Únik dat společnosti Humana odhaluje zdravotní údaje v šesti státech

Únik dat společnosti Humana odhaluje citlivé zdravotní záznamy v šesti státech

Gigant zdravotního pojištění Humana zveřejnil únik dat, který se dotýká zákazníků v Texasu, Floridě, Georgii, Severní Karolíně, Ohiu a Virginii. Kompromitované informace patří k nejcitlivějším datům, která mohou být o člověku odhalena: čísla sociálního pojištění, záznamy o lékařském vyúčtování a nárocích, data poskytnutých služeb a jména poskytovatelů péče. Únik již vyvolal hromadnou žalobu a následky jsou teprve v počátcích.

Pro postižené zákazníky to není jen nepříjemnost. Kombinace čísel sociálního pojištění a podrobných zdravotních záznamů vytváří profil, který může být po celé roky od prvotního odhalení zneužíván ke krádeži identity, zdravotním podvodům a finančním podvodům.

Jak k úniku dat došlo

Podle zveřejněných informací nebyl únik výsledkem přímého útoku na základní systémy společnosti Humana. Místo toho útočníci získali přístup k zákaznickým datům prostřednictvím zranitelnosti v softwaru dodavatele. Jedná se o stále běžnější způsob útoku: namísto přímého útoku na velkou a dobře chráněnou organizaci útočníci naleznou slabší článek v dodavatelském řetězci.

Hromadná žaloba podaná v reakci na únik dat tvrdí, že společnost Humana nedostatečně šifrovala nebo chránila informace o pacientech. Pokud je to pravda, znamená to, že data byla potenciálně dostupná v podobě, kterou mohli útočníci přímo číst a využívat, nikoli v zašifrovaném formátu, který by je bez dešifrovacího klíče učinil nepoužitelnými.

Tento rozdíl je zásadní. Šifrování není dokonalou ochranou, ale je ochranou klíčovou. Jsou-li citlivá data řádně zašifrována, prolomení úrovně ukládání nebo přenosu dat automaticky neznamená, že jsou data kompromitována. Pokud šifrování chybí nebo je nedostatečné, jediná zranitelnost může odhalit miliony záznamů v použitelné podobě.

Jaký druh dat byl odhalen

Rozsah kompromitovaných informací si zaslouží bližší pozornost. Data o lékařském vyúčtování a nárocích nejsou jen záznamem o tom, kolik osoba dluží nebo zaplatila. Obsahují podrobnosti o diagnózách, léčbě a poskytovatelích péče, které mnoho lidí považuje za hluboce soukromé. V kombinaci s číslem sociálního pojištění lze tyto informace využít k:

• Podání podvodných daňových přiznání
• Otevření nových úvěrových linek
• Podání falešných nároků na zdravotní pojištění
• Vydávání se za pacienty ve zdravotnickém prostředí

Tento typ kombinovaného odhalení je v kontextu krádeže identity někdy označován jako profil „fullz", což znamená, že útočník má dostatek informací k tomu, aby se efektivně vydával za jinou osobu v rámci více systémů a institucí.

Co to znamená pro vás

Pokud jste zákazníkem společnosti Humana, zejména v šesti postižených státech, je prvním krokem ověřit, zda jste obdrželi dopis s oznámením o úniku dat. Společnosti, které zažijí únik dat, jsou obecně povinny informovat postižené osoby, přičemž načasování a úplnost těchto oznámení se liší.

Kromě čekání na oficiální komunikaci existují konkrétní kroky, které stojí za to podniknout nyní:

Zablokujte svůj úvěrový profil. Kontaktování tří hlavních úvěrových úřadů (Equifax, Experian a TransUnion) za účelem zmrazení vašeho úvěru zabrání otevírání nových účtů na vaše jméno bez vašeho výslovného souhlasu. Je to bezplatné, reverzibilní a jde o jednu z nejúčinnějších dostupných ochran po úniku dat.

Sledujte své zdravotní záznamy. Krádež zdravotní identity může zůstat dlouho neodhalena. Pravidelně kontrolujte výpisy o vyúčtování od vaší pojišťovny a periodicky si vyžádejte kopii svých zdravotních záznamů, abyste zkontrolovali případné neznámé záznamy.

Buďte ostražití vůči pokusům o phishing. Útočníci, kteří získají osobní data z úniků, často navazují cílenými phishingovými e-maily nebo telefonními hovory, které využívají skutečné údaje, aby vypadaly věrohodně. Buďte skeptičtí vůči nevyžádanému kontaktu, který odkazuje na vaše pojištění nebo zdravotní historii.

Zvažte služby sledování identity. Mnoho společností nabízí sledování identity, které vás upozorní, když se vaše informace objeví v nových úvěrových dotazech, databázích datových zprostředkovatelů nebo známých úložištích úniků dat.

Širší pohled na rizika třetích stran

Únik dat společnosti Humana připomíná, že vaše osobní data jsou jen tak bezpečná, jako nejslabší systém, kterým procházejí. Velké organizace běžně sdílejí data s desítkami nebo stovkami dodavatelů, přičemž každý z nich představuje potenciální bod odhalení. Zdravotnictví, pojišťovnictví a finanční instituce zpracovávají jedny z nejcitlivějších osobních dat vůbec, a regulační požadavky týkající se těchto dat, přestože jsou významné, zjevně nestačily k tomu, aby zabránily takovým incidentům, jako je tento.

Jako spotřebitel nemůžete ovlivnit, jak vaše pojišťovna spravuje své vztahy s dodavateli. Co ovlivnit můžete, je rychlost vaší reakce, když se něco pokazí, a počet vrstev ochrany, které kolem svých účtů a identity vytvoříte.

Únik dat společnosti Humana je závažný incident, který potenciálně postihuje tisíce lidí v šesti státech. Pokud byly vaše informace odhaleny, rychlé a systematické jednání vám dává nejlepší šanci omezit škody. A bez ohledu na to, zda jste byli přímo postiženi, tento případ je užitečnou připomínkou, abyste ke svým osobním datům přistupovali jako ke zdroji, který stojí za aktivní ochranu, a ne jen jako k něčemu, co pasivně existuje v rukou institucí, kterým důvěřujete.