纽约律师事务所涉嫌医疗失职侵害数据安全

关键要点

纽约州的一家医疗失职律师事务所同意向纽约州司法部长支付20万美元，因其不足的数据安全措施导致了2021年臭名昭著的微软Exchange攻击事件。

在2021年11月，微软在其服务器上发布了漏洞补丁几个月后，攻击者利用未打补丁的系统成功入侵法律事务所Heidell, Pittoni, Murphy &
Bach (HPMB)，泄露了近115,000名医院患者的私密数据，包括姓名、出生日期、社会安全号码和健康信息。

纽约州司法部长LetitiaJames表示，HPMB的“数据安全措施不当”违反了州法律以及联邦《健康保险流动与责任法案》（）的隐私和安全标准。这些问题包括未能有效进行例行风险评估，没有实施彻底的恶意软件检测程序。

“纽约人不应该担忧他们的隐私受到侵犯以及敏感信息被错误处理，”James在周一的中指出。“公司可以，也应该，加强其数据安全措施，以保护消费者的数字数据，否则它们将期待来自我办公室的消息。”

除了经济罚款，HPMB还同意改善其安全措施，包括建立适当的补丁管理程序、进行年度风险分析、加密私人及健康信息，以及在适当的时候安全删除电子健康信息及私人信息，以保护未来客户的患者数据。

“机密患者信息应受到妥善处理并在在线环境中安全存储，以保护纽约人免受身份盗窃和欺诈。负责保护这些信息的机构有责任做到正确，并及时告知当局和纽约人有关数据泄露的情况，”James补充道。

SC媒体已联系该律师事务所以获取评论。

2021年3月，微软曾表示，受到北京支持的黑客团伙利用其ExchangeServer中的四个零日漏洞窃取美国国防承包商和律师事务所的数据，并敦促组织立即打补丁。然而，HPMB未能及时更新其服务器，导致其在11月被攻破。

大约在圣诞节期间，攻击者在HPMB的网络上部署了Lockbit勒索软件。虽然该公司聘请了一家取证公司进行谈判，但攻击者提供了他们声称从HPMB系统中窃取的数万个文件的清单，包括法律诉状、患者名单和医疗记录，取证公司随后证实这些文件确实是从律师事务所泄露的，调查结果显示。

最终，HPMB支付了10万美元的勒索款以换取数据的归还与删除，“但未提供证据证明数据已被删除”，中指出。

在2022年5月16日，HPMB的供应商确认，有114,979名医院患者的信息，包括61,438名纽约居民，可能已被泄露。该律师事务所开始通知受影响方，并于同一天向美国卫生与公众服务部报告了此事件。