كم عدد الأشخاص المتضررين من خرق شركة الصحة والمستشفيات في مدينة نيويورك؟

أثّر الخرق على 1.8 مليون شخص مرتبط بشركة الصحة والمستشفيات في مدينة نيويورك. ونشأ الخرق من اختراق طال مورّداً خارجياً لا من هجوم مباشر على أنظمة المستشفى.

ما نوع البيانات التي كُشفت في خرق مراكز إيري للرعاية الصحية الأسرية؟

كشف خرق مراكز إيري للرعاية الصحية الأسرية عن معرّفات شخصية ومعلومات طبية وتفاصيل مالية. ويجعل هذا المزيج الضحايا عرضةً بشكل خاص لأشكال متعددة من الاحتيال في آنٍ واحد.

ما متعقّب خروقات HHS ولماذا يهمّ؟

بوابة خروقات HHS سجلٌّ عام مُدار بموجب قاعدة إخطار الخروقات في قانون HIPAA يُسجّل حوادث بيانات الرعاية الصحية المهمة التي تمسّ 500 فرد أو أكثر. وحين تظهر إدخالات جديدة، يُشير ذلك إلى أن المنظمات المتضررة قد أتمّت التزاماتها بالإبلاغ الإلزامي.

لماذا تُعدّ السجلات الصحية المسروقة أشدّ خطورة من معلومات بطاقة الائتمان المسروقة؟

على خلاف رقم بطاقة الائتمان، تحتوي بيانات الرعاية الصحية على معلومات لا يمكن تغييرها، كأرقام الضمان الاجتماعي وتواريخ الميلاد وتاريخ التشخيصات. كما أن سرقة الهوية الطبية غالباً ما تمرّ دون اكتشاف لأشهر أو سنوات، مما يجعل الضرر واسعاً يصعب التراجع عنه.

كم عدد الأشخاص المتضررين من خرق مراكز إيري للرعاية الصحية الأسرية؟

أسفر خرق مراكز إيري للرعاية الصحية الأسرية عن اختراق سجلات نحو 570,000 شخص. ومراكز إيري للرعاية الصحية الأسرية مركزٌ صحي مؤهّل فيدرالياً يخدم المجتمعات منخفضة الدخل في إلينوي.

خرق بيانات مركز صحة مدينة نيويورك يطال 1.8 مليون سجل ضمن حوادث جديدة مسجّلة لدى HHS

أضاف متعقّب خروقات وزارة الصحة والخدمات الإنسانية الأمريكية عدة خروقات بيانات صحية بارزة إلى سجله العام، أكبرها يمسّ 1.8 مليون شخص مرتبط بشركة الصحة والمستشفيات في مدينة نيويورك. وأسفر حادث منفصل في مراكز إيري للرعاية الصحية الأسرية عن اختراق السجلات الشخصية والطبية والمالية لما يزيد على 570,000 شخص إضافي. وتُجسّد هاتان الحادثتان معاً المخاطر المتصاعدة والمستمرة على خصوصية بيانات الرعاية الصحية التي يواجهها ملايين الأمريكيين في كل مرة يتعاملون فيها مع مزوّد طبي.

ما يكشفه متعقّب خروقات HHS عن هذه الحوادث

يعمل بوابة خروقات HHS، المُدارة بموجب قاعدة إخطار الخروقات في قانون HIPAA، بوصفها سجلاً عاماً للحوادث الصحية المهمة التي تمسّ 500 فرد أو أكثر. وحين تظهر إدخالات جديدة، فهذا يُشير إلى أن المنظمات المتضررة قد أتمّت التزاماتها بالإبلاغ الإلزامي، وأحياناً بعد أشهر من وقوع الخرق الأصلي.

