La violation de ViaQuest Psychiatric expose les PII et PHI de 6 420 patients

La violation de ViaQuest Psychiatric expose les PII et PHI de 6 420 patients

ViaQuest Psychiatric & Behavioral Solutions a révélé une violation de données touchant au moins 6 420 patients et membres du personnel actuels et anciens. L'incident a exposé à la fois des informations personnelles identifiables (PII) et des informations de santé protégées (PHI), plaçant des milliers de personnes face à un risque accru d'usurpation d'identité, de discrimination et de fraude financière. Pour quiconque a eu recours à des services de santé comportementale, cette violation nous rappelle brutalement que la protection des données de santé n'est plus une option.

Ce que la violation de ViaQuest a exposé et qui est concerné

La violation confirmée chez ViaQuest Psychiatric & Behavioral Solutions concerne une double catégorie de données compromises : les PII, qui incluent généralement les noms, adresses, dates de naissance et numéros de sécurité sociale, et les PHI, qui couvrent les diagnostics, les dossiers de traitement, les médicaments et l'historique des rendez-vous. La combinaison de ces deux types au sein d'une même violation est particulièrement dangereuse.

Les personnes concernées comprennent à la fois des patients actuels et anciens ainsi que des membres du personnel. L'exposition ne se limite donc pas aux personnes prises en charge actuellement. D'anciens patients ayant consulté il y a des années peuvent toujours voir leurs dossiers impliqués. Les membres du personnel courent des risques propres, notamment le vol d'identifiants ou des tentatives de hameçonnage ciblé utilisant leurs informations professionnelles.

Cet incident s'inscrit dans une tendance observée dans tout le secteur de la santé. La violation de données d'OpenLoop Health qui a exposé les données médicales de 716 000 patients est un exemple marquant de la manière dont les plateformes de télésanté et de santé comportementale sont devenues des cibles de choix pour les cybercriminels cherchant à monnayer des données sensibles.

Pourquoi les dossiers psychiatriques et de santé comportementale sont particulièrement sensibles

Tous les dossiers médicaux n'ont pas le même poids. Les données psychiatriques et de santé comportementale se trouvent dans une catégorie de risque particulièrement élevé, pour plusieurs raisons.

Premièrement, ce type d'information est profondément personnel. Les dossiers relatifs aux troubles de santé mentale, aux traitements de la toxicomanie ou aux diagnostics psychiatriques peuvent, s'ils sont exposés, affecter les perspectives d'emploi, les décisions de garde d'enfants, l'éligibilité aux assurances et les relations personnelles. Contrairement à un numéro de carte bancaire volé, on ne peut pas simplement annuler un historique psychiatrique.

Deuxièmement, les dossiers de santé comportementale bénéficient souvent de protections juridiques supplémentaires au-delà des règles standard HIPAA. Dans de nombreux États, les dossiers relatifs aux troubles liés à l'usage de substances relèvent de la réglementation fédérale 42 CFR Part 2, qui exige un consentement plus strict pour leur divulgation. Lorsque ces informations sont compromises, les répercussions juridiques et personnelles peuvent être considérablement plus complexes que pour une exposition classique de données de santé.

Troisièmement, les acteurs malveillants savent le levier que ces données leur procurent. Les dossiers psychiatriques peuvent servir à des tentatives d'extorsion ciblée, de fraude à l'assurance et d'attaques d'ingénierie sociale conçues pour exploiter des personnes vulnérables déjà confrontées à des situations personnelles difficiles.

Comment un accès non protégé aux portails de santé met les patients en danger

Les portails de santé – ces sites web et applications destinés aux patients pour consulter leurs dossiers, prendre rendez-vous et communiquer avec les prestataires – se sont développés rapidement. La commodité a souvent pris le pas sur la sécurité. Lorsque les patients accèdent à ces portails via des réseaux Wi-Fi publics non sécurisés, dans des cafés, des bibliothèques ou des aéroports, ils exposent leurs données de session, leurs identifiants de connexion et leur comportement de navigation à une interception potentielle.

