NYC Health 1,8 millioner registre brudt blandt nye HHS-registrerede hændelser

NYC Health 1,8 millioner registre brudt blandt nye HHS-registrerede hændelser

Det amerikanske sundhedsministeriums brudsporing har tilføjet flere betydelige sundhedsdatabrud til sin offentlige log, hvor det største berører 1,8 millioner personer tilknyttet New York City Health and Hospitals Corporation. En separat hændelse hos Erie Family Health Centers kompromitterede personlige, medicinske og finansielle oplysninger for yderligere 570.000 mennesker. Tilsammen understreger disse hændelser de vedvarende og voksende privatlivsrisici ved sundhedsdatabrud, som millioner af amerikanere står over for, hver gang de er i kontakt med en læge eller sundhedsudbyder.

Hvad HHS-brudssporingen afslører om disse hændelser

HHS-brudsportalen, som vedligeholdes under HIPAA's Breach Notification Rule, fungerer som et offentligt register over betydelige sundhedsdatahændelser, der berører 500 eller flere personer. Når nye indgange dukker op, signalerer det, at de berørte organisationer har opfyldt deres obligatoriske indberetningspligt – nogle gange måneder efter det oprindelige brud fandt sted.

Indgangen for NYC Health and Hospitals Corporation er bemærkelsesværdig af to grunde: dens rene omfang og dens oprindelse. Bruddet skyldtes ikke et direkte angreb på hospitalernes systemer, men en kompromittering af en tredjepartsleverandør. Erie Family Health Centers, et føderalt kvalificeret sundhedscenter, der betjener lavindkomstsamfund i Illinois, rapporterede, at dets brud eksponerede en særligt følsom kombination af datatyper, herunder personlige identifikatorer, medicinsk information og finansielle oplysninger. Denne trifecta gør ofre særligt sårbare over for flere former for svindel samtidigt.

Hvorfor sundhedsregistre er farligere end de fleste andre typer stjålne data

Et stjålet kreditkortnummer er frustrerende, men det kan annulleres på få minutter. Et stjålet sundhedsregister er en helt anden sag. Sundhedsdata indeholder oplysninger, der ikke kan ændres: fødselsdatoer, CPR-numre, forsikringspolice-numre, diagnosehistorik og receptposter. På undergrundsmarkeder opnår komplette medicinske profiler rutinemæssigt priser, der er langt højere end standardmæssige finansielle legitimationsoplysninger.

Faren forøges, fordi medicinsk identitetstyveri ofte forbliver uopdaget i måneder eller år. En tyv, der bruger stjålne forsikringsoplysninger til at få recepter eller indgive svigagtige krav, efterlader typisk ingen umiddelbare spor på ofrets bankkonto. Når svindlen dukker op via et afvist forsikringskrav eller en uventet regning fra en sundhedsudbyder, er skaden allerede omfattende og svær at gøre op.

Sundhedsregistre skaber også grundlag for målrettet phishing. En angriber, der kender dit lægenavn, dine seneste diagnoser og din forsikringsudbyder, kan udforme overbevisende kommunikation, der omgår den skepsis, de fleste mennesker anvender over for generiske svindelemails.

Hvordan tredjepartsleverandører er blevet det svageste led i patienternes privatliv

NYC Health-bruddet passer ind i et mønster, der har domineret sundhedssikkerhedshændelser i flere år. Hospitaler og sundhedssystemer er afhængige af tætte økosystemer af softwareleverandører, faktureringsprocessorer, telemedplatforme, bookingværktøjer til aftaler og dataanalysefirmaer. Hver af disse tredjeparter modtager adgang til patientdata for at udføre deres kontraktmæssige funktioner, og hver repræsenterer en yderligere angrebsflade, som sundhedsorganisationen selv ikke fuldt ud kontrollerer.

Regulatoriske rammer kræver, at dækkede enheder indgår Business Associate Agreements med leverandører, der fastlægger databeskyttelsesforpligtelser. Disse aftaler oversættes dog ikke automatisk til tilsvarende sikkerhedsniveauer. Et stort akademisk medicinsk center kan have et modent sikkerhedsprogram, mens den bookingsoftwareleverandør, det anvender, opererer med langt mindre kontrol.

