Logan Health医疗中心达成430万美元和解协议

关键要点

Logan Health医疗中心已与213543名患者和员工达成430万美元的和解协议，因2021年11月22日发生的网络攻击，可能导致他们的个人和受保护的健康信息被访问。

这是该医疗系统在不到三年内第二次处理与数据泄露相关的诉讼。该医疗系统在2021年5月前被称为Kalispell Regional Healthcare，曾在2019年报告了一起未被发现的网络钓鱼攻击，导致约130000名患者的数据受到几个月的妥协。

此次事件暴露了社会保障号码、出生日期、联系信息、病史、保险数据、医疗记录号码、保险详情、提供者名称及其他敏感数据。

在经历了上述事件后，这家医院曾遭到患者起诉，最终在2020年12月达成420万美元的和解。如果最新提案获得批准，Logan Health将支付850万美元的违约和解赔偿，这在不到三年的时间里。

最新的和解源于2022年4月提出的数起诉讼，并随后合并为集体诉讼。受害者声称，2021年的服务器攻击和随后的患者数据妥协是由于Logan Health未能实施适当的安全措施。

在事件中，攻击者获得了其中一个八台文件服务器的访问权限，并访问了患者和员工的健康信息。暴露的数据因个体而异，包括姓名、社会保障号码、出生日期、联系信息和电子邮件地址。

该诉讼针对Logan Health之前的安全事件及和解协议，指出该医疗系统曾声称“将采取进一步措施来修订程序，以最小化类似事件再次发生的风险。”

受害者还指控，这起2021年的事件直接由提供者未能遵守以前的漏洞通知中表达的内容引发。此外，Logan Health被指控未能合理培训员工和/或实施能够防止第二次安全事件的程序或协议。

诉讼中提到：“特别因为Logan Health表现出无法防止漏洞或在发现后阻止其继续的能力，[受害者]对确保他们的个人信息PII/PHI安全、保持安全以及不再遭受进一步盗窃有着不可否认的兴趣。”

因此，诉讼中提出，提供者提供的一年身份盗用保护“极为不足”。

诉讼中概述的损害涉及到医疗身份盗用恢复的成本，平均达到19000美元且需要超过200小时来解决问题。然而，诉讼未详细说明受害者是否确实因2021年的漏洞而经历这些最坏的情况。

提议的和解似乎考虑了这些问题，并要求Logan Health分享其已经采取或计划采取的增强网络安全培训和意识项目、数据政策、安全措施和数据限制的细节，以及其监控和响应能力。

受2021年事件影响的人也可以申请索赔， reimbursing 直接与该漏洞相关的高达25000美元的自付费用，以及记录的应对事件所损失的时间的最高125美元。和解还包括替代现金支付和受影响人士的免费信用监控。

根据和解提案，Logan Health还同意支付“律师费用不超过三分之一”的和解金额，以及“诉讼费用和开支报销不超过150000美元”。

该提案需最终批准

旧版 Oracle WebLogic 漏洞被利用于加密挖矿攻击 媒体

CVE20173506漏洞影响Oracle WebLogic服务器关键要点漏洞概述：CVE20173506漏洞允许攻击者执行任意命令。攻击目标：针对脆弱的Oracle WebLogic服务器的Cryp...

组织在安全数据管理方面往往表现不佳的原因 媒体

数据管理与安全：企业如何应对挑战关键要点企业在数据管理方面面临挑战，尤其在处理数据收集到生命周期结束的过程中。尽管企业对安全标准和合规性有一定了解，但仍存在安全意识不足的情况。数据的分类与加密管理至关...