но не всегда приводят к положительным результатам.
"Другие организации могут рассмотреть возможность выплаты выкупа в размере $5 или $10 миллионов, чтобы избежать судебного процесса", - предположил Грум.
Многие медицинские организации не имеют достаточного страхового покрытия, и в случае кибератаки, подобной той, что произошла с Lehigh, они могут оказаться на грани банкротства, заявил Макс Хендерсон, заместитель вице-президента в компании по безопасности Pondurance, который имел дело со многими кибератаками, направленными на здравоохранение.
Крупная атака вредоносного ПО на поставщика медицинских услуг включает в себя многочисленные расходы помимо возможных судебных исков, такие как восстановление компьютерных систем и найм юридических консультантов, согласно Хендерсону.
Соглашение подчеркивает важность приоритезации и защиты чувствительных данных пациентов в бизнес-операциях поставщиков медицинских услуг. Несоблюдение этого может привести к значительным финансовым последствиям, в том числе к дорогостоящим соглашениям и потенциальному банкротству.