يستحق إدخال شركة الصحة والمستشفيات في مدينة نيويورك الاهتمام لسببين: حجمه الهائل ومصدره. فالخرق لم ينشأ عن هجوم مباشر على أنظمة المستشفى، بل عن اختراق طال مورّداً خارجياً. وأفادت مراكز إيري للرعاية الصحية الأسرية، وهي مركز صحي مؤهّل فيدرالياً يخدم المجتمعات منخفضة الدخل في إلينوي، بأن خرقها كشف مزيجاً بالغ الحساسية من أنواع البيانات، يشمل المعرّفات الشخصية والمعلومات الطبية والتفاصيل المالية. وهذا الثالوث يجعل الضحايا عرضةً بشكل خاص لأشكال متعددة من الاحتيال في آنٍ واحد.

لماذا تُعدّ السجلات الصحية أشدّ خطورة من معظم البيانات المسروقة

سرقة رقم بطاقة ائتمانية أمرٌ مزعج، لكن يمكن إلغاؤها في غضون دقائق. أما سرقة السجل الطبي فشأنٌ مختلف تماماً. تحتوي بيانات الرعاية الصحية على معلومات لا يمكن تغييرها: تواريخ الميلاد، وأرقام الضمان الاجتماعي، وأرقام وثائق التأمين، وتاريخ التشخيصات، وسجلات الوصفات الطبية. وفي الأسواق السرية، تُحقّق الملفات الطبية الكاملة أسعاراً تفوق بكثير بيانات الاعتماد المالية الاعتيادية.

يتضاعف الخطر لأن سرقة الهوية الطبية غالباً ما تمرّ دون اكتشاف لأشهر أو سنوات. فالسارق الذي يستخدم بيانات تأمين مسروقة للحصول على وصفات طبية أو تقديم مطالبات احتيالية لا يترك عادةً أثراً فورياً في حساب الضحية المصرفي. وبحلول الوقت الذي يظهر فيه الاحتيال من خلال مطالبة تأمين مرفوضة أو فاتورة طبية غير متوقعة، يكون الضرر قد بلغ مداه وبات يصعب التراجع عنه.

تُوفّر السجلات الصحية أيضاً أداةً للتصيّد الموجَّه. فالمهاجم الذي يعرف اسم طبيبك وتشخيصاتك الأخيرة ومزوّد تأمينك قادرٌ على صياغة رسائل مقنعة تتجاوز الحذر الذي يُبديه معظم الناس تجاه رسائل الاحتيال العامة.

كيف أصبح موردو الطرف الثالث الحلقةَ الأضعف في خصوصية المرضى

يندرج خرق مدينة نيويورك ضمن نمط هيمن على حوادث الأمن الصحي لسنوات عدة. تعتمد المستشفيات والأنظمة الصحية على منظومات كثيفة من موردي البرمجيات، ومعالجي الفواتير، ومنصات الصحة الرقمية عن بُعد، وأدوات جدولة المواعيد، وشركات تحليل البيانات. وكل طرف من هؤلاء يحصل على صلاحية الوصول إلى بيانات المرضى لأداء مهامه التعاقدية، وكلٌّ منهم يمثّل سطحاً إضافياً للهجوم لا تتحكم فيه المنظمة الصحية بالكامل.

تشترط الأطر التنظيمية على الكيانات الخاضعة للقانون إبرام اتفاقيات الشريك التجاري مع الموردين لتحديد التزامات حماية البيانات. غير أن هذه الاتفاقيات لا تُترجم تلقائياً إلى مستويات أمان مماثلة. فمركز طبي أكاديمي كبير قد يمتلك برنامج أمن ناضجاً، في حين يعمل مورّد برنامج الجدولة الذي يستخدمه بقدر أقل بكثير من التدقيق.

هذه الديناميكية ليست حكراً على الرعاية الصحية. فالثغرات على مستوى الخوادم عبر مختلف الصناعات تُعرّض بانتظام البيانات المحتفظ بها لدى الموردين لا لدى المنظمات الأصلية التي يثق بها المرضى أو العملاء. وفهم أن بياناتك تنتقل إلى ما هو أبعد بكثير من جدران عيادة طبيبك أمرٌ بالغ الأهمية لإدارة تعرّضك الخاص للمخاطر. يمكنك قراءة المزيد حول كيفية تأثير الثغرات على مستوى البنية التحتية على البيانات على نطاق واسع في التغطية التالية عن استغلال ثغرة تجاوز المصادقة في cPanel والتي أصابت عشرات آلاف الخوادم، والتي تُوضّح كيف يمكن لخلل واحد في برنامج مشترك على نطاق واسع أن ينتشر عبر آلاف المنظمات في وقت واحد.

