网络安全事件日益严重：医疗行业的法律挑战

关键要点

• 上周针对90 Degree Benefits、CommonSpirit和OneBrooklyn Health提起了医疗数据泄露诉讼，反映了网络犯罪和勒索软件对各行业的影响日益加剧，尤其是医疗行业。
• BakerHostetler的年度数据安全事件响应报告显示，勒索索赔、支付、恢复时间和数据泄露诉讼均在上升，说明行业面临越来越多的挑战。
• 数据显示，网络入侵仍然是最常见的事件，大多由钓鱼攻击和未打补丁的漏洞引起。
• 网络攻击的平均恢复时间在几乎所有行业中都有显著上升，医疗行业经历了69%的恢复时间增长。
• 数据泄露诉讼数量的激增，尤其是针对影响人数少于10,000的事件。

最近，90 Degree Benefits、CommonSpirit及OneBrooklynHealth等公司遭遇了医疗数据泄露诉讼。这三项法律诉讼反映了网络犯罪和勒索软件对医疗行业的日益影响。BakerHostetler于4月28日发布的年度数据安全事件响应报告显示，勒索索赔、支付和数据泄露诉讼数量在大多数行业中正在上升，尤其在医疗环境中涉及的案件数量也在增加。

“2022年，我们看到大多数行业的平均勒索索赔、平均支付额和平均恢复时间都有所增加，”报告作者指出。“开年的勒索软件攻击的平静期已经结束，勒索软件组织已恢复攻击，机构必须加倍努力，防止增加的攻击。”

BakerHostetlet的数字资产和数据管理团队对2022年的超过1160起事件进行了分析。虽然许多组织加强了安全性和韧性，但数据显示，威胁行动者仍然适应并利用隐蔽的恶意软件、社交工程、”多因素认证轰炸“以及凭证填充等手段找到网络的
footholds。

尽管这些新战术取得了一定的成功，但网络入侵仍然是最常见的事件类型，其原因主要是因钓鱼和利用未打补丁的漏洞等方式引发。

网络攻击的成本分析

在几乎所有行业中，恢复元件的平均时间都有所上升，且在大多数情况下，时间显著增加。
根据报告，2021年所有行业的平均恢复时间略超过一周，而到了2022年，零售、餐饮和酒店行业的平均恢复时间从2021年的7.8天上升至14.9天，增长了91%。

在医疗领域，恢复时间的增长幅度达到了69%，而能源和技术行业的增长幅度为54%，政府行业则为46%。

此增长趋势与8个行业中6个行业的勒索索赔增长相一致，平均支付额为600,688美元。除了勒索金额，企业还面临更高的法医调查成本，在网络入侵事件中，相关费用较去年平均上升了30%。而这些费用并未包括经营损失或数据审查成本。

从2021年的数据来看，尽管金融、商业和专业服务、零售等行业的平均和中位成本有所下降，政府、能源和技术行业却面临更高的平均费用和更低的中位费用。

报告指出，这反映出“大多数客户的成本总体有所下降，但某些客户的严重勒索案件抵消了这一趋势。”

诉讼数量激增：数据泄露通知催生诉讼潮

据，医疗机构在报告数据泄露后，越来越常面临随之而来的数据泄露诉讼。2021年，涉及超过50,000名患者的事件通常在事后提起诉讼。

即使这一做法被视为现代“追逐救护车”，最新的BakerHostetler数据表明，数据泄露诉讼的提起速度迅速上升，影响人数少于10,000名的事件也越来越多。

数据显示，”诉讼数量同比几乎翻了一番。再也不是只有重大的数据泄露事件吸引人们的注意。”2022年共发出通知的494起事件中，42起导致了一项或多项诉讼。其中12