Baptist Health System遭遇黑客攻击引发集体诉讼

关键要点

在得克萨斯州达拉斯县地方法院，一项诉讼指控Tenet Healthcare及其子公司Baptist HealthSystem安全监控不力，致使其在3月遭黑客攻击，导致1.2百万名患者的数据被盗。

此次诉讼的原告寻求100万美元的赔偿，并声称其个人损失不足75,000美元。

诉讼在达拉斯县地方法院提出，指控此次网络攻击前未对被盗数据进行加密。根据健康保险流动性和问责法案，若服务提供者有文件记录的替代安全机制，则数据加密并非强制要求。

正如所述，BaptistMedical Center和Resolute HealthHospital在4月20日发现系统被侵入。这一事件发生在攻击开始几周后。攻击者在某些网络系统中安装了恶意代码，导致提供者暂停用户对受影响IT应用程序的访问。

对该事件的调查发现，攻击者在数周的访问中，删除了包含患者信息的数据。

尽管被盗数据不包括驾驶证、信用卡和借记卡信息或银行账户详情，但可能涉及社会安全号码、人口统计信息、联系详情、健康保险信息、医疗记录号、服务日期、诊断、治疗、设施名称、就诊原因、索赔数据、账单代码以及其他敏感信息。

有关通知显示，提供者在事件发生后改善了监控能力和系统安全，这一诉讼声称本该在黑客攻击之前就应采取措施。

诉讼指出：“根据信息与信念，BHS及其员工未能适当监控包含私人信息的计算机网络和IT系统。”此外，患者数据的维护处于“易受网络攻击的状态”。

诉讼进一步声称医院明白他们的系统安全机制存在“已知风险”，因此，相关官员“应意识到未采取必要的措施来保护私人信息的安全，使其处于危险状态”。

值得注意的是，诉讼认为患者未及时被通知该事件。然而，BaptistHealth在发现事件后在发布了通知，符合在60天内通知的规定，没有不当延误。

由于数据盗窃和“疏忽行为”，受影响的患者认为他们面临身份盗用的高风险，因为数据现已落入威胁行为者之手。这些数据可能被用于一系列欺诈活动，包括以受害者的名义开设账户或贷款，也可能用于针对受害者的其他网络钓鱼活动。

尽管诉讼声称侵权受害者“已暴露于高度且迫在眉睫的风险中”，但并未提供患者因此事件所直接遭受的具体实际损害的细节。

在的审判中，最高法院裁定，仅对数据泄露具有“具体损害”的个人才有权寻求对实体的赔偿。

此次诉讼请求赔偿性损失、报销自付费用和禁止救济，这可能包括要求医院改善系统安全、接受年度审计以及为受害者提供充足的信用监控服务。