Kuinka monta ihmistä NYC Health and Hospitals Corporationin tietomurto koski?

Tietomurto koski 1,8 miljoonaa New York City Health and Hospitals Corporationiin yhteydessä olevaa henkilöä. Se sai alkunsa kolmannen osapuolen toimittajan vaarantumisesta eikä suorasta hyökkäyksestä sairaalan järjestelmiin.

Minkälaisia tietoja Erie Family Health Centersin tietomurrossa paljastui?

Erie Family Health Centersin tietomurrossa paljastuivat henkilötiedot, lääketieteelliset tiedot ja taloudelliset tiedot. Tämä yhdistelmä tekee uhreista erityisen haavoittuvaisia useille petosten muodoille samanaikaisesti.

Mikä on HHS:n tietomurtoseuranta ja miksi se on tärkeä?

HHS:n tietomurtoportaali on julkinen rekisteri, jota ylläpidetään HIPAA:n tietomurtojen ilmoitusvelvollisuutta koskevan säännön nojalla ja joka kirjaa merkittävät terveydenhuollon tietoturvapoikkeamat, jotka koskevat vähintään 500 henkilöä. Kun uusia merkintöjä ilmestyy, se osoittaa, että asianomaisten organisaatioiden pakollinen ilmoitusvelvollisuus on täytetty.

Miksi varastettuja terveydenhuollon tietueita pidetään vaarallisempina kuin varastettuja luottokorttitietoja?

Toisin kuin luottokorttinumero, terveydenhuollon tiedot sisältävät tietoja, joita ei voi muuttaa, kuten sosiaaliturvatunnukset, syntymäajat ja diagnoositiedot. Lääketieteellinen identiteettivarkaus jää myös usein havaitsematta kuukausiksi tai vuosiksi, mikä tekee vahingosta laajan ja vaikean peruuttaa.

Kuinka monta ihmistä Erie Family Health Centersin tietomurto koski?

Erie Family Health Centersin tietomurto vaaransi noin 570 000 ihmisen tiedot. Erie Family Health Centers on Illinoisissa alemman tulotason yhteisöjä palveleva liittovaltion hyväksymä terveyskeskus.

NYC Healthin 1,8 miljoonan tietueen tietomurto uusien HHS-kirjattujen tapausten joukossa

Yhdysvaltain terveys- ja henkilöstöministeriön tietomurtojen seurantajärjestelmä on lisännyt useita merkittäviä terveydenhuollon tietomurtoja julkiseen lokiinsa. Suurin niistä koskee 1,8 miljoonaa New York City Health and Hospitals Corporationiin yhteydessä olevaa henkilöä. Erillisessä Erie Family Health Centersin tapauksessa vaarantuivat lisäksi noin 570 000 ihmisen henkilökohtaiset, lääketieteelliset ja taloudelliset tiedot. Yhdessä nämä tapaukset korostavat jatkuvia ja kasvavia terveydenhuollon tietomurtojen yksityisyysriskejä, joille miljoonat amerikkalaiset altistuvat aina asioidessaan terveydenhuollon palveluntarjoajan kanssa.

Mitä HHS:n tietomurtoseuranta paljastaa näistä tapauksista

HHS:n tietomurtoportaali, jota ylläpidetään HIPAA:n tietomurtojen ilmoitusvelvollisuutta koskevan säännön nojalla, toimii julkisena rekisterinä merkittävistä terveydenhuollon tietoturvapoikkeamista, jotka koskevat vähintään 500 henkilöä. Kun uusia merkintöjä ilmestyy, se merkitsee, että asianomaisten organisaatioiden pakollinen ilmoitusvelvollisuus on täytetty — joskus kuukausia alkuperäisen tietomurron jälkeen.

NYC Health and Hospitals Corporationin merkintä on huomionarvoinen kahdesta syystä: sen laajuuden ja alkuperänsä vuoksi. Tietomurto ei johtunut suorasta hyökkäyksestä sairaalan järjestelmiin, vaan kolmannen osapuolen toimittajan vaarantumisesta. Erie Family Health Centers, Illinoisissa alemman tulotason yhteisöjä palveleva liittovaltion hyväksymä terveyskeskus, ilmoitti tietomurron paljastaneen erityisen arkaluonteisen yhdistelmän tietotyyppejä, mukaan lukien henkilötiedot, lääketieteelliset tiedot ja taloudelliset tiedot. Tämä kolmikko tekee uhreista erityisen haavoittuvaisia useille petosten muodoille samanaikaisesti.

