ViaQuest Psychiatricin tietomurto paljastaa 6 420 potilaan PII- ja PHI-tiedot

ViaQuest Psychiatricin tietomurto paljastaa 6 420 potilaan PII- ja PHI-tiedot

ViaQuest Psychiatric & Behavioral Solutions on ilmoittanut tietomurrosta, joka koskee vähintään 6 420:ta nykyistä ja entistä potilasta ja henkilökunnan jäsentä. Tapahtumassa paljastui sekä henkilötietoja (PII) että suojattuja terveystietoja (PHI), mikä asettaa tuhannet ihmiset suurentuneeseen identiteettivarkauden, syrjinnän ja talouspetosten riskiin. Kaikille käyttäytymisterveyspalveluita hakeneille tämä tietomurto on karu muistutus siitä, ettei terveystietojen tietosuoja ole enää valinnainen asia.

Mitä ViaQuestin tietomurrossa paljastui ja keitä se koskee

Vahvistettu tietomurto ViaQuest Psychiatric & Behavioral Solutionsissa kattoi kaksi tietoluokkaa: henkilötiedot, joihin tyypillisesti sisältyvät nimet, osoitteet, syntymäajat ja sosiaaliturvatunnukset, sekä suojatut terveystiedot, jotka käsittävät diagnoosit, hoitotiedot, lääkitykset ja käyntihistoriat. Molempien tietotyyppien yhdistelmä samassa murrossa on erityisen vaarallinen.

Asianomaisiin kuuluu niin nykyisiä ja entisiä potilaita kuin henkilökunnan jäseniä, eli altistuminen ei rajoitu aktiivisesti hoitoa saaviin henkilöihin. Myös vuosia sitten hoitoa hakeneiden entisten potilaiden tiedot saattavat yhä olla vaarassa. Henkilökunta kohtaa omat riskinsä, kuten valtakirjavarkaudet tai kohdennetut tietojenkalasteluyritykset heidän työsuhteensa tietoja hyödyntämällä.

Tämä tapaus noudattaa terveydenhuoltoalalla nähtyä kaavaa. OpenLoop Health breach that exposed 716,000 patients' medical data on korkean profiilin esimerkki siitä, kuinka etälääketieteen ja käyttäytymisterveyden alustat ovat nousseet kyberrikollisten ensisijaisiksi kohteiksi arkaluontoisten tietojen rahastamiseksi.

Miksi psykiatriset ja käyttäytymisterveystiedot ovat erityisen arkaluonteisia

Kaikki terveystiedot eivät ole samanarvoisia. Psykiatriset ja käyttäytymisterveystiedot kuuluvat erityisen riskialttiiseen luokkaan useista syistä.

Ensinnäkin tämäntyyppinen tieto on syvästi henkilökohtaista. Mielenterveyteen, päihdehoitoon tai psykiatrisiin diagnooseihin liittyvät tiedot voivat paljastuessaan vaikuttaa työnsaantiin, lasten huoltajuuspäätöksiin, vakuutuskelpoisuuteen ja henkilökohtaisiin suhteisiin. Toisin kuin varastettu luottokortin numero, psykiatrista historiaa ei voi vain peruuttaa.

Toiseksi käyttäytymisterveystietoja suojaa usein lisälainsäädäntö tavallisten HIPAA-sääntöjen lisäksi. Monissa osavaltioissa päihdehäiriötietoja koskee 42 CFR Part 2 -liittovaltiosäännös, joka edellyttää tiukempaa suostumusta tietojen luovuttamiseen. Kun nämä tiedot murretaan, oikeudelliset ja henkilökohtaiset seuraukset voivat olla huomattavasti monimutkaisempia kuin tyypillisessä terveystietojen tietomurrossa.

Kolmanneksi pahantahtoiset toimijat tietävät, millaista vipuvartta nämä tiedot tarjoavat. Psykiatrisia tietoja voidaan käyttää kohdennettuun kiristykseen, vakuutuspetoksiin ja sosiaaliseen manipulointiin perustuviin hyökkäyksiin, joiden tarkoituksena on hyödyntää haavoittuvassa asemassa olevia henkilöitä, jotka saattavat jo valmiiksi selviytyä vaikeissa olosuhteissa.

Miten suojaamaton terveysportaalin käyttö vaarantaa potilaat

Terveydenhuollon portaalit – potilaille suunnatut verkkosivustot ja sovellukset, joilla tarkastellaan tietoja, varataan aikoja ja viestitään hoitohenkilökunnan kanssa – ovat laajentuneet nopeasti. Mukavuus on usein ajanut turvallisuuden edelle. Kun potilaat käyttävät näitä portaaleja suojaamattomien julkisten Wi-Fi-verkkojen, kahviloiden, kirjastojen tai lentokenttien kautta, he altistavat istuntotietonsa, kirjautumistietonsa ja selauskäyttäytymisensä mahdolliselle urkinnalle.

