Provedor de saúde dos EUA propõe acordo sobre violação de dados de US $ 4,2 milhões

Kalispell Regional Healthcare , com sede em Montana, anunciou em outubro do ano passado que havia ocorrido uma violação de dados. Aproximadamente 130.000 pacientes tiveram suas informações pessoais de saúde (PHI) expostas como resultado de um ataque cibernético.

Os criminosos usaram o que o CEO e presidente da Kalispell Craig Lambrecht descreveu como um “ataque sofisticado de phishing” para obter acesso às contas de e-mail de vários funcionários em 24 de maio de 2019. A violação não foi detectada pelo provedor de saúde até agosto daquele ano . 

Os dados do paciente comprometidos na violação incluíam nomes, endereços, números de telefone, datas de nascimento, números de registros médicos, históricos médicos, números de seguro social e informações de seguro saúde.

Os invasores roubaram cerca de 250 números do seguro social de pacientes da região de Kalispell. Depois de anunciar a violação, o provedor de saúde aconselhou os pacientes a revisar os extratos da conta, relatar atividades suspeitas às autoridades e, se necessário, bloquear a segurança de seus arquivos de crédito.

O processo alegou que Kalispell falhou em tomar medidas adequadas para garantir a privacidade dos dados do paciente e colocou os pacientes em risco financeiro ao esperar até outubro para divulgar o incidente de segurança. 

Além disso, alega que os funcionários não receberam treinamento de conscientização de segurança adequado e que a Kalispell não fez o suficiente para monitorar seus sistemas em busca de atividades suspeitas. 

A ação coletiva foi movida contra Kalispell Regional no Oitavo Tribunal do Distrito Judicial de Montana em Cascade County em 22 de novembro de 2019. O caso está agendado para ir à juíza Elizabeth Best para uma audiência de aprovação final em 5 de janeiro.

Kalispell Regional nega qualquer irregularidade no documento de liquidação. O provedor de saúde propõe o estabelecimento de um fundo de liquidação de US $ 4,2 milhões que será usado para pagar vários benefícios de alívio às vítimas da violação de dados.

Uma  declaração  divulgada pelo provedor de saúde na sexta-feira diz: “A carta faz referência a um acordo de ação coletiva que foi proposto em um litígio relacionado ao evento de segurança cibernética que KRH experimentou em outubro de 2019. Acordos são comuns com eventos como esses e trabalharemos com eles o tribunal através do processo de liquidação. “

Fonte: https://www.infosecurity-magazine.com/