Miksi terveydenhuollon tietueet ovat vaarallisempia kuin useimmat varastetut tiedot

Varastettu luottokorttinumero on kiusallinen, mutta se voidaan sulkea muutamassa minuutissa. Varastettu lääketieteellinen tietue on aivan eri asia. Terveydenhuollon tiedot sisältävät tietoja, joita ei voi muuttaa: syntymäajat, sosiaaliturvatunnukset, vakuutuspoliisinumerot, diagnoositiedot ja reseptitiedot. Maanalaisilla markkinoilla täydelliset lääketieteelliset profiilit saavuttavat rutiininomaisesti huomattavasti korkeampia hintoja kuin tavalliset taloustiedot.

Vaara kasvaa, koska lääketieteellinen identiteettivarkaus jää usein havaitsematta kuukausiksi tai vuosiksi. Varastettujen vakuutustietojen avulla reseptejä hankkiva tai vilpillisiä korvausvaatimuksia tekevä varas ei tyypillisesti jätä välitöntä jälkeä uhrin pankkitilille. Siihen mennessä, kun petos ilmenee hylätyn vakuutuskorvauksen tai odottamattoman lääkärilaskun kautta, vahinko on jo laaja ja vaikea peruuttaa.

Terveydenhuollon tietueet luovat myös mahdollisuuden kohdennettuun tietojenkalasteluviestintään. Hyökkääjä, joka tietää lääkärisi nimen, viimeisimmät diagnoosisi ja vakuutuksentarjoajasi, voi luoda vakuuttavia viestejä, jotka ohittavat sen epäilyn, jota useimmat ihmiset soveltavat yleisiin huijaussähköposteihin.

Miten kolmannen osapuolen toimittajista tuli potilastietosuojan heikoin lenkki

New Yorkin tietomurto noudattaa mallia, joka on hallinnut terveydenhuollon tietoturvapoikkeamia jo usean vuoden ajan. Sairaalat ja terveydenhuoltojärjestelmät nojaavat tiheisiin ekosysteemeihin, joihin kuuluu ohjelmistotoimittajia, laskutuskäsittelijöitä, etäterveydenhuoltoalustoja, ajanvaraustyökaluja ja data-analytiikkayrityksiä. Jokainen näistä kolmansista osapuolista saa pääsyn potilastietoihin suorittaakseen sopimuksenmukaisia tehtäviään, ja jokainen edustaa lisähyökkäyspintaa, jota terveydenhuolto-organisaatio itse ei täysin hallitse.

Sääntelykehykset edellyttävät, että vastuulliset tahot tekevät toimittajien kanssa liikekumppanisopimuksia, joissa vahvistetaan tietosuojavelvoitteet. Nämä sopimukset eivät kuitenkaan automaattisesti johda vastaavaan tietoturvan tasoon. Suurella akateemisella lääketieteellisellä keskuksella voi olla kehittynyt tietoturvaohjelma, kun taas sen käyttämä ajanvarausohjelmistotoimittaja toimii paljon vähemmällä valvonnalla.

Tämä dynamiikka ei ole ainutlaatuinen terveydenhuollolle. Palvelintason haavoittuvuudet eri toimialoilla paljastavat säännöllisesti toimittajien hallussa olevia tietoja eikä niiden ensisijaisten organisaatioiden tietoja, joihin potilaat tai asiakkaat luottavat. On tärkeää ymmärtää, että tietosi kulkeutuvat kauas lääkärisi toimiston seinien ulkopuolelle — se on olennainen osa oman yksityisyysaltistumisesi hallintaa. Voit lukea lisää siitä, miten infrastruktuuritason haavoittuvuudet vaikuttavat tietoihin laajassa mittakaavassa, cPanel-todennuksen ohitushaavoittuvuuden kattavuudesta, joka iski kymmeniin tuhansiin palvelimiin. Se havainnollistaa, kuinka yksittäinen vika laajalti jaetussa ohjelmistossa voi levitä samanaikaisesti tuhansiin organisaatioihin.

