Lehigh Valley Health acepta un acuerdo de 65 millones de dólares por un ciberataque.
Lehigh Valley Health Network llega a un acuerdo por 65 millones de dólares en una demanda colectiva que involucra a pacientes y empleados afectados por un ataque de ransomware en 2023 que comprometió información personal y médica, incluidas fotografías de pacientes desnudos.
Saltz Mongeluzzi Bendesky dijo que el acuerdo es el acuerdo más grande por paciente de su tipo en un caso de ransomware y violación de datos de salud.
Lehigh Valley Health Network se negó a pagar la cantidad no revelada del rescate exigida por los piratas informáticos. Los demandantes argumentaron que esto demostraba que las instituciones médicas anteponían sus propios intereses financieros a las preocupaciones de sus pacientes.
En marzo de 2023, se presentó una demanda en nombre de aproximadamente 135.000 pacientes y personal del sistema de salud. Los abogados dicen que se han filtrado y compartido en línea fotografías de los registros médicos personales de más de 600 personas. Un grupo de piratas informáticos publicó imágenes privadas de pacientes con cáncer de mama en un sitio de violación de datos, que incluían no solo cuestionarios médicos y pasaportes, sino también números de licencia de conducir, números de seguro social, diagnósticos médicos, detalles de tratamientos y resultados de pruebas. información como:
“Los piratas informáticos le dijeron a Lehigh Valley Health Network que tenían estas imágenes y que si se negaban a pagar el rescate, los piratas informáticos publicarían estas imágenes confidenciales”, afirma la denuncia. Lehigh Valley Health Network debería haber considerado seriamente y actuar en consecuencia. consecuencias para los pacientes si estas imágenes se publicaran y permanecieran en Internet para siempre “Él, a sabiendas, imprudentemente y con conocimiento de causa, permitió que el hacker publicara imágenes de desnudos del demandante y de otras personas en Internet”.
La respuesta de Lehigh Valley Health Network está en línea con el consejo del FBI de no pagar el rescate. Una investigación sobre el ciberataque reveló que el ciberhacker ALPHV (también conocido como BlackCat) fue el responsable del ataque.
ALPHV es famoso por lanzar ciberataques a instituciones académicas y médicas mientras exige rescates. El director ejecutivo Brian A. Nester sugirió que el consultorio de un médico en el condado de Lackawanna parecía estar en el centro del ataque.
Aquí está el mensaje de BlackCat:
Llevamos mucho tiempo en su red y hemos tenido tiempo de estudiar su negocio. Además, estamos dispuestos a robar sus datos confidenciales y publicarlos. Disponemos de datos de la base de clientes de sus pacientes: pasaportes, datos personales, encuestas, fotos de desnudos, etc. Nuestro blog es seguido por muchos medios de comunicación de todo el mundo y este incidente será ampliamente publicitado y causará daños importantes a su negocio. Se te acaba el tiempo. ¡Estamos listos para darte todo!
La demanda afirma que Lehigh Valley Health Network era consciente de los importantes riesgos y daños potenciales asociados con una violación de datos, especialmente porque el sector de la salud es una de las áreas más atacadas por los ciberdelincuentes o afirmó que debería haber sido reconocido. La demanda alegaba que Lehigh Valley Health Network no protegió adecuadamente la información confidencial.
El Tribunal de Distrito programó una audiencia final de equidad para el 15 de noviembre de 2024 para determinar si el acuerdo propuesto debe aprobarse finalmente. Si se aprueba el acuerdo, los fondos deberían asignarse a principios del próximo año, dijeron los abogados. Las personas a las que se les notifica que son objeto de una demanda colectiva no están obligadas a tomar ninguna medida para obtener una compensación.
https://www.lawyer-monthly.com/2024/09/lehigh-valley-health-agree-65m-settlement-over-cyber-attack/