Únik dat z ViaQuest Psychiatric odhaluje PII a PHI 6 420 pacientů

Únik dat z ViaQuest Psychiatric odhaluje PII a PHI 6 420 pacientů

Společnost ViaQuest Psychiatric & Behavioral Solutions oznámila únik dat, který se týká nejméně 6 420 současných i bývalých pacientů a zaměstnanců. Incident odhalil jak osobně identifikovatelné informace (PII), tak chráněné zdravotní informace (PHI), čímž tisíce lidí vystavil zvýšenému riziku krádeže identity, diskriminace a finančních podvodů. Pro každého, kdo někdy vyhledal behaviorální zdravotní péči, je tento únik naléhavou připomínkou, že ochrana soukromí při úniku zdravotních údajů již není volitelná.

Co únik dat z ViaQuest odhalil a koho se týká

Potvrzený únik ve společnosti ViaQuest Psychiatric & Behavioral Solutions zahrnoval dvě kategorie kompromitovaných dat: PII, která obvykle zahrnují jména, adresy, data narození a čísla sociálního pojištění, a PHI, která pokrývají diagnózy, záznamy o léčbě, léky a historii objednání. Kombinace obou typů v jediném úniku je obzvláště nebezpečná.

Dotčené osoby zahrnují současné i bývalé pacienty a zaměstnance, což znamená, že únik se neomezuje pouze na ty, kteří aktivně čerpají péči. Bývalí pacienti, kteří vyhledali léčbu před lety, mohou stále zjistit, že jejich záznamy jsou v ohrožení. Zaměstnanci čelí vlastním rizikům, včetně krádeže přihlašovacích údajů nebo cíleného phishingu využívajícího jejich pracovní údaje.

Tento incident navazuje na trend pozorovaný napříč zdravotnickým sektorem. Případ úniku dat ve společnosti OpenLoop Health, který odhalil zdravotní údaje 716 000 pacientů, je vysoce sledovaným příkladem toho, jak se platformy pro telemedicínu a behaviorální zdraví staly hlavním cílem kyberzločinců usilujících o zpeněžení citlivých záznamů.

Proč jsou psychiatrické záznamy a záznamy o behaviorálním zdraví obzvláště citlivé

Ne všechny zdravotní záznamy mají stejnou váhu. Psychiatrická data a data o behaviorálním zdraví spadají z několika důvodů do jedinečně vysoce rizikové kategorie.

Za prvé, tento typ informací je hluboce osobní. Záznamy týkající se duševních poruch, léčby závislostí nebo psychiatrických diagnóz mohou v případě vyzrazení ovlivnit pracovní příležitosti, rozhodování o svěření dítěte do péče, pojistitelnost i osobní vztahy. Na rozdíl od odcizeného čísla kreditní karty nelze psychiatrickou historii jednoduše zrušit.

Za druhé, záznamy o behaviorálním zdraví často požívají dodatečné právní ochrany nad rámec standardních pravidel HIPAA. V mnoha státech spadají záznamy o poruchách způsobených užíváním návykových látek pod 42 CFR Part 2, federální nařízení vyžadující přísnější souhlas se zpřístupněním. Pokud dojde k jejich úniku, mohou být právní a osobní následky podstatně složitější než u běžného odhalení zdravotnických údajů.

Za třetí, zločinci si uvědomují, jakou páku jim tato data poskytují. Psychiatrické záznamy lze využít k cílenému vydírání, pojistným podvodům a útokům sociálního inženýrství, jejichž cílem je zneužít zranitelné osoby, které se již potýkají s obtížnými životními situacemi.

Jak nechráněný přístup ke zdravotním portálům ohrožuje pacienty

Zdravotnické portály, tedy webové stránky a aplikace pro pacienty sloužící k přístupu k záznamům, objednávání schůzek a komunikaci s poskytovateli péče, se rychle rozšířily. Pohodlí často předstihlo zabezpečení. Když pacienti přistupují k těmto portálům prostřednictvím nezabezpečených veřejných Wi-Fi sítí v kavárnách, knihovnách nebo na letištích, vystavují data své relace, přihlašovací údaje a chování na internetu možnému odposlechu.

