Humanan tietomurto paljastaa arkaluonteisia terveystietoja kuudessa osavaltiossa

Vakuutusjätti Humana on ilmoittanut tietomurrosta, joka koskee asiakkaita Texasissa, Floridassa, Georgiassa, Pohjois-Carolinassa, Ohiossa ja Virginiassa. Vaarantuneisiin tietoihin kuuluu joitakin arkaluonteisimpia tietoja, joita henkilöltä voi paljastua: sosiaaliturvatunnukset, lääketieteelliset laskutus- ja korvausrekisterit, palvelupäivämäärät sekä palveluntarjoajien nimet. Murto on jo johtanut ryhmäkanteeseen, ja seuraukset ovat todennäköisesti vasta alussa.

Tietomurto on vahingoittuneille asiakkaille muutakin kuin pelkkä haitta. Sosiaaliturvatunnusten ja yksityiskohtaisten lääketieteen tietojen yhdistelmä luo profiilin, jota voidaan hyödyntää identiteettivarkauksiin, lääketieteellisiin petoksiin ja taloudellisiin huijauksiin vielä vuosia alkuperäisen tietovuodon jälkeen.

Miten tietomurto tapahtui

Ilmoituksen mukaan tietomurto ei ollut seurausta suorasta hyökkäyksestä Humanan ydinjärjestelmiä vastaan. Sen sijaan hyökkääjät pääsivät käsiksi asiakastietoihin toimittajan ohjelmiston haavoittuvuuden kautta. Tämä on yhä yleisempi hyökkäystapa: sen sijaan että kohteeksi otetaan suoraan suuri ja hyvin suojattu organisaatio, hyökkääjät etsivät toimitusketjun heikomman lenkin.

Tietomurron seurauksena nostettu ryhmäkanne väittää, että Humana ei suojannut tai salannut potilastietoja riittävällä tavalla. Jos tämä pitää paikkansa, se tarkoittaa, että tiedot olivat mahdollisesti hyökkääjien luettavissa ja käytettävissä suoraan, eikä salattuna siten, että ne olisivat olleet hyödyttömiä ilman salausavainta.

Tällä erottelulla on merkitystä. Salaus ei ole täydellinen suoja, mutta se on keskeinen sellainen. Kun arkaluonteiset tiedot on asianmukaisesti salattu, tallennus- tai siirtokerroksen murtautuminen ei automaattisesti tarkoita, että tiedot ovat vaarantuneet. Kun salaus puuttuu tai on riittämätön, yksi haavoittuvuus voi paljastaa miljoonia tietueita käyttökelpoisessa muodossa.

Millaisia tietoja paljastui

Vaarantuneiden tietojen laajuus ansaitsee lähempää tarkastelua. Lääketieteelliset laskutus- ja korvausrekisterit eivät ole pelkästään kirjauksia siitä, mitä henkilö on velkaa tai on maksanut. Ne sisältävät yksityiskohtia diagnooseista, hoidoista ja palveluntarjoajista, joita monet pitävät erittäin yksityisinä. Yhdistettynä sosiaaliturvatunnukseen näitä tietoja voidaan käyttää:

  • Vilpillisten veroilmoitusten tekemiseen
  • Uusien luottojen avaamiseen
  • Väärennettyjen sairausvakuutuskorvausten hakemiseen
  • Potilaiden tekeytymiseen terveydenhuollon ympäristöissä

Tätä yhdistelmävuototyyppiä kutsutaan identiteettivarkausyhteydessä joskus "fullz"-profiiliksi, mikä tarkoittaa, että hyökkääjällä on riittävästi tietoa tehokkaaseen henkilön tekeytymiseen useissa järjestelmissä ja laitoksissa.

Mitä tämä tarkoittaa sinulle

Jos olet Humanan asiakas, erityisesti jossakin kuudesta vaikuttuneesta osavaltiosta, ensimmäinen askel on tarkistaa, oletko saanut tietomurtoilmoituskirjeen. Tietomurrosta kärsineet yritykset ovat yleensä velvollisia ilmoittamaan asiasta vaikuttuneille henkilöille, vaikka ilmoitusten ajoitus ja kattavuus vaihtelee.

Virallisen viestinnän odottamisen lisäksi on konkreettisia toimenpiteitä, jotka kannattaa tehdä nyt:

Aseta luottojäädytys. Ottamalla yhteyttä kolmeen suureen luottoluokituslaitokseen (Equifax, Experian ja TransUnion) luottosi jäädyttämiseksi estät uusien tilien avaamisen nimelläsi ilman nimenomaista hyväksyntääsi. Se on ilmainen, peruutettavissa ja yksi tehokkaimmista suojista tietomurron jälkeen.

Seuraa lääketieteellisiä tietojasi. Lääketieteellinen identiteettivarkaus voi jäädä pitkään huomaamatta. Tarkasta vakuutuksesi hyvityslaskelmat ja pyydä säännöllisesti kopio omista lääketieteellisistä tiedoistasi tarkistaaksesi tuntemattomat merkinnät.

Ole valppaana tietojenkalasteluyrityksiä kohtaan. Hyökkääjät, jotka hankkivat henkilötietoja tietomurroista, tekevät usein kohdennettuja tietojenkalasteluviestejä tai soittoja, joissa käytetään todellisia yksityiskohtia luotettavan vaikutelman luomiseksi. Suhtaudu epäilevästi ei-toivottuun yhteydenottoon, joka viittaa vakuutukseesi tai lääkinnälliseen historiaasi.

Harkitse identiteettiseurantapalveluita. Monet yritykset tarjoavat identiteettiseurantaa, joka ilmoittaa sinulle, kun tietosi esiintyvät uusissa luottotiedusteluissa, tietovälittäjätietokannoissa tai tunnetuissa tietomurtorekistereissä.

Laajempi kuva kolmannen osapuolen toimittajariskistä

Humanan tietomurto muistuttaa siitä, että henkilökohtaiset tietosi ovat vain niin turvassa kuin heikoin järjestelmä, jonka kautta ne kulkevat. Suuret organisaatiot jakavat tietoja rutiininomaisesti kymmenien tai satojen toimittajien kanssa, joista jokainen edustaa mahdollista altistumispistettä. Terveydenhuolto-, vakuutus- ja rahoituslaitokset käsittelevät joitakin arkaluonteisimpia henkilötietoja, ja niitä koskevat sääntelyvaatimukset, vaikkakin merkittävät, eivät selvästi ole olleet riittäviä estämään tämänkaltaisia tapauksia.

Kuluttajana et voi hallita sitä, miten vakuuttajasi hallinnoi toimittajasuhteitaan. Sen sijaan voit hallita sitä, kuinka nopeasti reagoit, kun jokin menee pieleen, ja kuinka monta suojakerroksia rakennat omien tiliesi ja identiteettisi ympärille.

Humanan tietomurto on vakava tapaus, joka koskee mahdollisesti tuhansia ihmisiä kuudessa osavaltiossa. Jos tietosi ovat paljastuneet, nopea ja järjestelmällinen toiminta antaa sinulle parhaat mahdollisuudet rajoittaa vahinkoja. Riippumatta siitä, olitko suoraan vaikuttunut vai et, tämä tapaus on hyödyllinen muistutus siitä, että henkilökohtaiset tietosi kannattaa suojata aktiivisesti, eikä vain antaa niiden olla passiivisesti luottamiesi laitosten hallussa.