Nagodba od 3,3 milijuna dolara za povredu podataka u Mt. Baker Imaging: Pogođeno 340.000 pacijenata

Nagodba od 3,3 milijuna dolara za povredu podataka u Mt. Baker Imaging: Pogođeno 340.000 pacijenata

Dijeli se nagodba od 3,3 milijuna dolara za rješavanje skupne tužbe protiv Mt. Baker Imaging i Northwest Radiologists, dvaju pružatelja zdravstvenih usluga iz savezne države Washington koji su u siječnju 2025. godine pogođeni napadom ransomwareom koji je razotkrio zaštićene zdravstvene informacije (PHI) više od 340.000 pacijenata. Ovaj slučaj je školski primjer obrasca prijetnji koji nastavlja rasti u američkom zdravstvenom sektoru: ransomware bande ciljaju pružatelje medicinskih slikovnih usluga i sustave naplate gdje su koncentrirani osjetljivi podaci pacijenata.

Za pogođene pacijente, nagodba nudi određenu financijsku naknadu. No, također otvara šire pitanje vrijedno postavljanja: što pojedinci zapravo mogu učiniti kako bi smanjili svoju izloženost kada su pružatelji zdravstvenih usluga i dalje tako uporne mete ransomware napada?

Što se dogodilo u Mt. Baker Imaging

Mt. Baker Imaging je pružatelj medicinskih slikovnih usluga koji djeluje u saveznoj državi Washington. Surađuje s Northwest Radiologists, zasebnom organizacijom koja u njihovo ime tumači medicinske snimke. Dva subjekta dijele podatke o pacijentima u sklopu tog radnog procesa, što znači da povreda u jednom uzrokuje izloženost kroz oba.

U siječnju 2025. godine identificiran je kibernetički napad na sustave organizacija. Ransomware napadi na pružatelje zdravstvenih usluga obično slijede poznati obrazac: napadači dobivaju pristup unutarnjim mrežama, kreću se lateralno kroz sustave, izvlače osjetljive podatke, a zatim šifriraju datoteke kako bi iznudili žrtvu. Povreda je pogodila preko 340.000 pacijenata, a rezultirajuća skupna tužba tvrdila je da organizacije nisu provele odgovarajuće sigurnosne mjere za zaštitu informacija o pacijentima.

Nagodba od 3,3 milijuna dolara ne predstavlja priznanje krivnje, što je standardno za ovakva rješenja skupnih tužbi. Članovi skupine koji podnesu valjane zahtjeve do roka 19. kolovoza 2026. mogu biti podobni za naknadu.

Zašto su pružatelji medicinskih slikovnih usluga visokovrijedne mete ransomwarea

Centri za medicinsko snimanje nalaze se na zanimljivom sjecištu kliničke nužnosti i osjetljivosti podataka. Posjeduju dijagnostičke snimke, uputnice, podatke o naplati, detalje o osiguranju i cjelovite povijesti pacijenata. Za razliku od ljekarne ili ordinacije opće prakse, centri za snimanje također opslužuju pacijente upućene od više vanjskih pružatelja, što znači da njihove baze podataka mogu biti iznimno velike i raznolike.

Ransomware skupine to razumiju. Zdravstvo je posljednjih godina globalno bilo jedan od najčešće ciljanih sektora za ransomware, a pružatelji slikovnih usluga posebno su se pojavili u više visokoprofiliranih incidenata. Kombinacija ovisnosti o naslijeđenom softveru, složenih odnosa s dobavljačima (poput aranžmana Mt. Baker i Northwest Radiologists) i operativnog pritiska da pod svaku cijenu ostanu online čini te organizacije privlačnima i ranjivima.

Kako ransomware nastavlja dominirati prijetnjama u kibernetičkoj sigurnosti u zdravstvu, pacijenti snose nesrazmjeran udio dugoročnih posljedica, uključujući rizik od krađe identiteta, prijevare u osiguranju i izloženost osjetljivim dijagnostičkim informacijama koje mogu utjecati na odluke o zapošljavanju ili pokriću.

