Mt. Baker Imaging 3,3 millió dolláros adatvédelmi egyezsége: 340 ezer beteg érintett

Mt. Baker Imaging 3,3 millió dolláros adatvédelmi egyezsége: 340 ezer beteg érintett

Egy 3,3 millió dolláros kártérítési alap kifizetése van folyamatban, hogy lezárják a csoportos keresetet a Mt. Baker Imaging és a Northwest Radiologists ellen, két washingtoni állambeli egészségügyi szolgáltató ellen, amelyek 2025 januárjában egy zsarolóvírus-támadás áldozataivá váltak, és amelynek során több mint 340 000 beteg védett egészségügyi adatai (PHI) kerültek nyilvánosságra. Az eset tankönyvi példája annak a fenyegetési mintázatnak, amely egyre terjed az amerikai egészségügyi szektorban: zsarolóvírus-bűnözői csoportok célba veszik a képalkotó diagnosztikai szolgáltatókat és a számlázási rendszereket, ahol a legérzékenyebb betegadatok koncentrálódnak.

Az érintett betegek számára az egyezség valamekkora anyagi jóvátételt kínál. De felvet egy tágabb, érdemes kérdést is: mit tehetnek valójában az egyének a kitettségük csökkentése érdekében, amikor az egészségügyi szolgáltatók továbbra is kitartóan a zsarolóvírusok célpontjai maradnak?

Mi történt a Mt. Baker Imaging-nél

A Mt. Baker Imaging egy washingtoni államban működő képalkotó diagnosztikai szolgáltató. Együttműködik a Northwest Radiologists-szel, egy külön szervezettel, amely a nevében értelmezi az orvosi képeket. A két szervezet a munkafolyamat részeként megosztja egymással a betegadatokat, ami azt jelenti, hogy egy adatvédelmi incidens az egyiknél mindkét félnél adatkiszivárgást okoz.

2025 januárjában kibertámadást azonosítottak a szervezetek rendszereiben. Az egészségügyi szolgáltatók elleni zsarolóvírus-támadások általában ismert mintát követnek: a támadók hozzáférést szereznek a belső hálózatokhoz, oldalirányban mozognak a rendszerek között, érzékeny adatokat szivárogtatnak ki, majd titkosítják a fájlokat, hogy pénzt zsaroljanak ki az áldozattól. Az incidens több mint 340 000 beteget érintett, és az ennek nyomán indult csoportos kereset azt állította, hogy a szervezetek nem vezettek be megfelelő biztonsági intézkedéseket a betegadatok védelme érdekében.

A 3,3 millió dolláros egyezség nem minősül a jogsértés elismerésének, ami az ilyen típusú csoportos peres megállapodásoknál megszokott. A csoport azon tagjai, akik 2026. augusztus 19-ig érvényes igényt nyújtanak be, jogosultak lehetnek kártérítésre.

Miért nagy értékű célpontok a zsarolóvírusok számára a képalkotó diagnosztikai szolgáltatók

A képalkotó diagnosztikai központok különleges helyet foglalnak el a klinikai szükségszerűség és az adatérzékenység metszéspontjában. Diagnosztikai képeket, beutalási nyilvántartásokat, számlázási adatokat, biztosítási részleteket és teljes betegkórtörténeteket tárolnak. Egy gyógyszertártól vagy egy háziorvosi rendelőtől eltérően a képalkotó központok több külső szolgáltatótól beutalt beteget is ellátnak, ami azt jelenti, hogy adatbázisaik rendkívül nagyok és sokrétűek lehetnek.

A zsarolóvírus-csoportok ezt pontosan tudják. Az egészségügy az elmúlt években világszerte a zsarolóvírusok által leginkább célzott ágazatok közé tartozott, és a képalkotó szolgáltatók kifejezetten több nagy visszhangot kiváltó incidensben is érintettek voltak. Az elavult szoftverfüggőségek, a bonyolult beszállítói kapcsolatok (mint a Mt. Baker és a Northwest Radiologists együttműködése), valamint a folyamatos üzemelésre irányuló működési nyomás kombinációja vonzóvá és sebezhetővé teszi ezeket a szervezeteket.

Ahogy a zsarolóvírusok továbbra is uralják az egészségügyi kiberbiztonsági fenyegetéseket, a betegek aránytalanul nagy részét viselik a hosszú távú következményeknek, beleértve a személyazonosság-lopás kockázatát, a biztosítási csalást és az olyan érzékeny diagnosztikai adatok kiszivárgását, amelyek befolyásolhatják a foglalkoztatással vagy a biztosítási fedezettel kapcsolatos döntéseket.

