Kuinka monta ihmistä NYC Health and Hospitalsin tietomurto koski?

Vähintään 1,8 miljoonan henkilön tiedot varastettiin tietomurrossa, mikä tekee siitä yhden New Yorkin kaupungin historian suurimmista julkisten sairaaloiden tietomurroista.

Miten hyökkääjät pääsivät NYC Health and Hospitalsin verkkoon?

Tietomurto jäljitettiin kolmannen osapuolen toimittajaan, mikä tarkoittaa, että NYCHH:ta itseään ei murtauduttu suoraan perinteisessä mielessä.

Miksi sormenjälkitietojen varkaus katsotaan erityisen vakavaksi?

Sormenjälkiä ei voi nollata tai korvata kuten salasanoja tai korttinumeroita, mikä tarkoittaa, että kerran varastettuna altistuminen on pysyvää ja potentiaalisesti peruuttamatonta uhreille.

Kuinka kauan hyökkääjillä oli pääsy verkkoon?

Hyökkääjät ylläpitivät pääsyä pitkän ajan ennen kuin heidät havaittiin – tällaista tunkeutumistyyppiä kutsutaan "dwell time" -murrokseksi – mikä antoi heille mahdollisuuden suodattaa ulos suuria tietomääriä.

NYC Health and Hospitalsin tietomurto paljasti 1,8 miljoonan ihmisen sormenjäljet

Q: Millaisia tietoja tietomurrossa varastettiin?

Varastettuihin tietoihin kuului henkilökohtaisia tunnistetietoja (PII), suojattuja terveystietoja (PHI) ja biometrisiä tietoja, erityisesti sormenjälkiä.

NYC Health and Hospitalsin tietomurto paljasti 1,8 miljoonan ihmisen sormenjäljet ja potilastiedot

New York City Health and Hospitals (NYCHH) on paljastanut yhden kaupungin historian suurimmista julkisten sairaaloiden tietomurroista. Kuukausia kestänyt verkkokompromissi, joka jäljitettiin kolmannen osapuolen toimittajaan, johti vähintään 1,8 miljoonan henkilön arkaluonteisten henkilö-, terveys- ja biometristen tietojen varastamiseen. Varastettuihin tietoihin kuuluivat myös sormenjäljet – tämä yksityiskohta muuttaa tapauksen vakavasta tietosuojarikkomuksesta potentiaalisesti peruuttamattomaksi vahingoksi niille, joita se koskee.

Tämä tietomurto on terävä muistutus siitä, miksi terveydenhuollon tietomurtoihin liittyvä biometrinen tietosuoja ansaitsee huomattavasti enemmän huomiota kuin se tavallisesti saa. Potilastiedot ovat jo ennestään yksi arkaluonteisimmista henkilötietoluokista, mutta sormenjälkien sisällyttäminen nostaa panoksia merkittävästi.

Mitä varastettiin ja kuinka kauan hakkereilla oli pääsy verkkoon

Ilmoituksen mukaan hyökkääjät ylläpitivät pääsyä verkkoon pitkän ajan ennen kuin heidät havaittiin. Tämä pitkittynyt tunkeutuminen, jota kutsutaan toisinaan "dwell time" -murrokseksi, on erityisen vahingollinen, koska se antaa hyökkääjille mahdollisuuden kartoittaa järjestelmiä, suodattaa ulos suuria tietomääriä ja peittää jälkensä.

Varastettuihin tietoihin kuuluu tietojen mukaan yhdistelmä henkilökohtaisia tunnistetietoja (PII), suojattuja terveystietoja (PHI) ja biometrisiä tietoja. Juuri tämä viimeinen luokka erottaa tämän tapauksen kymmenistä joka vuosi raportoitavista terveydenhuollon tietomurroista. Sormenjäljet eivät vanhene. Niitä ei voi nollata. Kun sormenjälkitietosi ovat joutuneet haitallisen toimijan käsiin, altistuminen on pysyvää.

Miksi biometriset tiedot, kuten sormenjäljet, ovat erityisen vaarallisia vuodettuina

Useimmille tietomurron uhreille neuvotaan vaihtamaan salasanat, jäädyttämään luottotiedot tai seuraamaan taloudellisia tilejä. Nämä toimenpiteet ovat todella hyödyllisiä. Mutta mikään niistä ei päde, kun varastettu tieto on sormenjälki.

Biometrinen todennus toimii juuri siksi, että nämä ominaisuudet ovat ainutlaatuisia ja pysyviä. Sormenjälkiä, kasvojen geometriaa, iiriksen kuvioita ja vastaavia tunnisteita käytetään yhä enemmän laitteiden avaamiseen, maksujen valtuuttamiseen, lääketieteellisten henkilöllisyyksien todentamiseen ja turvallisten tilojen kulunvalvontaan. Samat ominaisuudet, jotka tekevät niistä hyödyllisiä tunnistautumisessa, tekevät niiden varastamisesta katastrofaalista. Et voi hankkia itsellesi uutta sormenjälkeä samalla tavoin kuin pankki antaa uuden korttinumeron.

Jos varastettuja sormenjälkimalleja käytetään biometristen järjestelmien huijaamiseen, uhreilla ei välttämättä ole luotettavaa tapaa havaita tai estää luvaton pääsy. Tämä ei ole teoreettinen riski. Kun biometrinen todennus yleistyy terveydenhuoltoympäristöissä, varastettujen biometristen mallien arvo kehittyneille hyökkääjille kasvaa vastaavasti.