Što to znači za vas

Ako ste primili usluge snimanja putem Mt. Baker Imaging ili Northwest Radiologists prije ili oko siječnja 2025. godine, možda ste član skupine i podobni za podnošenje zahtjeva. Provjerite službene obavijesti o nagodbi i sudske spise za kriterije podobnosti i upute za podnošenje.

Iznad ove konkretne nagodbe, incident ilustrira tešku istinu: pacijenti ne mogu kontrolirati kako bolnica ili centar za snimanje osigurava svoju unutarnju mrežu. Povreda u Mt. Baker Imaging dogodila se u cijelosti unutar infrastrukture pružatelja. Nijedna radnja koju pacijent poduzme na vlastitom uređaju ili kućnoj mreži to ne bi spriječila. Ta razlika je važna pri procjeni koje su osobne sigurnosne mjere zapravo korisne.

Ono što pacijenti mogu kontrolirati jest vlastito ponašanje pri interakciji sa zdravstvenim portalima i digitalnim zdravstvenim uslugama. To su odvojene brige od povrede na strani pružatelja, ali ih ipak vrijedi riješiti:

Prakse usmjerene na privatnost za upravljanje vašim medicinskim podacima na internetu:

• Koristite jake, jedinstvene lozinke za svaki portal pacijenta. Zdravstveni portali sve su češće meta napada popunjavanja vjerodajnica koji iskorištavaju ponovno korištene lozinke iz drugih povreda. Upravitelj lozinkama to čini izvedivim.
• Omogućite višefaktorsku autentifikaciju (MFA) gdje god je ponuđena. Mnogi portali pacijenata sada podržavaju MFA. Omogućavanje znači da sama ukradena lozinka nije dovoljna napadaču za pristup vašim zapisima.
• Budite oprezni na javnom ili dijeljenom Wi-Fi-ju pri pristupu portalima pacijenata. Na nepouzdanim mrežama vašu vezu s web-mjestom mogu promatrati drugi na istoj mreži. VPN šifrira promet između vašeg uređaja i interneta, što smanjuje rizik od presretanja u prijenosu. Ovo je značajna zaštita posebno za prijave na portale, ali je potpuno odvojena od onoga što se dogodilo u povredi u Mt. Baker Imaging, koja se dogodila na vlastitim unutarnjim sustavima pružatelja.
• Redovito pregledavajte svoje izvještaje o naknadama. Prijevarne medicinske tvrdnje podnesene korištenjem ukradenih PHI često se pojavljuju u EOB izvještajima prije nego što pacijenti inače primijete bilo što neobično.
• Povremeno zatražite svoju medicinsku dokumentaciju i pregledajte je radi točnosti. Pogreške uvedene krađom identiteta ili manipulacijom podataka mogu utjecati na buduću skrb i odluke o osiguranju. Mnogi pružatelji su dužni pružiti zapise na zahtjev, a njihovo pregledavanje je praktičan način da provjerite koje su informacije u spisu.

Provedivi zaključci

Nagodba Mt. Baker Imaging podsjetnik je da povrede zdravstvenih podataka nose stvarne financijske i osobne posljedice te da pogođeni pacijenti imaju pravni lijek kada organizacije ne ispune svoje sigurnosne obveze. Ako vjerujete da ste član skupine, istražite postupak podnošenja zahtjeva prije roka u kolovozu 2026. godine.

Općenitije, poboljšanje vlastite digitalne higijene u vezi sa zdravstvenim portalima je vrijedno neovisno o bilo kojoj pojedinačnoj povredi. Jedinstvene lozinke, MFA i oprez na javnim mrežama smanjuju vašu izloženost na načine na koje zapravo možete utjecati. Za rizike koje ne možete kontrolirati, poput toga kako pružatelj osigurava svoju unutarnju mrežu, informiranje o povredama koje utječu na vaše zapise i praćenje aktivnosti osiguranja i kreditne aktivnosti ostaje najpraktičniji odgovor.

Pružatelji zdravstvenih usluga imaju zakonsku i etičku obvezu zaštititi podatke pacijenata. Kad zakažu, nagodbe poput ove ih pozivaju na odgovornost. Ali svijest pacijenata jednako je važan sloj u ukupnoj slici.