Zde přichází ke slovu šifrování a virtuální privátní sítě (VPN). VPN šifruje spojení mezi vaším zařízením a internetem, což výrazně ztěžuje třetí straně odposlech přenášených dat. I když VPN nemůže zabránit úniku dat na serverech samotné zdravotnické organizace, chrání vaše přihlašovací údaje a aktivitu relace před zachycením na síťové úrovni, zejména na sdílených nebo nezabezpečených připojeních.

Nad rámec používání VPN by se pacienti měli ujistit, že portál, který používají, využívá šifrování HTTPS, zapnout vícefaktorové ověřování všude, kde je k dispozici, a nepoužívat stejná hesla na zdravotnických platformách i jiných účtech. Útoky typu credential stuffing, při nichž útočníci využívají uniklé dvojice uživatelských jmen a hesel z jednoho úniku k získání přístupu k dalším službám, jsou jedním z nejčastějších způsobů, jak se jediný incident lavinovitě promění v několik kompromitovaných účtů. Incidenty, jako byl ransomwarový útok na Beacon Mutual, který zasáhl 130 000 osob, ukazují, jak rychle se kompromitované přihlašovací údaje mohou šířit napříč organizací.

Kroky, které mohou pacienti a zaměstnanci nyní podniknout k ochraně svých zdravotních údajů

Pokud se domníváte, že se vás únik dat ve ViaQuest mohl dotknout, nebo chcete celkově posílit svou ochranu soukromí při úniku zdravotních údajů, vyplatí se okamžitě podniknout následující kroky.

Pečlivě si prostudujte oznámení o úniku. Společnost ViaQuest musí podle pravidla HIPAA o oznamování úniků písemně informovat dotčené osoby. Tato oznámení si důkladně přečtěte, abyste přesně porozuměli, jaké údaje byly zasaženy.

Zablokujte si úvěrový profil. Protože součástí úniku byly i osobně identifikovatelné informace, zablokujte si úvěrový profil u všech tří hlavních úvěrových registrů. Tím zabráníte otevření nových úvěrových linek na vaše jméno bez vašeho výslovného souhlasu.

Sledujte svůj účet zdravotního pojištění. Všímejte si pojistných nároků, které nepoznáváte – mohou signalizovat krádež lékařské identity. Pokud se objeví něco neznámého, neprodleně kontaktujte svou pojišťovnu.

Při používání zdravotních portálů používejte VPN. Šifrování připojení je základním opatřením, zejména pokud ke správě svých zdravotnických účtů často používáte veřejné nebo sdílené sítě.

Aktualizujte hesla a zapněte vícefaktorové ověřování. Změňte hesla u všech účtů, které sdílely přihlašovací údaje se službami souvisejícími s ViaQuest, a kdekoli je to možné, aktivujte MFA.

Vyžádejte si kopii svých záznamů. Podle zákona HIPAA máte právo na přístup ke svým zdravotním záznamům. Jejich kontrola vám pomůže odhalit případné neoprávněné úpravy nebo zpřístupnění.

Co to pro vás znamená

Únik dat z ViaQuest se ve srovnání s incidenty postihujícími statisíce lidí může zdát malý, avšak citlivost psychiatrických údajů a údajů o behaviorálním zdraví znamená, že osobní dopad na jednotlivce může být nepřiměřeně vysoký. Zdravotnické organizace uchovávají jedny z nejdůvěrnějších informací o našich životech a úniky v tomto sektoru se jen zřídka omezí na jediné místo poškození.

S tím, jak poskytovatelé zdravotní péče pokračují v přesunu služeb do online prostředí, nesou pacienti větší odpovědnost za svou ochranu při přenosu dat. Používání VPN při přístupu na pacientské portály, volba silných a jedinečných přihlašovacích údajů a ostražitost vůči phishingovým pokusům, které jako návnadu využívají vaše zdravotní údaje, jsou praktické návyky, jež snižují vaši zranitelnost bez ohledu na to, co daná organizace udělá nebo neudělá.

Udělejte si tento týden několik minut na kontrolu bezpečnostních nastavení na všech zdravotních portálech, které používáte. Toto úsilí je malé ve srovnání s náklady na zotavení se z krádeže identity nebo z odhalení vaší nejintimnější zdravotní historie.