Gestión de fraudes y delitos cibernéticos, atención médica, sector específico Lehigh Valley Health Network pagará a 134.000 víctimas de ataques y filtraciones de ransomwareMarianne Kolbasuk McGee (HealthInfoSec) • 23 de septiembre de 2024 Imagen: Lehigh Valley Health Network Un sistema de atención médica con sede en Pensilvania, pirateado por el grupo de ransomware BlackCat en 2023 y extorsionado por fotos de exámenes robadas de pacientes con cáncer de mama publicadas en un sitio de filtración de datos, acordó pagar $ 65 millones en un acuerdo propuesto de una demanda colectiva que afecta a 134.000 pacientes y empleados. Ver también: Cómo la atención médica puede mantenerse a la vanguardia de los ataques de ransomware Las imágenes filtradas por la banda criminal incluían capturas de pantalla de diagnósticos de pacientes y fotos de pacientes con cáncer de mama desnudas de cintura para arriba durante exámenes médicos (ver: BlackCat filtra datos de pacientes y fotos robadas en el ataque). El ciberataque del grupo ruso de ransomware BlackCat en febrero de 2023 afectó a Delta Medix Group, con sede en el condado de Lackawanna, una práctica médica que forma parte de Lehigh Valley Health Network. En ese momento, Lehigh Valley Health Network dijo que el incidente no había causado ninguna interrupción en los sistemas de la organización de atención médica (ver: El director ejecutivo del sistema de salud de Pensilvania confirma el ataque de BlackCat). En una declaración a Information Security Media Group el lunes, Lehigh Valley Health Network dijo que contrató empresas de ciberseguridad para investigar el ataque y notificó a las fuerzas del orden. «BlackCat exigió un rescate, pero LVHN se negó a pagar a esta empresa criminal», decía la declaración, y agregaba que el sistema de atención médica continúa «mejorando nuestras defensas para prevenir incidentes en el futuro». Según el acuerdo preliminar, Lehigh Valley Health Network acordó pagar cuatro niveles de miembros del grupo afectados. Estos incluyen $ 50 a cada individuo cuyos registros médicos fueron accedidos en el ciberataque; $ 1,000 a las personas cuya información se publicó en Internet; $ 7,500 a cualquier paciente que tuviera fotos «sin desnudos» publicadas en la red oscura; y de 70.000 a 80.000 dólares a cualquier paciente que haya publicado «fotos de desnudos» en la red oscura. La demandante principal no identificada, «Jane Doe», recibirá 125.000 dólares en daños y perjuicios. Los abogados que representan a los demandantes recibirán 21,5 millones de dólares, o un tercio del importe del acuerdo propuesto. La demanda se presentó inicialmente en marzo de 2023 en el Tribunal del Condado de Lackawanna, Pensilvania. El caso se transfirió luego a un tribunal federal de Pensilvania, pero luego se devolvió al tribunal del condado. El caso sigue pendiente en el Tribunal del Condado de Lackawanna, y se ha programado una audiencia de aprobación final del acuerdo propuesto para el 15 de noviembre (véase: Pacientes de cáncer de mama demandan por fotos y datos de exámenes violados). Según el acuerdo propuesto, los miembros del grupo recibirán una notificación escrita por separado que contiene información adicional sobre el acuerdo, dijo Lehigh Valley Health Network. El bufete de abogados Saltz Mongeluzzi Bendesky, que representó a los demandantes en el litigio contra LVHN, dijo que el acuerdo propuesto con LVHN “podría ser el mayor acuerdo de demanda colectiva per cápita en la nación”. “La indemnización de 125.000 dólares para el demandante principal es significativa”, dijo el abogado regulador Paul Hales del Hales Law Group, que no está involucrado en el litigio de LVHN. “Es 20 veces más alta que la cantidad típica que reciben los demandantes principales. La publicación de sus fotos desnudas sin duda influyó en esa cantidad”, dijo. “El rápido acuerdo subraya la tendencia de los proveedores de atención médica a llegar a acuerdos rápidamente para evitar la vergüenza continua y limitar sus costos financieros”, dijo Hales. El abogado Steven Teppler, director legal de ciberseguridad del bufete de abogados Mandelbaum Barrett PC, que no está involucrado en la demanda de LVHN, dijo que cree que el demandante principal “podría – repito, podría – haber obtenido mejores resultados en un entorno no colectivo” en términos de pago. “También creo que los niveles de pago como estos se volverán más comunes y tendrán pagos más altos por miembro de la clase”. Hales dijo que la violación de datos subyacente de LVHN expone “una vulnerabilidad crónica” de las grandes organizaciones de atención médica que tienen múltiples ubicaciones. “Tienen dificultades para realizar análisis de riesgos a nivel de la empresa e implementar una gestión de riesgos eficaz. Proteger la privacidad y la seguridad de la información médica protegida requiere mucha más atención por parte de las juntas directivas y la alta gerencia”. Teppler dijo que el acuerdo propuesto en el caso LVHN es parte de una tendencia emergente. “Estamos comenzando a ver más ejemplos de daños reales y compensación por daños reales”, dijo. “Ahora más que nunca, esto habla de la necesidad tanto de evaluaciones de riesgos aplicadas como de un seguro de ciberseguridad adecuado”, dijo Teppler. “Tenga en cuenta que lo primero suele ser una necesidad para obtener lo segundo”. URL de la publicación original: https://www.databreachtoday.com/pennsylvania-firm-to-pay-65m-for-cancer-patient-photo-hack-a-26345