Únik dat společnosti iRhythm v červnu 2024: Co by měli vědět kardiologičtí pacienti

Únik dat společnosti iRhythm v červnu 2024: Co by měli vědět kardiologičtí pacienti

Společnost iRhythm Technologies, výrobce zdravotnických prostředků známý zejména svými srdečními monitorovacími náplastmi Zio, oznámila kyberbezpečnostní incident související s útokem z června 2024. Únik spočíval v neoprávněném přístupu k datům uloženým v určitých podnikových aplikacích hostovaných třetími stranami, což vyvolává vážné otázky ohledně zabezpečení citlivých zdravotních informací v digitálních ekosystémech podporujících moderní zdravotnické prostředky.

Toto oznámení řadí společnost iRhythm na rostoucí seznam zdravotnických firem, které čelily neoprávněným průnikům nikoli skrze své klíčové klinické systémy, nýbrž prostřednictvím sítě dodavatelů a cloudových platforem, jež je obklopují.

Co se stalo při incidentu v červnu 2024

Podle zveřejněných informací společnost iRhythm odhalila neoprávněnou aktivitu ovlivňující data uložená v podnikových aplikacích hostovaných třetími stranami. Po zjištění úniku aktivovala svůj plán reakce na kybernetické incidenty. Veřejně dostupné zprávy uvádějí, že útok byl identifikován 8. června 2024 a formální oznámení následovalo krátce poté.

Mezi informace, které mohly být při úniku odhaleny, patří citlivé osobní a lékařské údaje: čísla sociálního pojištění (Social Security numbers), čísla zdravotnické dokumentace, diagnostické informace a podrobnosti o zdravotním pojištění. Pro kardiologické pacienty to není pouze otázka ochrany soukromí. Jedná se o finanční riziko a riziko zneužití lékařské identity. Ukradené zdravotní záznamy lze použít k podvodnému účtování pojišťovnám, získání léků na předpis nebo otevírání úvěrových linek.

Není to poprvé, co se společnost iRhythm setkala s útočníky zaměřujícími se na data jejích pacientů. Později byla zasažena samostatným ransomwarovým útokem v roce 2025, který zahrnoval sociální inženýrství a požadavek výkupného, což naznačuje, že společnost zůstává trvalým terčem kyberzločinců, kteří považují údaje srdečních pacientů za obzvláště cenné.

Proč zdravotnické IoT přístroje vytvářejí jedinečná rizika pro soukromí

Snímací náplast Zio je vzdálené monitorovací zařízení EKG, které přenáší klinické údaje prostřednictvím připojené infrastruktury. Právě tato konektivita jej činí užitečným pro lékaře a zároveň vytváří zranitelnost pro pacienty. Samotný přístroj nemusí být slabým místem; platformy třetích stran, které data generovaná těmito zařízeními ukládají, přenášejí nebo zpracovávají, mohou přinášet zranitelnosti, jež plně nekontroluje ani pacient, ani jeho lékař.

Tento model je běžný napříč připojenými zdravotnickými přístroji. Čím více kontaktních bodů existuje mezi hrubými zdravotními údaji pacienta a konečnou klinickou zprávou, tím více příležitostí má neoprávněná strana k zachycení nebo úniku těchto informací. Regulační rámce, jako je HIPAA, vyžadují, aby dotčené subjekty a jejich obchodní partneři udržovali bezpečnostní opatření, avšak soulad s předpisy se nerovná skutečné bezpečnosti a audity často zaostávají za reálnými metodami útoků.

Zdravotnické organizace čelí stupňujícímu se tlaku ze strany kyberzločinců přinejmenším od velkého narušení ve společnosti Change Healthcare počátkem roku 2024, které ukázalo, jak silně je dodavatelský řetězec ve zdravotnictví propojen. Poskytovatelé srdečního monitorování, jako je iRhythm, se nacházejí ve stejném ekosystému.

Co to pro vás znamená

Pokud jste současným nebo bývalým pacientem společnosti iRhythm, mohly být vaše údaje při tomto incidentu vystaveny. I když jste dosud neobdrželi oficiální oznámení, vyplatí se přijmout preventivní opatření nyní, nikoli čekat.

Zaprvé si zkontrolujte výpisy vysvětlení plnění (Explanation of Benefits) od své zdravotní pojišťovny a ověřte, zda neobsahují služby nebo předpisy, které jste neobdrželi. Krádež lékařské identity často zůstává neodhalena měsíce, protože oběti jen zřídkakdy kontrolují své pojistné záznamy tak pečlivě jako bankovní výpisy.

Zadruhé zvažte zablokování úvěru (credit freeze) u hlavních úvěrových registrů. Číslo sociálního pojištění v kombinaci s údaji ze zdravotnické dokumentace stačí k otevření nových úvěrových linek na vaše jméno.

Zatřetí buďte opatrní, jak přistupujete k osobním zdravotním záznamům online. Přihlašování do pacientských portálů přes nezabezpečené veřejné Wi-Fi sítě vystavuje vaši relaci odposlechu. Použití sítě VPN při přístupu k jakémukoli zdravotnickému portálu přidává vrstvu šifrování mezi vaše zařízení a síť, čímž snižuje riziko, že třetí strana ve stejné síti může sledovat vaši aktivitu nebo zachytit přihlašovací údaje.

A konečně, dávejte si pozor na phishingové pokusy. Po úniku dat útočníci často používají ukradené údaje k vytváření přesvědčivých následných podvodů. E-mail, který odkazuje na vašeho skutečného poskytovatele zdravotní péče nebo pojišťovnu, nemusí být nutně legitimní.

Konkrétní doporučení

• Zkontrolujte své pojistné záznamy a hledejte podvodné nároky sahající do poloviny roku 2024.
• Pokud mohlo být vaše číslo sociálního pojištění odhaleno, zablokujte si úvěr u společností Equifax, Experian a TransUnion.
• Používejte VPN vždy, když se přihlašujete do pacientského portálu nebo platformy se zdravotními záznamy, zejména v mobilních zařízeních nebo ve veřejných sítích.
• Povolte vícefaktorové ověřování u všech zdravotnických a pojišťovacích účtů, které jej podporují.
• Buďte obezřetní vůči jakékoli komunikaci, která v příštích týdnech zmiňuje iRhythm, vaši kardiologickou péči nebo vaše zdravotní pojištění.

Únik dat společnosti iRhythm z června 2024 je jasnou připomínkou, že osobní údaje generované propojenými zdravotnickými přístroji nezůstávají úhledně uvnitř těchto přístrojů. Pacienti, kteří používají nástroje pro vzdálené monitorování, mají právo vědět, jak jsou jejich data ukládána, kdo k nim má přístup a jaká ochranná opatření platí, když jsou tyto systémy kompromitovány. Zůstat informován a podnikat proaktivní kroky zůstává nejúčinnější obranou, kterou jednotlivci zasažení úniky, jimž nemohli zabránit, mají k dispozici.