Une patiente a déposé une demande d’injonction contre Lehigh Valley Health Network pour forcer le groupe de soins de santé à payer une rançon aux pirates dans le but de faire retirer d’Internet des photos d’elle nue, prises pendant le traitement.
La patiente, nommée Jane Doe dans un procès intenté en mars, a d’abord demandé à un juge d’obliger la société basée à Allentown, en Pennsylvanie, à payer une rançon de plus de 5 millions de dollars au groupe de rançongiciels BlackCat. Elle a retiré sa demande le 18 avril après que le juge fédéral chargé de l’affaire ait demandé une explication sur les raisons pour lesquelles le tribunal forcerait Lehigh Valley “à se conformer à un acte illégal ou à payer une rançon illégale”.
Peu de temps après l’attaque du rançongiciel de février, Brian Nester, président-directeur général de Lehigh Valley, a déclaré dans un communiqué que la société “avait refusé de payer cette entreprise criminelle”.
Une porte-parole de Lehigh Valley a déclaré: “Par principe, Lehigh Valley Health Network ne commente pas les litiges en cours.”
La note du juge ne précise pas quelles lois seraient violées si Lehigh Valley devait payer les pirates.
Les entreprises qui paient des rançons aux pirates informatiques basés en Russie pourraient violer les sanctions américaines. Les entreprises de cybersécurité ont déclaré que le groupe de cybercriminalité BlackCat communiquait en russe. Les autorités américaines découragent les entreprises de payer des rançons, car cela pourrait encourager davantage d’attaques.
Des pirates ont attaqué Lehigh Valley en février et ont publié en mars des photos nues de Jane Doe, selon sa plainte. La société a identifié environ 2 760 patients dont les «photos cliniquement appropriées» ont été potentiellement volées, a déclaré le directeur de la conformité de Lehigh Valley dans un dossier judiciaire. Ils résident à New York, au New Jersey, en Virginie, en Géorgie et en Californie, selon le dossier. Lehigh Valley gère 13 campus hospitaliers et de nombreux centres de santé, laboratoires et autres services en Pennsylvanie.
Le retrait de la demande de Jane Doe souligne à quel point il est difficile pour les victimes d’attaques de ransomwares de demander un recours après que leurs données ont été volées et exposées.
Les personnes dont les données sensibles sont piratées ont peu d’options pour empêcher leur publication en ligne, a déclaré Doron S. Goldstein, associé du cabinet d’avocats Withersworldwide. Même si les entreprises paient des rançons malgré les avertissements des forces de l’ordre, cela ne garantit pas que les pirates donneront suite à toute promesse de supprimer des données ou de s’abstenir de les publier, a-t-il déclaré.
“Le fait qu’il ait été tenté indique que les gens recherchent ces solutions”, a-t-il déclaré.
Jane Doe a déclaré qu’elle n’avait pas été informée que l’hôpital avait pris les photos en premier lieu et craignait que les gens ne l’identifient, selon son avocat, Patrick Howard, associé du cabinet d’avocats Saltz Mongeluzzi Bendesky PC.
Dans une lettre adressée au juge fédéral le 10 avril, M. Howard a déclaré que les pirates informatiques avaient rendu les photos divulguées consultables par nom de patient.
La demande inhabituelle d’obliger une entreprise à payer une rançon aux pirates a soulevé des questions juridiques épineuses, selon les avocats de la cybersécurité.
Il y a une lourde charge juridique pour un tribunal d’ordonner à une entreprise de faire quelque chose, comme payer une rançon, plutôt que de s’abstenir de faire quelque chose de préjudiciable, a déclaré Jason Kravitz, associé et responsable de la pratique de la cybersécurité et de la confidentialité au sein du cabinet d’avocats Nixon. Peabody LLP.
« Ils ont le droit de payer ou de ne pas payer. C’est une décision commerciale que l’hôpital doit prendre », a-t-il déclaré.
Écrivez à Catherine Stupp à [email protected]
Copyright ©2022 Dow Jones & Company, Inc. Tous droits réservés. 87990cbe856818d5eddac44c7b1cdeb8
