2023年3月,宾夕法尼亚州的一名女子接到了一位医疗保健高管打来的电话,这让她难以置信:黑客获得了她接受放射治疗时的裸照,并将其发布到互联网的一个黑暗角落。
利哈伊谷健康网络拒绝支付“超过”500万美元的赎金,以恢复照片和其他被盗的患者信息,但它无法回避此次泄露造成的经济损失。
这名身份不明的50多岁女子被称为简·多伊(Jane Doe),她成为集体诉讼的主要原告,起诉理哈伊未能保护高度敏感的患者信息,包括数百名癌症患者的裸照。9月12日,一家律师事务所宣布,利哈伊同意支付6500万美元了结此案。
随着黑客以惊人的频率侵入美国医疗保健公司,这一事件揭示了网络窃贼如何利用独特的敏感数据——造成毁灭性的人员和经济后果。
根据《华盛顿邮报》对美国卫生与公众服务部自2022年以来编制的案例的回顾,几乎每天都有数百名美国人的健康信息遭到数据泄露。美国联邦调查局(FBI)的互联网犯罪投诉中心(Internet Crime Complaint Center)去年收到的针对医疗保健行业的勒索软件攻击报告,比其追踪的16个行业中的任何一个都要多。
利哈伊谷的案件也凸显了医疗机构面临的法律困境,这些机构越来越多地成为黑客的目标,既容易受到网络罪犯的攻击,也容易受到因黑客入侵而生活被颠覆的患者随后提起的诉讼的影响。
对于拥有因临床原因拍摄的病人敏感照片的卫生系统来说,情况尤其如此。根据美国放射肿瘤学学会(American Society for radiation Oncology)的说法,对患者进行放射治疗通常需要使用x射线和摄影图像来制定治疗计划。
数字风险公司First Health Advisory的首席执行官卡特?格罗姆(Carter Groome)表示:“泄露的数据类型会改变游戏规则。”“对于那些信任该组织的人来说,这是一种实实在在的、直接的痛苦,”他说。
贝克豪斯特勒律师事务所(BakerHostetler)表示,披露数据泄露导致的诉讼越来越频繁。该事务所发现,去年披露的58起事件引发了一起或多起诉讼,比前一年增加了约38%。贝克-霍斯特勒的统计并不局限于医疗保健。
一些专家表示,医疗机构在加强网络防御方面已经取得了重大进展,但它们仍然很脆弱,这在很大程度上是由于它们的复杂性——计算机网络连接着医生、保险公司、药店和各种提供设备和服务的供应商。
利哈伊谷医疗公司的一位发言人表示,这次网络攻击仅限于支持宾夕法尼亚州东北部拉克旺纳县一家医生诊所的网络,并证实该诊所没有支付赎金。他说:“病人、医生和员工的隐私是我们的首要任务之一,我们将继续加强我们的防御,以防止未来发生类似事件。”
目前尚不清楚在黑客攻击中暴露患者私密照片的情况有多普遍。比佛利山庄的一位整形外科医生去年披露了一次网络攻击,其中包括“在我们办公室提供服务时拍摄的照片”,引发了诉讼。另一家整形诊所也在同一时间披露了黑客入侵。
Marsh McLennan的网络业务负责人梅雷迪思·施努尔(Meredith Schnur)说,她的团队曾见过黑客窃取病人的照片,但不一定是裸照。她说,利哈伊谷的案例“有点反常”。“这是一笔相当大的和解金额。”
黑客越来越多地攻击供应链中的关键环节,比如联合健康集团(UnitedHealth Group)旗下的Change Healthcare子公司,该公司负责将药房和医疗服务提供商的理赔信息传递给保险公司,并为支付提供便利。该公司表示,2月份对Change的黑客攻击使全国各地的业务瘫痪,并暴露了“美国相当一部分人”的健康信息。联合健康公司上个月在一份证券备案文件中表示,截至今年上半年,该公司已花费14亿美元应对此次攻击。
被认为是Change黑客背后的勒索软件团伙ALPHV,也是被指控入侵利哈伊谷的同一组织。联邦调查局不支持在此类攻击中支付赎金,并指出不能保证黑客会归还数据,而且支付赎金会鼓励更多的攻击。但联合健康公司的首席执行官表示,他指示公司支付2200万美元的赎金,并告诉国会,这是“我做过的最艰难的决定之一”。联合健康公司在2024年上半年带来了近2000亿美元的收入。
总部位于宾夕法尼亚州阿伦敦的利哈伊谷健康中心(Lehigh Valley Health)。他没有支付赎金。在2023年2月发现这一漏洞后,卫生系统的一名高管打电话给患者,告诉他们黑客已经将他们的个人信息(包括裸照)发布到暗网,暗网是由无法通过谷歌等传统搜索引擎访问的隐藏网站组成的。
这起集体诉讼讲述了这位高管是如何向这位50多岁的女性道歉的,并“轻声一笑,接受了两年的信用监控”。根据诉讼,癌症患者不知道医疗系统在其计算机网络上存储了她的裸照,并且处于“完全不相信”的状态。
“这些照片真的很难看,”原告代表律师帕特里克·霍华德(Patrick Howard)说。他的法律团队聘请了一名网络安全专家,负责定位黑客在暗网上发布的图片,使他们能够“确定每个人的实际在线信息”。
拟议的和解协议仍需得到法官的批准,将向受该违规行为影响的近13.5万名患者和医疗系统员工提供赔偿。但根据协议,6500万美元中的80%将专门用于那些裸照被发布到暗网上的人。霍华德说,这一类别包括大约600名男性和女性,他们每人将获得7.5万美元以上的奖金。作为主要原告,无名氏可以得到12.5万美元。
