Gestión de fraudes y delitos cibernéticos, atención médica, industria específica Casi 137 000 personas se vieron afectadas por el ataque de ransomware de 2023 en un hospital de MarylandMarianne Kolbasuk McGee (HealthInfoSec) • 21 de agosto de 2024 El Atlantic General Hospital, con sede en Berlín (Maryland), acordó pagar 2,25 millones de dólares para resolver una demanda colectiva propuesta derivada de un ataque de ransomware en 2023. (Imagen: AGH) Un ataque de ransomware contra el Atlantic General Hospital que afectó la información personal de 137 000 personas en 2023 ha dado lugar a un acuerdo preliminar de 2,25 millones de dólares de una demanda colectiva federal consolidada propuesta. Consulte también: El navegador empresarial respalda la atención médica y la resiliencia cibernética El Atlantic General Hospital, una organización sin fines de lucro con sede en Berlín (Maryland), forma parte del Atlantic General Health System, que también incluye 40 médicos de familia, internistas y especialistas con consultorios en 17 ubicaciones en Maryland, Virginia y Delaware. La demanda consolidada enmendada presentada en un tribunal federal de Maryland en agosto de 2023 alega que el demandante y los miembros del grupo enfrentan un mayor riesgo de robo de identidad y delitos de fraude por la filtración de datos debido al «incumplimiento negligente, imprudente, intencional y/o desmedido de Atlantic General para satisfacer adecuadamente sus obligaciones contractuales, estatutarias y de derecho consuetudinario». La demanda buscaba daños estatutarios y punitivos, así como una medida cautelar que ordenara a Atlantic General que mejorara sus prácticas de seguridad de datos (ver: Se quintuplica el número de víctimas en la filtración de ransomware en Maryland). Según el acuerdo propuesto, los miembros del grupo pueden presentar reclamos válidos para recibir hasta $5,000 como reembolso de las pérdidas documentadas incurridas como resultado de la filtración de datos. Eso incluye tarifas bancarias, tarifas de informes crediticios o de monitoreo, cargos telefónicos de larga distancia, cargos de teléfonos celulares si se cobran por minuto y gastos calificados varios sujetos a explicación, como franqueo, notario, fax, fotocopias, kilometraje y gasolina para viajes locales. Como alternativa, los miembros de la clase del acuerdo pueden presentar una reclamación válida para obtener una indemnización en efectivo. El monto de esa indemnización en efectivo depende del total de los fondos netos restantes del acuerdo después de los pagos de todos los demás tipos de reclamaciones. Cada miembro de la clase del acuerdo que presente una reclamación válida también puede optar por recibir tres años de servicios de monitoreo de crédito e identidad. El acuerdo propuesto no parece requerir que Atlantic General Hospital realice ninguna mejora específica en la seguridad de los datos. Pero el documento sí establece que Atlantic General realizó, o está realizando, «cambios y mejoras… para proteger aún más la información privada de los miembros de la clase del acuerdo». Los abogados de la clase del acuerdo están solicitando un tercio del fondo del acuerdo, o $750,000. Una audiencia judicial final de imparcialidad para el acuerdo propuesto está programada para el 5 de septiembre. El tribunal otorgó la aprobación preliminar del acuerdo a fines de abril. Como parte del acuerdo, Atlantic General niega cualquier irregularidad y «todas las reclamaciones y alegaciones alegadas en su contra en el litigio», dice el documento del acuerdo. Atlantic General Hospital no respondió de inmediato a la solicitud de Information Security Media Group para que comentara sobre el acuerdo propuesto y para obtener detalles adicionales sobre la violación de la seguridad informática. El acuerdo de la demanda del Atlantic General Hospital “explica la naturaleza de las demandas colectivas por violación de datos de salud y su impacto repentino y significativo en la industria de la salud”, dijo el abogado regulatorio Paul Hales de Hales Law Group, que no está involucrado en el caso. Los abogados de los demandantes son posiblemente “los ejecutores más temibles de las leyes de privacidad de la salud”, dijo. “Procesar y defender una demanda colectiva requiere una habilidad legal sustancial”, según Hales. Los gastos involucrados en estos casos legales pueden acumularse rápidamente. Pero el dinero involucrado va más allá de las sumas pagadas a las personas perjudicadas por la divulgación indebida de su información personal confidencial, dijo. “Se mide por los costos legales y de reputación ahorrados por los acusados ​​y los honorarios legales ganados por los abogados de los demandantes”. Detalles de la violación En su notificación de violación, Atlantic General dijo que el 29 de enero descubrió que los archivos en ciertos sistemas habían sido encriptados. En los días posteriores a ese descubrimiento, Atlantic General cerró temporalmente sus servicios de imágenes para pacientes ambulatorios, servicios de laboratorio sin cita previa y farmacia mientras se recuperaba del incidente (ver: Ola de ciberataques en el sector de la salud llega a Florida y Maryland). Atlantic General dijo que su investigación forense determinó que el acceso no autorizado a ciertos servidores comenzó el 20 de enero de 2023. La empresa de atención médica dijo que tomó medidas para proteger sus sistemas tras descubrir la intrusión. El 24 de marzo de 2023, Atlantic General envió una notificación de la violación de datos a 30.407 personas. Pero el 15 de mayo de 2023, una investigación adicional determinó que el número total de personas afectadas era de 136.981. Posteriormente, Atlantic General notificó a las personas adicionales sobre la violación. Entre la información sujeta a acceso no autorizado se encontraba el nombre de cada individuo, el número de Seguro Social, el número de licencia de conducir, la información de la cuenta financiera, la fecha de nacimiento, el número de historial médico, el médico tratante o que lo derivó, la información del seguro médico, el número de suscriptor, la información del historial médico y la información del diagnóstico/tratamiento, dijo el hospital. URL original de la publicación: https://www.databreachtoday.com/225m-settlement-reached-in-atlantic-general-hack-lawsuit-a-26105