Нарушение на 1,8 млн. записа в NYC Health сред новите инциденти, регистрирани от HHS

Нарушение на 1,8 млн. записа в NYC Health сред новите инциденти, регистрирани от HHS

Тракерът за нарушения на Министерството на здравеопазването и социалните услуги на САЩ добави няколко значими пробива в здравните данни към публичния си регистър, като най-голямото засяга 1,8 милиона лица, свързани с Корпорацията за здраве и болници на Ню Йорк. Отделен инцидент в Erie Family Health Centers компрометира личните, медицинските и финансовите данни на допълнителни 570 000 души. Взети заедно, тези инциденти подчертават постоянните и нарастващи рискове за поверителността при пробиви в здравните данни, пред които са изправени милиони американци всеки път, когато взаимодействат с медицински доставчик.

Какво разкрива тракерът на HHS за тези инциденти

Порталът на HHS за нарушения, поддържан съгласно Правилото за уведомяване при нарушения по HIPAA, функционира като публичен регистър на значими инциденти с здравни данни, засягащи 500 или повече лица. Когато се появят нови записи, това сигнализира, че засегнатите организации са изпълнили задължителните си задължения за докладване — понякога месеци след настъпването на първоначалното нарушение.

Записът за Корпорацията за здраве и болници на Ню Йорк е забележителен по две причини: мащабът му и произходът му. Нарушението не е резултат от директна атака срещу болнични системи, а от компрометиране на доставчик трета страна. Erie Family Health Centers — федерално квалифициран здравен център, обслужващ общности с по-ниски доходи в Илинойс — съобщи, че нарушението е изложило особено чувствителна комбинация от видове данни, включително лични идентификатори, медицинска информация и финансови данни. Тази тройна комбинация прави жертвите особено уязвими към множество форми на измама едновременно.

Защо здравните записи са по-опасни от повечето откраднати данни

Откраднат номер на кредитна карта е неприятен, но може да бъде анулиран за минути. Откраднатият медицински запис е съвсем друг въпрос. Здравните данни съдържат информация, която не може да бъде променена: дати на раждане, номера на социалното осигуряване, номера на застрахователни полици, история на диагнозите и данни за предписани лекарства. На подземните пазари пълните медицински профили редовно се продават на цени, значително по-високи от стандартните финансови идентификационни данни.

Опасността се усилва, тъй като медицинската кражба на самоличност често остава неоткрита с месеци или дори години. Крадец, използващ откраднати застрахователни данни за получаване на лекарства по рецепта или подаване на измамни искове, обикновено не оставя непосредствена следа в банковата сметка на жертвата. Когато измамата излезе наяве чрез отказано застрахователно обезщетение или неочаквана медицинска сметка, щетите вече са значителни и трудни за отстраняване.

Здравните записи също така създават лостове за целенасочен фишинг. Нападател, който знае името на вашия лекар, скорошните ви диагнози и вашия застрахователен доставчик, може да изготви убедителни съобщения, които заобикалят скептицизма, който повечето хора прилагат към общите измамни имейли.

Как доставчиците трети страни се превърнаха в най-слабото звено в поверителността на пациентите

Нарушението в NYC Health отговаря на модел, който доминира в инцидентите за здравна сигурност в продължение на няколко години. Болниците и здравните системи разчитат на гъсти екосистеми от софтуерни доставчици, обработчици на фактури, телездравни платформи, инструменти за записване на часове и фирми за анализ на данни. Всяка от тези трети страни получава достъп до данните на пациентите, за да изпълнява договорените си функции, и всяка представлява допълнителна повърхност за атака, която самата здравна организация не контролира напълно.

Регулаторните рамки изискват покритите субекти да подписват Споразумения за бизнес партньори с доставчиците, установяващи задължения за защита на данните. Тези споразумения обаче не превеждат автоматично в еквивалентни нива на сигурност. Голям академичен медицински център може да разполага с зряла програма за сигурност, докато използваният от него доставчик на софтуер за записване на часове работи с много по-малко контрол.

Тази динамика не е уникална за здравеопазването. Уязвимостите на ниво сървър в различни отрасли редовно излагат данни, съхранявани от доставчици, а не от основните организации, на които пациентите или клиентите имат доверие. Разбирането, че вашите данни пътуват далеч извън стените на кабинета на вашия лекар, е критична част от управлението на собственото ви излагане на риск за поверителността. Можете да прочетете повече за начина, по който уязвимостите на инфраструктурно ниво засягат данните в мащаб, в материала за експлойта за заобикаляне на удостоверяването в cPanel, засягащ десетки хиляди сървъри, който илюстрира как единична уязвимост в широко използван софтуер може да се разпространи каскадно в хиляди организации едновременно.

Практически стъпки за поверителност за пациенти, взаимодействащи с доставчици онлайн

Въпреки че отделните пациенти не могат да одитират взаимоотношенията на своя доставчик с доставчици трети страни, има конкретни стъпки, които намаляват излагането и подобряват способността ви да откривате измами навреме.

Първо, периодично искайте копие на медицинските си записи. Прегледът им ви позволява да забележите непознати процедури, предписания или имена на доставчици, което може да означава, че някой е използвал самоличността ви, за да получи медицинска помощ. Съгласно HIPAA имате право на достъп до записите си и повечето доставчици са задължени да изпълнят исканията в рамките на 30 дни.

Второ, свържете се с вашия здравен застраховател и поискайте обобщение на Обяснението на обезщетенията за изминалата година. Всички искове, които не разпознавате, изискват незабавно проследяване. Много застрахователи вече предлагат безплатни предупреждения за необичайна активност при искове.

Трето, обмислете поставянето на кредитно замразяване при трите основни кредитни бюра. Медицинската кражба на самоличност често води до сметки за събиране на вземания и измамни кредитни линии, а замразяването предотвратява отварянето на нови сметки на ваше име без вашето изрично одобрение.

Четвърто, използвайте уникални, силни пароли за всички акаунти в портала за пациенти, като например тези, използвани за преглед на лабораторни резултати или записване на часове. Тези портали съдържат изключително чувствителни записи, но те често са защитени само от слаби идентификационни данни, които пациентите използват повторно в други услуги. Използването на специален имейл адрес за здравни акаунти също ограничава щетите, ако един от другите ви акаунти бъде компрометиран.

И накрая, следете по-широката регулаторна и законодателна среда, която определя начина, по който се обработват вашите данни. Скорошното законодателство на ниво щати, насочено към цифровата поверителност, като например закона на Юта SB 73 за проверка на възрастта, отразява нарастващата осведоменост сред законодателите, че онлайн потоците от данни изискват по-строги предпазни мерки. Наблюдението на начина, по който тези политики се развиват, може да ви помогне да разберете какви защити съществуват — и какви не — за вашата информация.

Какво означава това за вас

Добавянето на тези нарушения към тракера на HHS е напомняне, че рисковете за поверителността при пробиви в здравните данни не са хипотетични. Милиони хора са имали чувствителни записи, изложени само в тези два инцидента, а тракерът регистрира стотици инциденти годишно.

Най-ефективните ви инструменти са мониторингът, ранното откриване и ограничаването на ненужното споделяне на данни, когато е възможно. Питайте вашите доставчици кои доставчици трети страни получават вашите данни и за какви цели. Редовно преглеждайте записите си и застрахователните си извлечения. И се отнасяйте към идентификационните данни на вашия пациентски портал със същата сериозност, с която се отнасяте към финансовите си акаунти. Тези стъпки няма да предотвратят компрометирането на доставчик, но значително подобряват шансовете ви да уловите измамата, преди да причини трайни щети.