超级护理与318,379名患者达成225万美元和解

关键要点

加利福尼亚州的家居护理服务提供商超级护理（SuperCare）与318,379名因2021年系统重新计算遭受影响的患者达成了一项高达225万美元的和解协议，该和解在泄露受害者首次提起诉讼一年后敲定。

如果这一和解最终确定，超级护理将需要加强其网络安全和商业实践，以解决该提供商不充分的安全程序导致该事件及违反联邦贸易委员会（FTC）和健康保险流动性与责任法案（HIPAA）相关规定的指控。

作为和解的一部分，超级护理还将为泄露受害者提供一年的信用监控服务。受影响的患者若提交索赔，可以获得100美元的现金赔偿，而某一特定群体的个人则可能申请高达2500美元的补偿，作为与事件有关的自付费用。

诉讼指控超级护理违反了FTC法案，因其未能维护个人信息的合理安全性，被视为一种“不公平的做法”；更有指控称其在未及时通知的情况下，无法“保护免受合理预见的威胁”并未能遵循相关规定。

在2022年4月，两起诉讼首次针对超级护理提出，仅在该提供商报告系统被入侵两周后。泄露通知在事发八个月后发布，远超HIPAA规定的60天要求。

超级护理，并进行缓解措施以制止攻击。调查发现，黑客获取了网络和患者数据，包括联系信息、出生日期、健康保险详情、检测、诊断数据、治疗及其他敏感信息。对于部分患者，社会保障号码和驾驶执照信息也遭受到影响。

调查的漫长过程和通知措辞是诉讼的关键组成部分，诉状指出通知的迟延及内容“极其缺乏基本细节”。诉讼指出，超级护理在泄露发生后并未“向受影响的个人提供足够的信用监控服务或对因泄露造成的损失给予赔偿”。

患者未被告知未授权访问的方式、患者数据是否在攻击之前就已加密、黑客是如何被发现的、受影响的系统，以及存储患者数据的服务器是否被访问过，诉状称。

除此之外，黑客攻击的发生是由于未能实施保护患者数据所需的“适当和合理的网络安全程序和协议”。

根据和解协议，超级护理需进行渗透测试和风险评估，以识别出潜在弱点，并据此采取必要的安全措施。值得注意的是，HIPAA规定提供商必须作为合规的一部分进行风险评估。

超级护理还需用新的托管EDR（端点检测与响应）工具替换其“旧的EDR解决方案”，并更新其安全认证，采用多重身份验证工具，同时实施基于云的身份和访问管理系统，并增加对企业服务和资源访问的进一步限制。

此外，提供商还需增加网络分段，并更新其终端用户网络安全意识培训。

最终听证会定于8月28日举行。