ViaQuest psykiatribrud eksponerer 6.420 patienters PII og PHI

ViaQuest psykiatribrud eksponerer 6.420 patienters PII og PHI

ViaQuest Psychiatric & Behavioral Solutions har offentliggjort et databrud, der berører mindst 6.420 nuværende og tidligere patienter og medarbejdere. Hændelsen eksponerede både personhenførbare oplysninger (PII) og beskyttede sundhedsoplysninger (PHI), hvilket sætter tusindvis af personer i forhøjet risiko for identitetstyveri, diskrimination og økonomisk svindel. For alle, der har benyttet psykiatriske eller adfærdsmæssige sundhedsydelser, er dette brud en skarp påmindelse om, at beskyttelse af sundhedsdata mod databrud ikke længere er valgfrit.

Hvad ViaQuest-bruddet afslørede, og hvem der er berørt

Det bekræftede brud hos ViaQuest Psychiatric & Behavioral Solutions involverede en dobbeltkategori af kompromitterede data: PII, som typisk inkluderer navne, adresser, fødselsdatoer og CPR-numre, sammen med PHI, der dækker diagnoser, behandlingsjournaler, medicin og aftalehistorik. Kombinationen af begge typer i ét enkelt brud er særligt farligt.

Berørte personer omfatter både nuværende og tidligere patienter samt medarbejdere, hvilket betyder, at eksponeringen ikke er begrænset til dem, der aktivt modtager behandling. Tidligere patienter, der søgte behandling for år tilbage, kan stadig finde deres journaler i spil. Medarbejdere står over for deres egne risici, herunder tyveri af legitimationsoplysninger eller målrettet phishing ved brug af deres ansættelsesoplysninger.

Denne hændelse følger et mønster, der ses på tværs af sundhedssektoren. OpenLoop Health-bruddet, der eksponerede 716.000 patienters medicinske data er et højtprofileret eksempel på, hvordan telemedicinske og adfærdsmæssige sundhedsplatforme er blevet primære mål for cyberkriminelle, der ønsker at tjene penge på følsomme optegnelser.

Hvorfor psykiatriske og adfærdsmæssige sundhedsjournaler er særligt følsomme

Ikke alle sundhedsjournaler vejer lige tungt. Psykiatriske og adfærdsmæssige sundhedsdata befinder sig i en unik højrisikokategori af flere årsager.

For det første er denne type information dybt personlig. Journaler vedrørende psykiske lidelser, misbrugsbehandling eller psykiatriske diagnoser kan påvirke jobmuligheder, forældremyndighedsafgørelser, forsikringsberettigelse og personlige relationer, hvis de eksponeres. I modsætning til et stjålet kreditkortnummer kan du ikke bare annullere en psykiatrisk historik.

For det andet medfører adfærdsmæssige sundhedsjournaler ofte yderligere juridiske beskyttelser ud over standard HIPAA-regler. I mange delstater falder misbrugsjournaler under 42 CFR Part 2, en føderal lovgivning, der kræver strengere samtykke til videregivelse. Når disse journaler brydes, kan de juridiske og personlige konsekvenser være betydeligt mere komplekse end ved en typisk eksponering af sundhedsdata.

For det tredje ved ondsindede aktører den løftestang, disse data giver. Psykiatriske journaler kan bruges til målrettet afpresning, forsikringssvindel og social engineering-angreb designet til at udnytte sårbare personer, som måske i forvejen håndterer vanskelige personlige forhold.

Hvordan ubeskyttet adgang til sundhedsportaler sætter patienter i fare

Sundhedsportaler – de patientvendte websteder og apps, der bruges til at få adgang til journaler, booke aftaler og kommunikere med behandlere – er vokset hurtigt. Bekvemmelighed har ofte overhalet sikkerhed. Når patienter tilgår disse portaler via usikrede offentlige Wi-Fi-netværk, på caféer, biblioteker eller lufthavne, udsætter de deres sessionsdata, loginoplysninger og browseradfærd for potentiel aflytning.

