Humana-databrud afslører sundhedsdata i seks stater

Humana-databrud afslører følsomme sundhedsoplysninger på tværs af seks stater

Sundhedsforsikringsgiganten Humana har offentliggjort et databrud, der rammer kunder i Texas, Florida, Georgia, North Carolina, Ohio og Virginia. De kompromitterede oplysninger omfatter noget af det mest følsomme data, en person kan få eksponeret: CPR-numre, medicinske fakturerings- og kravsdokumenter, behandlingsdatoer og navne på behandlere. Bruddet har allerede udløst et gruppesøgsmål, og konsekvenserne er sandsynligvis kun lige begyndt at vise sig.

For berørte kunder er dette mere end en ulempe. En kombination af CPR-numre og detaljerede medicinske oplysninger skaber en profil, der kan udnyttes til identitetstyveri, medicinsk svindel og økonomiske svindelnumre i årevis efter den oprindelige eksponering.

Sådan skete bruddet

Ifølge den offentliggjorte meddelelse var bruddet ikke resultatet af et direkte angreb på Humanas centrale systemer. I stedet fik angriberne adgang til kundedata via en sårbarhed i en leverandørs software. Dette er en stadig mere udbredt angrebsmetode: frem for at angribe en stor og velforsvaret organisation direkte finder angriberne et svagere led i forsyningskæden.

Det gruppesøgsmål, der blev indgivet som reaktion på bruddet, hævder, at Humana undlod at kryptere eller beskytte patientoplysninger tilstrækkeligt. Hvis dette er korrekt, betyder det, at dataene potentielt var tilgængelige i en form, som angriberne direkte kunne læse og anvende, frem for i et krypteret format, der ville gøre dem ubrugelige uden en dekrypteringsnøgle.

Denne sondring er vigtig. Kryptering er ikke et perfekt forsvar, men det er et afgørende et. Når følsomme data er korrekt krypterede, betyder et brud på lagrings- eller overføringslaget ikke automatisk, at dataene er kompromitterede. Når kryptering er fraværende eller utilstrækkelig, kan én enkelt sårbarhed eksponere millioner af oplysninger i en brugbar form.

Hvilken type data blev eksponeret

Omfanget af de kompromitterede oplysninger fortjener nærmere opmærksomhed. Medicinske fakturerings- og kravsdokumenter er ikke blot en registrering af, hvad en person skylder eller har betalt. De indeholder detaljer om diagnoser, behandlinger og behandlere, som mange mennesker betragter som dybt private. Kombineret med et CPR-nummer kan disse oplysninger bruges til at:

• Indgive falske selvangivelser
• Oprette nye kreditlinjer
• Indgive falske forsikringskrav
• Udgive sig for at være patienter i sundhedsmæssige sammenhænge

Denne type kombineret eksponering kaldes i sammenhænge med identitetstyveri nogle gange en "fullz"-profil, hvilket betyder, at en angriber har tilstrækkelige oplysninger til effektivt at udgive sig for at være en anden på tværs af flere systemer og institutioner.

Hvad dette betyder for dig

Hvis du er Humana-kunde, særligt i de seks berørte stater, er det første skridt at kontrollere, om du har modtaget et brudnotifikationsbrev. Virksomheder, der oplever databrud, er generelt forpligtet til at underrette berørte personer, selvom timingen og fuldstændigheden af disse notifikationer varierer.

Udover at afvente officiel kommunikation er der konkrete skridt, det er værd at tage nu:

Indfør en kreditspærring. At kontakte de tre store kreditbureauer (Equifax, Experian og TransUnion) for at spærre din kredit forhindrer, at nye konti åbnes i dit navn uden din udtrykkelige godkendelse. Det er gratis, kan ophæves og er en af de mest effektive beskyttelsesforanstaltninger, der er tilgængelige efter et databrud.

Overvåg dine medicinske oplysninger. Medicinsk identitetstyveri kan gå ubemærket hen i lang tid. Gennemgå dine fordelsoversigter fra dit forsikringsselskab, og anmod periodisk om en kopi af dine medicinske journaler for at tjekke for ukendte registreringer.

Vær opmærksom på phishingforsøg. Angribere, der skaffer personlige oplysninger fra databrud, følger ofte op med målrettede phishing-e-mails eller telefonopkald, der bruger rigtige detaljer til at fremstå legitime. Vær skeptisk over for uopfordret kontakt, der refererer til din forsikring eller din medicinske historik.

Overvej identitetsovervågningstjenester. Mange virksomheder tilbyder identitetsovervågning, der advarer dig, når dine oplysninger dukker op i nye kreditforespørgsler, dataformidlerdatabaser eller kendte brudarkiver.

Det større billede om risici ved tredjepartsleverandører

Humana-bruddet er en påmindelse om, at dine personlige data kun er så sikre som det svageste system, de passerer igennem. Store organisationer deler rutinemæssigt data med snesevis eller hundredvis af leverandører, og hver af dem udgør et potentielt eksponeringspunkt. Sundhedspleje, forsikring og finansielle institutioner håndterer noget af det mest følsomme persondata, der eksisterer, og de lovgivningsmæssige krav til disse data har – selvom de er betydelige – tydeligvis ikke været tilstrækkelige til at forhindre hændelser som denne.

Som forbruger kan du ikke kontrollere, hvordan dit forsikringsselskab håndterer sine leverandørrelationer. Det, du kan kontrollere, er, hvor hurtigt du reagerer, når noget går galt, og hvor mange beskyttelseslag du placerer omkring dine egne konti og din identitet.

Humana-databruddet er en alvorlig hændelse, der potentielt rammer tusindvis af mennesker på tværs af seks stater. Hvis dine oplysninger blev eksponeret, giver hurtig og metodisk handling dig den bedste chance for at begrænse skaden. Og uanset om du er direkte berørt eller ej, er denne sag en nyttig påmindelse om at betragte dine personlige data som en ressource, der er værd aktivt at beskytte – ikke blot noget, der passivt eksisterer i hænderne på institutioner, du stoler på.