Hackers atacam Hospital e pedem USD 3.6 milhões de resgate

Hackers usando ransomware sequestraram os sistemas (em verdade, os dados) dos sistemas do Presbyterian Memorial Medical Center em Hollywood há mais de uma semana.
O valor pedido: USD 3.6 milhões, pagos em BitCoins (9000 bitcoins à taxa atual) - que por sua natureza, torna muito difícil a impossível rastrear o caminho do dinheiro até os criminosos.
Enquanto isso, todo o processamento de informações do Presbyterian MMC está sendo feito como há 40 anos atrás: em papel e caneta. Com isso, que sofre são os pacientes, a ciência como um todo, pesquisadores, etc.
De acordo com o CEO do Hospital, o ataque não foi direcionado, o que sugere um ataque do tipo phishing onde alguém, inadvertidamente, abriu um e-mail que deu acesso a um RAT (Remote Access Tool).
Fico a pensar: hoje qualquer bom antivirus e antimalware consegue, com um bom grau de segurança, prevenir este tipo de ataque. Ao mesmo tempo, provar que esta ação foi maliciosa, talvez até parte de um ataque do tipo "engenharia social", é muito difícil.
E fica a pergunta: e a HIPAA, as normas governamentais (com força de Lei) que buscam "boas práticas" e Governança Corporativa em ambientes hospitalares? Elas não se preocupam com os dados estocados e em trânsito, recomendando criptografia e backups? Entendo que estes dois modos podem sim barrar (ou mitigar enormemente) a execução de malwares destes tipo. Porque não foram adotados se é por força de um Act (um Ato legislativo)?
Para saber mais: http://www.nbclosangeles.com/news/local/FBI-LAPD-Investigating-Hollywood-Hospital-Cyber-Attack-368703121.html
UPDATE: os hospital pagou o equivalente a USD 17,000.00 a OUTROS hackers para abrir os arquivos codificados pelo ransomware.