Kolik lidí bylo postiženo únikem dat NYC Health and Hospitals Corporation?

Únik zasáhl 1,8 milionu osob spojených s korporací New York City Health and Hospitals Corporation. Původ incidentu spočíval v kompromitaci externího dodavatele třetí strany, nikoli v přímém útoku na nemocniční systémy.

Jaký typ dat byl odhalen při úniku v Erie Family Health Centers?

Únik v Erie Family Health Centers odhalil osobní identifikátory, zdravotní informace a finanční údaje. Tato kombinace činí oběti mimořádně zranitelnými vůči několika formám podvodu současně.

Co je sledovač úniků HHS a proč je důležitý?

Portál HHS pro sledování úniků je veřejný rejstřík provozovaný v rámci pravidla HIPAA o oznamování narušení bezpečnosti, který eviduje závažné incidenty týkající se zdravotnických dat postihující 500 nebo více osob. Když se v něm objeví nové záznamy, naznačuje to, že postižené organizace splnily své povinné oznamovací povinnosti.

Proč jsou odcizené zdravotnické záznamy považovány za nebezpečnější než odcizené informace o kreditních kartách?

Na rozdíl od čísla kreditní karty obsahují zdravotnická data informace, které nelze změnit, například čísla sociálního pojištění, data narození a historii diagnóz. Krádež zdravotní identity také bývá měsíce nebo roky neodhalena, čímž se škody stávají rozsáhlými a jejich náprava obtížnou.

Kolik lidí bylo postiženo únikem dat v Erie Family Health Centers?

Únik v Erie Family Health Centers ohrozil záznamy přibližně 570 000 osob. Erie Family Health Centers je federálně kvalifikované zdravotní středisko sloužící nízkopříjmovým komunitám ve státě Illinois.

Únik 1,8 milionu záznamů NYC Health patří mezi nové incidenty zaznamenané HHS

Sledovač úniků dat amerického Ministerstva zdravotnictví a sociálních služeb (HHS) přidal do svého veřejného protokolu několik závažných úniků zdravotnických dat. Největší z nich zasáhl 1,8 milionu osob spojených s korporací New York City Health and Hospitals Corporation. Samostatný incident v Erie Family Health Centers ohrozil osobní, zdravotní a finanční záznamy dalších 570 000 lidí. Tyto incidenty společně zdůrazňují přetrvávající a narůstající rizika pro soukromí spojená s úniky zdravotnických dat, jimž miliony Američanů čelí pokaždé, když navštíví poskytovatele zdravotní péče.

Co sledovač úniků HHS o těchto incidentech odhaluje

Portál HHS pro sledování úniků, provozovaný v rámci pravidla HIPAA o oznamování narušení bezpečnosti, funguje jako veřejný rejstřík závažných incidentů týkajících se zdravotnických dat, které postihují 500 nebo více osob. Když se v něm objeví nové záznamy, signalizuje to, že postižené organizace splnily své povinné oznamovací povinnosti – někdy i měsíce po samotném úniku.

Záznam o NYC Health and Hospitals Corporation je pozoruhodný ze dvou důvodů: svým rozsahem a svým původem. Únik nepochází z přímého útoku na nemocniční systémy, ale z kompromitace třetí strany – externího dodavatele. Erie Family Health Centers, federálně kvalifikované zdravotní středisko sloužící nízkopříjmovým komunitám ve státě Illinois, oznámilo, že jeho únik odhalil obzvláště citlivou kombinaci typů dat, včetně osobních identifikátorů, zdravotních informací a finančních údajů. Tato trojice činí oběti mimořádně zranitelnými vůči několika formám podvodu současně.

Proč jsou zdravotnické záznamy nebezpečnější než většina jiných odcizených dat

Odcizené číslo kreditní karty je nepříjemné, ale lze ji zablokovat během několika minut. Odcizený zdravotní záznam je zcela jinou záležitostí. Zdravotnická data obsahují informace, které nelze změnit: data narození, čísla sociálního pojištění, čísla pojistných smluv, historii diagnóz a záznamy o předepsaných lécích. Na podzemních trzích dosahují kompletní zdravotní profily běžně mnohem vyšších cen než standardní finanční přihlašovací údaje.

Nebezpečí se stupňuje tím, že krádež zdravotní identity bývá měsíce nebo i roky neodhalena. Zloděj, který využije odcizené pojistné údaje k získání léků na předpis nebo k podání podvodných pojistných nároků, nezanechá na bankovním účtu oběti zpravidla žádné bezprostřední stopy. V době, kdy podvod vyjde najevo – prostřednictvím zamítnuté pojistné pohledávky nebo neočekávaného zdravotního účtu – jsou škody již rozsáhlé a jejich náprava je obtížná.

Zdravotnické záznamy také vytvářejí páku pro cílené phishingové útoky. Útočník, který zná jméno vašeho lékaře, vaše nedávné diagnózy a vašeho pojišťovnu, dokáže sestavit přesvědčivé zprávy, jež překonají skepticismus, který většina lidí uplatňuje vůči obecným podvodným e-mailům.