C'est ici que le chiffrement et les réseaux privés virtuels (VPN) deviennent directement pertinents. Un VPN chiffre la connexion entre votre appareil et Internet, rendant beaucoup plus difficile l'interception des données en transit par un tiers. Si un VPN ne peut empêcher une violation au niveau des serveurs de l'établissement de santé, il protège vos identifiants et l'activité de votre session contre une collecte au niveau du réseau, en particulier sur les connexions partagées ou non sécurisées.

Au-delà de l'utilisation d'un VPN, les patients doivent vérifier la présence du chiffrement HTTPS sur tout portail qu'ils utilisent, activer l'authentification multifacteur partout où elle est proposée et éviter de réutiliser des mots de passe entre les plateformes de santé et d'autres comptes. Le bourrage d'identifiants, où des attaquants utilisent des couples nom d'utilisateur/mot de passe divulgués lors d'une violation pour accéder à d'autres services, est l'un des moyens les plus courants par lesquels un incident isolé dégénère en multiples compromissions. Des incidents comme la violation par rançongiciel de Beacon Mutual touchant 130 000 personnes montrent à quelle vitesse des identifiants compromis peuvent se propager à l'échelle d'une organisation.

Mesures que les patients et le personnel peuvent prendre dès maintenant pour protéger leurs données de santé

Si vous pensez être concerné par la violation de ViaQuest, ou si vous souhaitez renforcer globalement votre protection en matière de confidentialité des données de santé, les démarches suivantes méritent d'être entreprises immédiatement.

Lisez attentivement les notifications de violation. ViaQuest est tenu, en vertu de la règle de notification des violations HIPAA, d'informer les personnes concernées par écrit. Lisez ces avis avec attention afin de comprendre exactement quelles données ont été impliquées.

Mettez en place un gel de crédit. Étant donné que des PII font partie de cette violation, gelez votre crédit auprès des trois principales agences d'évaluation du crédit. Cela empêche l'ouverture de nouvelles lignes de crédit à votre nom sans votre autorisation explicite.

Surveillez votre compte d'assurance maladie. Soyez attentif aux demandes de remboursement que vous ne reconnaissez pas, qui peuvent signaler un vol d'identité médicale. Contactez immédiatement votre assureur si quelque chose vous semble inhabituel.

Utilisez un VPN lorsque vous accédez aux portails de santé. Le chiffrement de votre connexion est une précaution de base, en particulier si vous utilisez fréquemment des réseaux publics ou partagés pour gérer vos comptes de santé.

Mettez à jour vos mots de passe et activez l'authentification multifacteur. Modifiez les mots de passe de tout compte qui partageait des identifiants avec des services liés à ViaQuest, et activez l'authentification multifacteur partout où cela est possible.

Demandez une copie de vos dossiers. En vertu de la loi HIPAA, vous avez le droit d'accéder à vos dossiers médicaux. Les examiner peut vous aider à repérer toute modification ou divulgation non autorisée.

Ce que cela signifie pour vous

La violation de ViaQuest peut sembler modeste comparée aux incidents qui touchent des centaines de milliers de personnes, mais la sensibilité des données psychiatriques et de santé comportementale signifie que l'impact personnel par individu affecté peut être disproportionné. Les établissements de santé détiennent certaines des informations les plus intimes sur nos vies, et les violations dans ce secteur se limitent rarement à un seul préjudice.

À mesure que les prestataires de soins continuent de déplacer leurs services en ligne, les patients portent une responsabilité accrue de se protéger pendant les échanges. Utiliser un VPN pour accéder aux portails patients, choisir des identifiants robustes et uniques, et rester vigilant face aux tentatives d'hameçonnage qui utilisent vos informations de santé comme appât sont des habitudes pratiques qui réduisent votre exposition, indépendamment de ce que telle ou telle organisation fait – ou ne fait pas – de son côté.

Prenez quelques minutes cette semaine pour examiner les paramètres de sécurité de chaque portail de santé que vous utilisez. L'effort est minime comparé au coût d'une récupération après un vol d'identité ou l'exposition de vos antécédents médicaux les plus privés.