Käytännön yksityisyystoimenpiteet potilaille, jotka asioivat palveluntarjoajien kanssa verkossa

Vaikka yksittäiset potilaat eivät voi tarkastaa palveluntarjoajansa toimittajasuhteita, on olemassa konkreettisia toimenpiteitä, jotka vähentävät altistumista ja parantavat kykyäsi havaita petos varhaisessa vaiheessa.

Ensinnäkin pyydä kopio lääketieteellisistä tietueistasi säännöllisesti. Niiden tarkastaminen antaa mahdollisuuden havaita tuntemattomat toimenpiteet, reseptit tai lääkäreiden nimet, jotka voivat viitata siihen, että joku on käyttänyt henkilöllisyyttäsi hoitoon pääsemiseksi. HIPAA:n nojalla sinulla on oikeus saada tietueesi, ja useimpien palveluntarjoajien on täytettävä pyynnöt 30 päivän kuluessa.

Toiseksi ota yhteyttä terveysvakuuttajaasi ja pyydä yhteenveto edellisen vuoden etuuksien selvityksistä. Kaikki tunnustamattomat korvausvaatimukset edellyttävät välitöntä seurantaa. Monet vakuuttajat tarjoavat nyt ilmaisia seurantahälytyksiä epätavallisesta korvausvaatimustoiminnasta.

Kolmanneksi harkitse luottopakasteen asettamista kaikkien kolmen suuren luottotietotoimiston kanssa. Lääketieteellinen identiteettivarkaus johtaa usein perintätileihin ja vilpillisiin luottoihin, ja pakaste estää uusien tilien avaamisen nimissäsi ilman nimenomaista hyväksyntääsi.

Neljänneksi käytä yksilöllisiä, vahvoja salasanoja kaikissa potilasportaaleissa, kuten niissä, joita käytetään laboratoriotulosten tarkasteluun tai ajanvaraukseen. Nämä portaalit sisältävät erittäin arkaluonteisia tietueita, mutta niitä suojelevat usein vain heikot tunnistetiedot, joita potilaat käyttävät uudelleen muissa palveluissa. Erillisen sähköpostiosoitteen käyttäminen terveydenhuollon tileille myös rajoittaa vahinkoa, jos jokin muu tilisi vaarantuu.

Lopuksi pysy ajan tasalla laajemmasta sääntelystä ja lainsäädännöllisestä ympäristöstä, joka määrittää tietojesi käsittelytavan. Viimeaikainen osavaltiotason lainsäädäntö, joka kohdistuu digitaaliseen tietosuojaan, kuten Utahin SB 73 -ikävarmistuslaki, heijastaa lainsäätäjien kasvavaa tietoisuutta siitä, että verkossa tapahtuvat tietovirrat vaativat vahvempia suojakeinoja. Näiden politiikkojen kehityksen seuraaminen voi auttaa sinua ymmärtämään, mitä suojia tietojesi osalta on — ja mitä ei ole — käytössä.

Mitä tämä merkitsee sinulle

Näiden tietomurtojen lisääminen HHS:n seurantajärjestelmään muistuttaa, että terveydenhuollon tietomurtojen yksityisyysriskit eivät ole hypoteettisia. Pelkästään näissä kahdessa tapauksessa miljoonien ihmisten arkaluonteiset tiedot paljastuivat, ja seurantajärjestelmä kirjaa satoja tapauksia vuosittain.

Tehokkaimmat välineesi ovat seuranta, varhainen havaitseminen ja tarpeettoman tietojen jakamisen rajoittaminen aina kun mahdollista. Kysy palveluntarjoajiltasi, mitkä kolmannen osapuolen toimittajat saavat tietosi ja mihin tarkoituksiin. Tarkista tietueesi ja vakuutuslaskelmasi säännöllisesti. Ja suhtaudu potilasportaalisi tunnistetietoihin yhtä vakavasti kuin taloudellisiin tileihisi. Nämä toimenpiteet eivät estä toimittajaa joutumasta tietomurron kohteeksi, mutta ne parantavat merkittävästi mahdollisuuksiasi havaita petos ennen kuin se aiheuttaa pysyvää vahinkoa.