Jak se třetí strany staly nejslabším článkem v ochraně soukromí pacientů

Únik dat NYC Health odpovídá vzoru, který dominuje bezpečnostním incidentům ve zdravotnictví již několik let. Nemocnice a zdravotnické systémy se spoléhají na husté ekosystémy softwarových dodavatelů, zpracovatelů fakturace, platforem pro telemedicínu, nástrojů pro plánování schůzek a analytických firem. Každá z těchto třetích stran získává přístup k datům pacientů za účelem plnění smluvních funkcí a každá představuje další povrch útoku, který zdravotnická organizace sama plně nekontroluje.

Regulační rámce vyžadují, aby pokryté subjekty uzavíraly se svými dodavateli smlouvy o obchodních partnerech (Business Associate Agreements), které stanoví povinnosti v oblasti ochrany dat. Tyto smlouvy však automaticky neznamenají srovnatelnou úroveň zabezpečení. Velké akademické zdravotní centrum může mít vyspělý bezpečnostní program, zatímco softwarový dodavatel pro plánování schůzek, kterého využívá, funguje s mnohem menší mírou kontroly.

Tato dynamika není výhradní pro zdravotnictví. Zranitelnosti na úrovni serverů napříč odvětvími pravidelně odhalují data uchovávaná dodavateli, nikoli primárními organizacemi, jimž pacienti nebo zákazníci důvěřují. Pochopení toho, že vaše data putují daleko za zdi ordinace vašeho lékaře, je klíčovou součástí správy vlastní expozice v oblasti soukromí. Více o tom, jak zranitelnosti na úrovni infrastruktury ovlivňují data ve velkém měřítku, si můžete přečíst v článku o exploitu cPanel obcházejícím autentizaci, který zasáhl desítky tisíc serverů, který ilustruje, jak může jediná chyba v široce sdíleném softwaru postihnout tisíce organizací najednou.

Praktické kroky k ochraně soukromí pro pacienty komunikující s poskytovateli online

Přestože jednotliví pacienti nemohou auditovat vztahy svého poskytovatele s dodavateli, existují konkrétní kroky, které snižují expozici a zlepšují vaši schopnost odhalit podvod včas.

Za prvé, pravidelně si vyžádejte kopii svých zdravotních záznamů. Jejich kontrola vám umožní odhalit neznámé výkony, léky na předpis nebo jména poskytovatelů, které by mohly naznačovat, že někdo využil vaší identity k získání zdravotní péče. Podle zákona HIPAA máte právo na přístup ke svým záznamům a většina poskytovatelů je povinna vaší žádosti vyhovět do 30 dnů.

Za druhé, kontaktujte svou zdravotní pojišťovnu a požádejte o přehled provedených úhrad (Explanation of Benefits) za uplynulý rok. Jakékoli pohledávky, které nepoznáváte, si zaslouží okamžité prošetření. Mnohé pojišťovny nyní nabízejí bezplatná upozornění na sledování neobvyklé aktivity pohledávek.

Za třetí, zvažte zmrazení úvěru u všech tří hlavních úvěrových úřadů. Krádež zdravotní identity často vede k exekucím a podvodným úvěrovým linkám, přičemž zmrazení brání otevření nových účtů na vaše jméno bez vašeho výslovného souhlasu.

Za čtvrté, používejte jedinečná, silná hesla pro veškeré účty na pacientských portálech, jako jsou ty, které slouží k zobrazení výsledků laboratorních testů nebo k objednávání schůzek. Tyto portály obsahují vysoce citlivé záznamy, přesto jsou často chráněny pouze slabými přihlašovacími údaji, které pacienti opakovaně používají i u jiných služeb. Používání vyhrazené e-mailové adresy pro zdravotnické účty také omezuje rozsah škod v případě kompromitace jednoho z vašich ostatních účtů.

A konečně, sledujte širší regulační a legislativní prostředí, které určuje způsob nakládání s vašimi daty. Nedávná legislativa na úrovni jednotlivých států zaměřená na digitální soukromí, jako je například utahský zákon SB 73 o ověřování věku, odráží rostoucí povědomí zákonodárců o tom, že online toky dat vyžadují přísnější zábrany. Sledování vývoje těchto politik vám může pomoci pochopit, jaká ochrana vašich informací existuje a jaká nikoli.

Co to znamená pro vás

Přidání těchto úniků do sledovače HHS je připomínkou, že rizika pro soukromí spojená s úniky zdravotnických dat nejsou hypotetická. Miliony lidí měly citlivé záznamy vystaveny jen v těchto dvou incidentech a sledovač eviduje stovky incidentů ročně.

Vaše nejúčinnější nástroje jsou monitorování, včasné odhalení a omezení zbytečného sdílení dat kdykoli je to možné. Ptejte se svých poskytovatelů, kteří dodavatelé třetích stran dostávají vaše data a za jakými účely. Pravidelně kontrolujte své záznamy a výpisy pojistného. A zacházejte s přihlašovacími údaji ke svému pacientskému portálu se stejnou vážností, jakou věnujete svým finančním účtům. Tyto kroky nezabrání tomu, aby byl dodavatel napaden, ale výrazně zvyšují vaše šance na odhalení podvodu dříve, než způsobí trvalé škody.