Kolmannen osapuolen toimittajaongelma terveydenhuollon tietoturvassa

Tämän tietomurron rakenteellisesti merkittäväksi tekee sen alkuperä: kolmannen osapuolen toimittaja. NYCHH:ta itseään ei murtauduttu suoraan perinteisessä mielessä. Hyökkääjät vaaransivat toimittajan, jolla oli verkkopääsy sairaalajärjestelmään, ja käyttivät tätä jalansijaa potilastietoihin pääsemiseksi.

Tämä on yhä yleisempi hyökkäysmalli eri toimialoilla, mutta se on erityisen korostunut terveydenhuollossa. Sairaalat ja julkiset terveysjärjestelmät nojaavat laajaan verkostoon ulkopuolisia alihankkijoita, ohjelmistontarjoajia, laskutuspalveluja ja laitetoimittajia. Jokainen yhteys on potentiaalinen sisääntulokohta. Koko järjestelmän tietoturva on vain yhtä vahva kuin sen heikoin toimittajalenkki.

Suurten laitosten, kuten NYCHH:n, haasteena on, etteivät ne aina pysty hallitsemaan jokaisen yhteistyökumppaninsa tietoturvakäytäntöjä. Mitä ne voivat hallita, on se, miten ne arvioivat toimittajia, millaisen tietojenkäyttöoikeuden ne myöntävät ja onko arkaluonteiset tiedot salattu tavalla, joka tekee niistä hyödyttömiä edes siepattuna. Tässä tapauksessa tietomurto jatkui kuukausia havaitsematta, mikä viittaa siihen, että kolmannen osapuolen verkkotoiminnan seuranta ei ehkä ollut riittävän vahvaa tunkeutumisen varhaiseen havaitsemiseen.

Biometrisia tietoja käsittelevien terveydenhuolto-organisaatioiden tulisi erityisesti käsitellä näitä tietoja korkeimmalla saatavilla olevalla salaus- ja kulunvalvontatasolla, koska niiden vaarantumiseen ei ole parannuskeinoa.

Miten yksilöt voivat paremmin suojata lääketieteellistä ja biometristä tietosuojaansa

Tämän tietomurron vaikuttamille 1,8 miljoonalle ihmiselle välittömät toimenpiteet ovat rajalliset mutta tärkeitä. Jos NYCHH lähettää tietomurtoilmoituskirjeitä, lue ne huolellisesti saadaksesi erityisiä ohjeita siitä, mitä tietoja asia koski ja tarjotaanko luottoseurantaa tai henkilöllisyyssuojapalveluja.

Laajemmin katsoen kaikkien terveydenhuoltojärjestelmissä asioivien tulisi ajatella digitaalista hygieniaan tavoilla, jotka ulottuvat sairaalan seinien ulkopuolelle. Kun käytät potilasportaaleja, terveyssovelluksia tai etälääkäripalveluja julkisissa tai jaetuissa verkoissa, terveyteen liittyvä selailusi ja kirjautumistoimintasi voi altistua. Hyvän VPN:n käyttö lääketieteellisille tileille julkisessa Wi-Fi-verkossa kirjautuessa lisää merkityksellisen salauskerroksen yhteyteesi, mikä vähentää tunnistetietojen sieppauksen riskiä.

Sen ymmärtäminen, miten biometrinen todennus toimii ja miksi sen varkaus on peruuttamaton, on myös hyödyllistä taustatietoa arvioitaessa, mihin palveluihin luotat näiden tunnisteiden kanssa. Kun alusta pyytää sormenjälkeä tai kasvoskannausta, on aiheellista kysyä, miten nämä tiedot tallennetaan, säilytetäänkö ne raakana mallina vai muunnetaanko ne salatuksi tiivisteeksi, ja miltä toimittajan tietomurtohistoria näyttää.

Mitä tämä tarkoittaa sinulle

Jos olet saanut hoitoa New York City Health and Hospitalsin kautta etkä ole vielä saanut tietomurtoilmoitusta, seuraa tarkkaan postiasi ja sähköpostiasi. Harkitse luottotietojen jäädyttämistä suurimmilla luottotoimistoilla varotoimenpiteenä, sillä lääketieteellinen identiteettivarkaus sisältää usein petollisia vakuutusvaatimuksia ja laskutusta uhrin nimissä.

Kaikille muille tämä tietomurto on signaali tarkistaa biometriset tiedot, joita jaat terveydenhuollon tarjoajille ja sovelluksille. Sormenjälkitodennuksen mukavuus on todellinen, mutta niin on myös sen altistumisen pysyvyys. Palvelujen valitseminen, jotka minimoivat biometristen tietojen säilyttämisen, ja varmistaminen, että verkkoterveydenhuoltotoimintasi on suojattu salaustyökaluilla epäluotettavissa verkoissa, ovat käytännön toimenpiteitä, jotka ovat käytettävissä juuri nyt.

Terveydenhuollon tietomurtoihin liittyvä biometrinen tietosuoja ei ole abstrakti politiikkakysymys. 1,8 miljoonalle new yorkilaiselle se on nyt elettyä todellisuutta ilman suoraviivaista ratkaisua. Paras vastaus on pysyä ajan tasalla, toimia NYCHH:n virallisten ohjeiden mukaisesti ja rakentaa tapoja, jotka rajoittavat tulevaa altistumista mahdollisuuksien mukaan.