Пробив в сигурността на ViaQuest Psychiatric разкрива PII и PHI на 6 420 пациенти

Пробив в сигурността на ViaQuest Psychiatric разкрива PII и PHI на 6 420 пациенти

ViaQuest Psychiatric & Behavioral Solutions разкри пробив в сигурността на данните, засягащ най-малко 6 420 настоящи и бивши пациенти и служители. Инцидентът изложи на показ както лично идентифицируема информация (PII), така и защитена здравна информация (PHI), поставяйки хиляди хора в по-висок риск от кражба на самоличност, дискриминация и финансови измами. За всеки, който е ползвал услуги за психично здраве, този пробив е ярко напомняне, че защитата на здравните данни в случай на пробив вече не е опция.

Какво разкри пробивът във ViaQuest и кой е засегнат

Потвърденият пробив в ViaQuest Psychiatric & Behavioral Solutions включва двойна категория компрометирани данни: PII, която обикновено включва имена, адреси, дати на раждане и социалноосигурителни номера, наред с PHI, която обхваща диагнози, записи за лечение, лекарства и история на прегледите. Комбинацията от двата типа в един пробив е особено опасна.

Засегнатите лица включват както настоящи, така и бивши пациенти, както и служители, което означава, че експозицията не се ограничава само до хората, които активно получават грижи. Бивши пациенти, които са потърсили лечение преди години, все още могат да открият, че техните записи са в игра. Служителите също са изправени пред собствени рискове, включително кражба на удостоверителни данни или целеви фишинг атаки, използващи данни за тяхната заетост.

Този инцидент следва модел, наблюдаван в целия здравен сектор. Пробивът в OpenLoop Health, който разкри медицинските данни на 716 000 пациенти е високопрофилен пример за това как платформите за телездраве и поведенческо здраве са се превърнали в основни цели за киберпрестъпници, които искат да монетизират чувствителни записи.

Защо психиатричните и поведенческите здравни досиета са особено чувствителни

Не всички здравни досиета носят еднаква тежест. Данните за психиатрично и поведенческо здраве се намират в уникално високорискова категория поради няколко причини.

Първо, този тип информация е дълбоко лична. Записите, свързани с психични състояния, лечение на злоупотреба с вещества или психиатрични диагнози, могат да повлияят на перспективите за работа, определянето на попечителство над деца, допустимостта за застраховане и личните взаимоотношения, ако бъдат разкрити. За разлика от откраднат номер на кредитна карта, не може просто да анулирате своята психиатрична история.

Второ, поведенческите здравни досиета често носят допълнителна правна защита извън стандартните правила на HIPAA. В много щати записите за лечение на разстройства, свързани с употреба на вещества, попадат под 42 CFR Part 2, федерална наредба, изискваща по-стриктно съгласие за разкриване. Когато тези записи бъдат пробити, правните и личните последици могат да бъдат значително по-сложни от типичното излагане на здравни данни.

Трето, злонамерените участници знаят какъв лост предоставят тези данни. Психиатрични записи могат да се използват за целево изнудване, застрахователни измами и атаки със социално инженерство, предназначени да експлоатират уязвими лица, които вече може да се справят с трудни лични обстоятелства.

Как незащитеният достъп до здравни портали излага пациентите на риск

Здравните портали, уебсайтовете и приложенията, насочени към пациентите и използвани за достъп до досиета, насрочване на прегледи и комуникация с доставчици на услуги, се разшириха бързо. Удобството често изпреварва сигурността. Когато пациентите имат достъп до тези портали през незащитени обществени Wi-Fi мрежи, в кафенета, библиотеки или летища, те излагат своите данни за сесии, идентификационни данни за вход и поведение при сърфиране на потенциално прихващане.

Това е мястото, където криптирането и виртуалните частни мрежи (VPN) стават пряко релевантни. VPN криптира връзката между вашето устройство и интернет, което прави значително по-трудно за трета страна да прихване данни по време на предаване. Въпреки че VPN не може да предотврати пробив в сървърите на самата здравна организация, той защитава вашите идентификационни данни и сесийна активност от събиране на мрежово ниво, особено при споделени или незащитени връзки.

Освен използването на VPN, пациентите трябва да търсят HTTPS криптиране на всеки портал, който използват, да активират многофакторно удостоверяване, където се предлага, и да избягват повторното използване на пароли в различни здравни платформи и други акаунти. Credential stuffing, при което атакуващите използват изтекли двойки потребителско име и парола от един пробив, за да получат достъп до други услуги, е един от най-често срещаните начини, по които един инцидент каскадно води до множество компрометирания. Инциденти като пробива с рансъмуер на Beacon Mutual, засегнал 130 000 лица показват колко бързо компрометираните идентификационни данни могат да се разпространят в цяла организация.

Стъпки, които пациентите и персоналът могат да предприемат, за да защитят здравните си данни сега

Ако смятате, че може да сте засегнати от пробива в ViaQuest, или ако искате да укрепите общата си позиция за защита на здравните данни при пробив, следните стъпки си струва да предприемете незабавно.

Прегледайте внимателно известията за пробив. ViaQuest е задължена съгласно Правилото за уведомяване при пробив на HIPAA да информира засегнатите лица писмено. Прочетете внимателно тези известия, за да разберете точно какви данни са включени.

Поставете замразяване на кредита. Тъй като PII беше част от този пробив, замразете кредита си при всичките три основни бюра. Това предотвратява откриването на нови кредитни линии на ваше име без вашето изрично разрешение.

Наблюдавайте здравноосигурителната си сметка. Следете за искове, които не разпознавате, което може да сигнализира за медицинска кражба на самоличност. Свържете се незабавно с вашия застраховател, ако нещо изглежда непознато.

Използвайте VPN, когато имате достъп до здравни портали. Криптирането на връзката ви е основна предпазна мярка, особено ако често използвате обществени или споделени мрежи, за да управлявате здравните си акаунти.

Актуализирайте паролите и активирайте многофакторно удостоверяване. Променете паролите на всеки акаунт, който е споделял идентификационни данни с услуги, свързани с ViaQuest, и активирайте MFA навсякъде, където е възможно.

Поискайте копие от вашите записи. Съгласно HIPAA имате право на достъп до вашите здравни досиета. Преглеждането им може да ви помогне да идентифицирате всякакви неразрешени модификации или разкривания.

Какво означава това за вас

Пробивът във ViaQuest може да изглежда малък в сравнение с инциденти, засягащи стотици хиляди хора, но чувствителността на психиатричните и поведенческите здравни данни означава, че личното въздействие за всяко засегнато лице може да бъде непропорционално високо. Здравните организации съхраняват някои от най-интимните сведения за нашия живот и пробивите в този сектор рядко остават ограничени до една точка на вреда.

Тъй като доставчиците на здравни услуги продължават да преместват услугите онлайн, пациентите носят по-голяма отговорност да се защитават по време на предаване. Използването на VPN при достъп до пациентски портали, изборът на силни уникални идентификационни данни и бдителността за опити за фишинг, които използват вашите здравни детайли като примамка, са практически навици, които намаляват експозицията ви, независимо от това какво прави или не прави дадена организация от своя страна.

Отделете няколко минути тази седмица, за да прегледате настройките за сигурност на всеки здравен портал, който използвате. Усилието е малко в сравнение с разходите за възстановяване от кражба на самоличност или разкриването на най-личната ви здравна история.