В мире высоких технологий и стремительного развития медицинских услуг, аспекты безопасности и защиты личных данных становятся все более актуальными. К сожалению, инциденты, подобные последнему случаю с одной из крупнейших медицинских организаций США, раскрывают уязвимости в системах безопасности и поднимают серьезные вопросы о защите пациентов. Компания Lehigh Valley Health Network (LVHN), одна из ведущих медицинских групп в Пенсильвании, согласилась выплатить 65 миллионов долларов в рамках соглашения о коллективном иске после того, как хакеры похитили и опубликовали интимные фотографии пациентов. Это происшествие ознаменовало собой один из самых громких скандалов в области защиты данных в медицинском секторе. Данный инцидент произошел в начале февраля 2023 года, когда LVHN обнаружила несанкционированный доступ к своим информационным системам.
По информации, вскоре стало известно, что за атакой стояла известная хакерская группа ALPHV, также известная как BlackCat. В результате утечки нарушители смогли получить доступ к гигабайтам данных, включая 134 000 медицинских карт и фотографий пациентов, многие из которых были компрометирующими. Как выяснилось, в результате утечки не только были раскрыты имена, адреса и номера социального страхования клиентов, но также были похищены фотографии, которые группа имела право хранить исключительно в рамках лечения. Судебные документы указывают на то, что в некоторых случаях снимки интимного характера были сделаны без ведома пациентов, что ставит под сомнение этические нормы работы учреждения. Отказ LVHN выплатить запрашиваемый хакерами выкуп стал причиной дальнейшего разгорания скандала.
Злоумышленники, недовольные отказом, разместили украденные материалы в сети, что вызвало бурю общественного недовольства. Позиция больницы по принципиальному отказу от выполнения требований преступников, как позже выразились юристы истцов, только усугубила ситуацию. Согласно поданному иску, LVHN «сознательно и намеренно игнорировала интересы своих пациентов», ставя свои финансовые интересы выше безопасности данных клиентов. Эта ситуация поднимает важные вопросы о том, как медицинские учреждения управляют защитой данных и какие меры принимаются для предотвращения подобных инцидентов. Несмотря на то что LVHN публично похвалили за отказ соблюдать требования хакеров, многие считают, что такой подход не оправдывает себя, если в результате страдают невинные пациенты.
Пока LVHN уведомила своих клиентов о произошедшем, хакеры продолжили нагнетать обстановку, угрожая новыми утечками данных. В течение нескольких недель они публиковали новые порции украденной информации в интернете, что вызывало не только страх, но и гнев среди пострадавших. Жертвы атаки, включая «Джейн Доу», личные данные которой были раскрыты, рассказали, что узнали об утечке своих фотографий с помощью звонка от вице-президента по соблюдению норм – причем в разговоре звучали даже шутки о предложении двух лет бесплатного мониторинга кредитной истории в качестве меры компенсации. Согласно юристам, представляющим интересы истцов, данное соглашение стало «самым крупным в своем роде, основываясь на подсчете количества затронутых пациентов» в случае с медицинским взломом. Примечательно, что возмещение ущерба для жертв будет зависеть от уровня утечки данных и окажется существенно различным.
Например, те, чьи медицинские записи были просто получены, получат минимальные выплаты, тогда как пострадавшие от утечки интимных фотографий могут рассчитывать на 70 000-80 000 долларов. История LVHN привлекла внимание не только средств массовой информации, но и правозащитников, которые требуют от правительств установить строгие требования к защите конфиденциальности и безопасности данных в медицинских учреждениях. Это происшествие также стало дополнительным стимулом для дискуссий о необходимости внедрения законодательных норм, требующих от медицинских организаций соблюдения более строгих стандартов безопасности. Одним из следствий подобных атак стал рост общественного интереса к вопросам кибербезопасности. Множество больниц и медицинских центров, особенно в США, сталкиваются с постоянными угрозами со стороны киберпреступников, и такая ситуация требует от них принятия серьезных мер для защиты личной информации пациентов.