خطوات عملية لحماية خصوصية المرضى عند التعامل مع مزوّدي الخدمات الرقمية

رغم أن المرضى الأفراد لا يستطيعون مراجعة علاقات موردي مزوّدهم، ثمة خطوات ملموسة تُقلّل التعرّض وتُحسّن قدرتك على اكتشاف الاحتيال مبكراً.

أولاً، اطلب نسخة من سجلاتك الطبية بصفة دورية. مراجعتها تُتيح لك رصد الإجراءات أو الوصفات الطبية أو أسماء مزوّدي الخدمة غير المألوفة التي قد تُشير إلى استخدام شخص ما لهويتك للحصول على رعاية. بموجب HIPAA، لديك الحق في الاطلاع على سجلاتك وتلتزم معظم الجهات مزوّدة الرعاية بالاستجابة للطلبات خلال 30 يوماً.

ثانياً، تواصل مع شركة تأمينك الصحي واطلب ملخص بيان الفوائد للعام الماضي. أي مطالبات لا تتذكرها تستوجب المتابعة الفورية. تقدّم كثير من شركات التأمين الآن تنبيهات مراقبة مجانية لنشاط المطالبات غير المعتاد.

ثالثاً، فكّر في تجميد الائتمان لدى المكاتب الثلاثة الرئيسية. كثيراً ما تُفضي سرقة الهوية الطبية إلى حسابات تحصيل وخطوط ائتمان احتيالية، والتجميد يمنع فتح حسابات جديدة باسمك دون موافقتك الصريحة.

رابعاً، استخدم كلمات مرور فريدة وقوية لأي حسابات في بوابات المرضى، كتلك المستخدمة لعرض نتائج الفحوصات أو حجز المواعيد. هذه البوابات تحتوي على سجلات بالغة الحساسية، ومع ذلك تُحمى في الغالب فقط ببيانات اعتماد ضعيفة يُعيد المرضى استخدامها عبر خدمات أخرى. كما أن استخدام عنوان بريد إلكتروني مخصص لحسابات الرعاية الصحية يُحدّ من التداعيات في حال تعرّض أحد حساباتك الأخرى للاختراق.

أخيراً، ابقَ على اطلاع بالبيئة التنظيمية والتشريعية الأوسع التي تُشكّل طريقة التعامل مع بياناتك. يعكس التشريع الأخير على مستوى الولايات الذي يستهدف الخصوصية الرقمية، كـقانون التحقق من العمر SB 73 في ولاية يوتا، وعياً متنامياً بين المشرّعين بأن تدفقات البيانات عبر الإنترنت تحتاج إلى ضمانات أقوى. مراقبة تطوّر هذه السياسات يُساعدك على فهم الحمايات المتاحة وغير المتاحة لمعلوماتك.

ما يعنيه هذا بالنسبة لك

إن إضافة هذه الخروقات إلى متعقّب HHS تذكيرٌ بأن مخاطر خصوصية بيانات الرعاية الصحية ليست افتراضية. فقد تعرّضت سجلات حساسة لملايين الأشخاص للكشف في هاتين الحادثتين وحدهما، ويُسجّل المتعقّب مئات الحوادث سنوياً.

أفضل أدواتك هي المراقبة والكشف المبكر والحدّ من مشاركة البيانات غير الضرورية كلما أمكن ذلك. اسأل مزوّديك عن موردي الطرف الثالث الذين يتلقّون بياناتك ولأي أغراض. راجع سجلاتك وكشوف التأمين بانتظام. وعامل بيانات اعتماد بوابة المرضى الخاصة بك بنفس الجدية التي تُعامل بها حساباتك المالية. هذه الخطوات لن تمنع اختراق أحد الموردين، لكنها تُحسّن بشكل ملحوظ فرصك في اكتشاف الاحتيال قبل أن يُلحق ضرراً دائماً.