Mit jelent ez Önnek

Ha 2025 januárja előtt vagy környékén vett igénybe képalkotó diagnosztikai szolgáltatást a Mt. Baker Imaging-en vagy a Northwest Radiologists-on keresztül, akkor a csoport tagja lehet, és jogosult lehet igény benyújtására. A jogosultsági feltételekkel és a benyújtási útmutatóval kapcsolatban tájékozódjon a hivatalos egyezségi értesítésekből és bírósági dokumentumokból.

Ezen a konkrét egyezségen túl az incidens egy kemény igazságot illusztrál: a betegek nem tudják ellenőrizni, hogy egy kórház vagy egy képalkotó központ hogyan védi a belső hálózatát. A Mt. Baker Imaging-nél történt adatvédelmi incidens teljes egészében a szolgáltató infrastruktúráján belül következett be. Semmilyen, a beteg által a saját eszközén vagy otthoni hálózatán tett intézkedés nem akadályozhatta volna meg. Ennek a különbségtételnek jelentősége van annak megítélésekor, hogy mely személyes biztonsági intézkedések valóban hasznosak.

Amit a betegek ellenőrzésük alatt tarthatnak, az a saját viselkedésük, amikor egészségügyi portálokkal és digitális egészségügyi szolgáltatásokkal lépnek kapcsolatba. Ezek a szolgáltatói oldali incidenstől elkülönülő aggályok, de mégis érdemes foglalkozni velük:

Adatvédelmi szemléletű gyakorlatok az egészségügyi adatok online kezeléséhez:

• Használjon erős, egyedi jelszavakat minden betegportálhoz. Az egészségügyi portálokat egyre gyakrabban érik hitelesítőadat-feltöltő támadások, amelyek más adatvédelmi incidensekből származó újrafelhasznált jelszavakat használnak ki. Egy jelszókezelő ezt könnyen kezelhetővé teszi.
• Kapcsolja be a többtényezős hitelesítést (MFA) mindenhol, ahol elérhető. Számos betegportál már támogatja az MFA-t. Bekapcsolásával önmagában egy ellopott jelszó nem lesz elegendő a támadó számára az adataihoz való hozzáféréshez.
• Legyen óvatos a nyilvános vagy megosztott Wi-Fi hálózatokon, amikor betegportálokhoz fér hozzá. Nem megbízható hálózatokon a webhelyhez való kapcsolódását a hálózat többi felhasználója megfigyelheti. Egy VPN titkosítja az eszköz és az internet közötti adatforgalmat, ami csökkenti az átvitel közbeni lehallgatás kockázatát. Ez kifejezetten a portálos bejelentkezéseknél jelent érdemi védelmet, de teljesen elkülönül attól, ami a Mt. Baker Imaging adatvédelmi incidensében történt, amely a szolgáltató saját belső rendszereiben következett be.
• Rendszeresen ellenőrizze a juttatásokról szóló tájékoztatókat (EOB). A lopott védett egészségügyi adatokkal elkövetett csalárd orvosi igények gyakran megjelennek az EOB-kimutatásokban, mielőtt a beteg egyébként bármi rendellenességet észlelne.
• Rendszeresen kérje ki és vizsgálja felül az egészségügyi dokumentációját a pontosság ellenőrzése érdekében. A személyazonosság-lopásból vagy adatmanipulációból eredő hibák befolyásolhatják a jövőbeli ellátást és a biztosítási döntéseket. Sok szolgáltató köteles kérésre kiadni a dokumentációt, és annak átnézése gyakorlati módja annak, hogy ellenőrizze, milyen adatok vannak nyilvántartva.

Gyakorlati teendők

A Mt. Baker Imaging egyezség emlékeztet arra, hogy az egészségügyi adatvédelmi incidensek valós pénzügyi és személyes következményekkel járnak, és hogy az érintett betegeknek jogorvoslati lehetőségük van, ha a szervezetek nem teljesítik biztonsági kötelezettségeiket. Ha úgy véli, hogy a csoport tagja, tájékozódjon az igénylési folyamatról a 2026. augusztusi határidő előtt.

Tágabb értelemben a saját digitális higiéniájának javítása az egészségügyi portálok körül minden egyes incidenstől függetlenül is megéri. Az egyedi jelszavak, az MFA és a nyilvános hálózatokon való óvatosság mind csökkentik a kitettségét azokon a területeken, amelyekre valóban hatással lehet. Azokra a kockázatokra, amelyeket nem tud befolyásolni – például, hogy egy szolgáltató hogyan védi a belső hálózatát –, a nyilvántartásait érintő adatvédelmi incidensekről való tájékozódás, valamint a biztosítási és hitelaktivitásának figyelemmel kísérése marad a legpraktikusabb válasz.

Az egészségügyi szolgáltatóknak jogi és etikai kötelezettségük a betegadatok védelme. Amikor kudarcot vallanak, az ehhez hasonló egyezségek vonják őket felelősségre. De a betegek tudatossága éppoly fontos réteget képez a teljes képben.