Tässä kohtaa salaus ja virtuaaliset erillisverkot (VPN) tulevat suoraan merkityksellisiksi. VPN salaa laitteesi ja internetin välisen yhteyden, mikä tekee ulkopuoliselle huomattavasti vaikeammaksi siepata siirrettävää tietoa. Vaikka VPN ei voikaan estää tietomurtoa terveydenhuollon organisaation omilla palvelimilla, se suojaa kirjautumistietojasi ja istuntoasi verkkotason keräämiseltä erityisesti julkisissa tai suojaamattomissa yhteyksissä.

VPN:n käytön lisäksi potilaiden tulisi etsiä HTTPS-salausta jokaiselta käyttämältään portaalilta, ottaa monivaiheinen tunnistautuminen käyttöön aina kun sitä tarjotaan ja välttää saman salasanan käyttämistä terveysalustojen ja muiden tilien välillä. Tunnusten täyttöhyökkäykset, joissa hyökkääjät käyttävät yhdestä tietomurrosta vuotaneita käyttäjätunnus–salasana-pareja muihin palveluihin, ovat yksi yleisimmistä tavoista, joilla yksittäinen tapahtuma laajenee useiksi altistumisiksi. Tapaukset kuten Beacon Mutual ransomware breach affecting 130,000 individuals osoittavat, kuinka nopeasti vaarantuneet tunnukset voivat levitä koko organisaatioon.

Toimenpiteet, joilla potilaat ja henkilökunta voivat suojata terveystietonsa nyt

Jos uskot, että saatat olla osallinen ViaQuestin tietomurrossa, tai jos haluat parantaa yleistä terveystietojesi tietosuojan tasoa, seuraavat toimet kannattaa toteuttaa välittömästi.

Lue tietomurtoilmoitukset huolellisesti. HIPAA:n tietomurtoilmoitussääntö velvoittaa ViaQuestia ilmoittamaan asiasta kirjallisesti asianomaisille. Lue nämä ilmoitukset huolellisesti ymmärtääksesi tarkalleen, mitä tietoja tapaus koskee.

Aseta luottotietojen jäädytys. Koska henkilötietoja sisältyi tähän tietomurtoon, jäädytä luottotietosi kaikkien kolmen päätoimiston kautta. Tämä estää uusien luottojen avaamisen nimissäsi ilman nimenomaista lupaasi.

Tarkkaile sairausvakuutustiliäsi. Tarkkaile tuntemattomia hoitovaatimuksia, jotka voivat viitata lääketieteelliseen identiteettivarkauteen. Ota välittömästi yhteyttä vakuutusyhtiöösi, jos jokin vaikuttaa vieraalta.

Käytä VPN:ää terveysportaaleihin kirjautuessasi. Yhteyden salaaminen on perustavanlaatuinen varotoimi erityisesti, jos käytät usein julkisia tai jaettuja verkkoja terveydenhuoltotiliesi hallintaan.

Päivitä salasanat ja ota monivaiheinen tunnistautuminen käyttöön. Vaihda salasanat tileiltä, jotka käyttivät samoja tunnuksia kuin ViaQuestiin liittyvät palvelut, ja aktivoi monivaiheinen tunnistautuminen aina kun mahdollista.

Pyydä kopio tiedoistasi. HIPAA:n nojalla sinulla on oikeus saada pääsy terveystietoihisi. Niiden tarkastelu voi auttaa tunnistamaan mahdolliset luvattomat muutokset tai tietojen paljastumiset.

Mitä tämä tarkoittaa sinulle

ViaQuestin tietomurto saattaa vaikuttaa pieneltä verrattuna satoihin tuhansiin ihmisiin vaikuttaviin tapauksiin, mutta psykiatristen ja käyttäytymisterveystietojen arkaluontoisuus tarkoittaa, että henkilökohtainen vaikutus asianomaista kohden voi olla suhteettoman suuri. Terveydenhuollon organisaatiot hallussaan pitävät elämämme intiimeimpiä tietoja, ja tämän alan tietomurrot harvoin pysyvät yhdessä vahinkokohdassa.

Kun terveydenhuollon palveluntarjoajat jatkavat palveluiden siirtämistä verkkoon, potilaille lankeaa entistä suurempi vastuu itsensä suojaamisesta tiedonsiirron aikana. VPN:n käyttö potilasportaaleja käytettäessä, vahvojen yksilöllisten tunnusten valitseminen ja tarkkaavaisuus tietojenkalasteluyrityksiä kohtaan, joissa käytetään terveystietojasi syöttinä, ovat käytännöllisiä tapoja, jotka vähentävät riskiä riippumatta siitä, mitä yksittäinen organisaatio tekee tai jättää tekemättä omalta osaltaan.

Käytä muutama minuutti tällä viikolla tarkistaaksesi jokaisen käyttämäsi terveysportaalin tietoturva-asetukset. Tämä vaiva on pieni verrattuna identiteettivarkaudesta toipumisen tai kaikkein yksityisimmän terveyshistoriasi paljastumisen hintaan.