Det er her, kryptering og virtuelle private netværk (VPN'er) bliver direkte relevante. En VPN krypterer forbindelsen mellem din enhed og internettet, hvilket gør det betydeligt sværere for en tredjepart at opsnappe data under overførsel. Selvom en VPN ikke kan forhindre et brud hos sundhedsorganisationens egne servere, beskytter den dine legitimationsoplysninger og sessionsaktivitet mod at blive indsamlet på netværksniveau, især på delte eller usikrede forbindelser.

Ud over VPN-brug bør patienter se efter HTTPS-kryptering på alle portaler, de bruger, aktivere multifaktorautentificering, hvor det tilbydes, og undgå at genbruge adgangskoder på tværs af sundhedsplatforme og andre konti. Credential stuffing, hvor angribere bruger lækkede brugernavne og adgangskoder fra ét brud til at få adgang til andre tjenester, er en af de mest almindelige måder, hvorpå en enkelt hændelse udvikler sig til flere kompromitteringer. Hændelser som Beacon Mutual ransomware-bruddet, der ramte 130.000 personer viser, hvor hurtigt kompromitterede legitimationsoplysninger kan sprede sig på tværs af en organisation.

Tiltag patienter og medarbejdere kan tage for at beskytte deres sundhedsdata nu

Hvis du mener, du kan være berørt af ViaQuest-bruddet, eller hvis du vil styrke din generelle beskyttelse af sundhedsdata mod databrud, er følgende tiltag værd at iværksætte med det samme.

Gennemgå meddelelser om brud omhyggeligt. ViaQuest er i henhold til HIPAA's brudmeddelelsesregel forpligtet til at informere berørte personer skriftligt. Læs disse meddelelser grundigt for at forstå, præcis hvilke data der var involveret.

Få en kreditfrys. Fordi PII var en del af dette brud, bør du fryse din kredit hos alle tre store kreditoplysningsbureauer. Dette forhindrer, at nye kreditlinjer åbnes i dit navn uden din udtrykkelige godkendelse.

Hold øje med din sygesikringskonto. Hold øje med krav, du ikke genkender, hvilket kan være tegn på medicinsk identitetstyveri. Kontakt dit forsikringsselskab med det samme, hvis noget ser ukendt ud.

Brug en VPN, når du tilgår sundhedsportaler. Kryptering af din forbindelse er en grundlæggende forholdsregel, især hvis du ofte bruger offentlige eller delte netværk til at administrere dine sundhedskonti.

Opdater adgangskoder og aktivér multifaktorautentificering. Skift adgangskoder på enhver konto, der delte legitimationsoplysninger med tjenester relateret til ViaQuest, og aktivér MFA, hvor det er muligt.

Anmod om en kopi af dine journaler. I henhold til HIPAA har du ret til at få adgang til dine sundhedsjournaler. Gennemgang af dem kan hjælpe dig med at identificere eventuelle uautoriserede ændringer eller videregivelser.

Hvad dette betyder for dig

ViaQuest-bruddet kan synes lille i forhold til hændelser, der berører hundredtusindvis af mennesker, men følsomheden af psykiatriske og adfærdsmæssige sundhedsdata betyder, at den personlige konsekvens pr. berørt person kan være uforholdsmæssig stor. Sundhedsorganisationer besidder nogle af de mest intime oplysninger om vores liv, og brud i denne sektor forbliver sjældent begrænset til et enkelt skadespunkt.

I takt med at sundhedsudbydere fortsætter med at flytte tjenester online, bærer patienterne et større ansvar for at beskytte sig selv undervejs. Brug af en VPN ved adgang til patientportaler, valg af stærke unikke legitimationsoplysninger og opmærksomhed på phishingforsøg, der bruger dine sundhedsoplysninger som lokkemad, er praktiske vaner, der reducerer din eksponering, uanset hvad en bestemt organisation gør eller undlader at gøre i deres ende.

Brug et par minutter i denne uge på at gennemgå sikkerhedsindstillingerne på hver sundhedsportal, du bruger. Indsatsen er lille i forhold til omkostningerne ved at komme sig over identitetstyveri eller eksponeringen af din mest private helbredshistorie.