BJC健康护理与患者达成和解，共同应对2020年数据泄露事件

关键要点

BJC健康护理在与287,873名受2020年邮件系统受保护健康信息泄露影响的患者达成和解后，将采取必要措施改善网络安全。此次泄露事件源于一起成功的钓鱼攻击，波及到了19家关联医院。

每位受影响的患者จะได้รับ高达250美元的赔偿，以涵盖银行费用、利息、信用监测费用、邮寄费、里程费和最多三小时的损失时间。受到此次黑客攻击直接影响而产生特殊费用的个体，可能还有资格申请高达5000美元的报销。

该还要求BJC健康护理对邮件访问实施多因素身份验证，以降低钓鱼风险，预计花费为270万美元。根据患者提出索赔的数量，整体和解成本可能会非常高昂。

BJC健康护理为了辩护自己，抗辩称其网络安全政策和措施不当导致了2020年的钓鱼攻击和。在2020年5月，该位于密苏里州的医疗服务提供者通知患者，他们的数据在两个月前的钓鱼攻击中暴露。

在3月6日，三名员工被钓鱼邮件欺骗，当天安全团队发现了该攻击。调查显示这次钓鱼攻击使得攻击者能够仅在一天内访问账户。

这些账户内存储着大量的患者数据，包括社会保障号码、医疗记录或患者账户号码、提供者姓名、治疗方案、药物和临床数据。BJC无法确认邮件、附件或患者数据是否在事件期间被攻击者查看。此次安全事件影响了19家附属医院。

然而，值得注意的是，这是BJC在两年内报告的第三起医疗数据泄露事件。在2018年3月，一次数据服务器配置错误使得33420名患者的数据暴露了近一年。之后同年，黑客在其患者门户中安装恶意软件，使其能够截取5850名患者的信用卡和借记卡号码，持续了大约一个月。

在2020年5月的通知后，与该事件有关的五起集体诉讼相继针对BJC提起，声称该机构未能实施并遵循基本的安全程序，导致钓鱼攻击的成功。

BJC也被指控未能有效加密其拥有的PHI数据，并未遵循合同中约定的安全标准，直接违反了HITECH法案和健康保险可携带性与责任法案。

诉讼指称这些失误使患者面临更高的身份盗用风险，并且“立刻且急迫地面临因BJC未能保护和确保PHI而导致的身份盗用所带来的直接伤害”。

根据提议的和解，BJC必须向泄露受害者提供上述赔偿，并提供两年的信用监测服务。该健康系统还同意加强其网络安全政策，以更好地保护患者信息，包括每年进行强制性网络安全培训，并在新员工入职期间进行培训。

和解协议还要求BJC健康护理在定期培训更新时，反映新的信息安全问题。健康系统必须保持书面的密码政策，要求符合适当的密码复杂性。

多因素身份验证项目必须针对远程访问邮件系统。预计270万美元的费用包括122万美元的初始实施费用和150万美元的年度维护费用。然而，这些仅为“合理估算”。虽然此项目是必需的，但BJC并不被要求“为这些措施支出特定金额”。

BJC还需承担通知泄露受害者和支付相关律师费用的费用，最高可支付