Denne dynamik er ikke unik for sundhedssektoren. Serverniveausårbarheder på tværs af brancher eksponerer regelmæssigt data, der opbevares af leverandører snarere end af de primære organisationer, patienter eller kunder stoler på. At forstå, at dine data bevæger sig langt ud over væggene på din læges kontor, er en afgørende del af at håndtere din egen privatlivseksponering. Du kan læse mere om, hvordan infrastrukturelle sårbarheder påvirker data i stor skala, i dækningen af cPanel-autentificeringsomgåelsesudnyttelsen, der rammer titusindvis af servere, som illustrerer, hvordan en enkelt fejl i bredt delt software kan brede sig på tværs af tusindvis af organisationer samtidigt.

Praktiske privatlivstrin for patienter, der interagerer med udbydere online

Selvom individuelle patienter ikke kan revidere deres udbyders leverandørforhold, er der konkrete skridt, der reducerer eksponeringen og forbedrer din evne til at opdage svindel tidligt.

For det første, anmod periodisk om en kopi af dine sundhedsregistre. En gennemgang af dem giver dig mulighed for at opdage ukendte procedurer, recepter eller udbydernavn, der kan indikere, at nogen har brugt din identitet til at opnå behandling. Under HIPAA har du ret til at få adgang til dine registre, og de fleste udbydere er forpligtet til at opfylde anmodninger inden for 30 dage.

For det andet, kontakt din sygeforsikring og bed om en oversigt over Explanation of Benefits for det seneste år. Eventuelle krav, du ikke genkender, kræver øjeblikkelig opfølgning. Mange forsikringsselskaber tilbyder nu gratis overvågningsadvarsler for usædvanlig kravsaktivitet.

For det tredje, overvej at placere en kreditfrysning hos alle tre store bureauer. Medicinsk identitetstyveri fører ofte til inkassosager og svigagtige kreditlinjer, og en frysning forhindrer åbning af nye konti i dit navn uden din udtrykkelige godkendelse.

For det fjerde, brug unikke, stærke adgangskoder til alle patientportalkonti, såsom dem, der bruges til at se laboratorieresultater eller booke aftaler. Disse portaler indeholder meget følsomme registre, men de er ofte kun beskyttet af svage legitimationsoplysninger, som patienter genbruger på tværs af andre tjenester. Brug af en dedikeret e-mailadresse til sundhedskonti begrænser også skadesomfanget, hvis en af dine andre konti kompromitteres.

Endelig, hold dig informeret om det bredere regulatoriske og lovgivningsmæssige miljø, der former, hvordan dine data håndteres. Nylig statslig lovgivning, der er målrettet mod digitalt privatliv, såsom Utahs SB 73 aldersbekræftelseslov, afspejler en voksende bevidsthed blandt lovgivere om, at online datastrømme kræver stærkere beskyttelse. At følge med i, hvordan disse politikker udvikler sig, kan hjælpe dig med at forstå, hvilke beskyttelser der er – og ikke er – på plads for dine oplysninger.

Hvad dette betyder for dig

Tilføjelsen af disse brud til HHS-sporingen er en påmindelse om, at privatlivsrisici ved sundhedsdatabrud ikke er hypotetiske. Millioner af mennesker fik eksponeret følsomme registre i blot disse to hændelser alene, og sporingen registrerer hundredvis af hændelser årligt.

Dine mest effektive værktøjer er overvågning, tidlig opdagelse og begrænsning af unødvendig datadeling, hvor det er muligt. Spørg dine udbydere, hvilke tredjepartsleverandører der modtager dine data og til hvilke formål. Gennemgå regelmæssigt dine registre og forsikringsopgørelser. Og behandl dine patientportaloplysninger med samme alvor, som du anvender på dine finansielle konti. Disse skridt vil ikke forhindre en leverandør i at blive brudt, men de forbedrer betydeligt dine chancer for at opdage svindel, før det forårsager varig skade.