Povreda podataka tvrtke Humana otkriva zdravstvene podatke u šest saveznih država

Povreda podataka tvrtke Humana otkriva osjetljive zdravstvene zapise u šest saveznih država

Gigant zdravstvenog osiguranja Humana objavio je povredu podataka koja pogađa korisnike u Teksasu, Floridi, Georgiji, Sjevernoj Karolini, Ohiju i Virginiji. Kompromitirane informacije uključuju neke od najosetljivijih podataka kojima osoba može biti izložena: brojeve socijalnog osiguranja, zapise o medicinskoj naplati i zahtjevima za naknadu, datume pružanja usluga te imena pružatelja zdravstvenih usluga. Povreda je već pokrenula kolektivnu tužbu, a posljedice tek počinju.

Za pogođene korisnike, ovo je više od puke neugodnosti. Kombinacija brojeva socijalnog osiguranja i detaljnih medicinskih zapisa stvara profil koji se može iskoristiti za krađu identiteta, medicinsku prijevaru i financijske prevare godinama nakon početnog izlaganja.

Kako je došlo do povrede

Prema objavljenim informacijama, povreda nije rezultat izravnog napada na temeljne sustave tvrtke Humana. Umjesto toga, napadači su pristupili podacima korisnika iskorištavanjem ranjivosti u softveru jednog od dobavljača. Ovo je sve češći vektor napada: umjesto izravnog ciljanja velike, dobro zaštićene organizacije, napadači pronalaze slabiju kariku u lancu opskrbe.

Kolektivna tužba podnesena kao odgovor na povredu tvrdi da Humana nije adekvatno šifrirala niti zaštitila podatke pacijenata. Ako je to točno, znači da su podaci potencijalno bili dostupni u obliku koji su napadači mogli izravno čitati i koristiti, a ne u šifriranom obliku koji bi ih učinio beskorisnim bez ključa za dešifriranje.

Ova razlika je važna. Šifriranje nije savršena obrana, ali jest ključna. Kada su osjetljivi podaci pravilno šifrirani, povreda sloja pohrane ili prijenosa ne znači automatski da su podaci kompromitirani. Kada šifriranje izostane ili je nedovoljno, jedna jedina ranjivost može izložiti milijune zapisa u upotrebljivom obliku.

Koje vrste podataka su bile izložene

Opseg kompromitiranih informacija zaslužuje pozorniju analizu. Podaci o medicinskoj naplati i zahtjevima za naknadu nisu tek zapis o tome što neka osoba duguje ili je platila. Oni sadrže detalje o dijagnozama, tretmanima i pružateljima usluga koje mnogi smatraju duboko privatnima. U kombinaciji s brojem socijalnog osiguranja, te se informacije mogu iskoristiti za:

• Podnošenje lažnih poreznih prijava
• Otvaranje novih kreditnih linija
• Podnošenje lažnih zahtjeva za zdravstveno osiguranje
• Lažno predstavljanje kao pacijenti u zdravstvenim ustanovama

Ovakva vrsta kombinirane izloženosti u kontekstu krađe identiteta ponekad se naziva „fullz" profilom, što znači da napadač posjeduje dovoljno informacija za učinkovito lažno predstavljanje neke osobe u više sustava i institucija.

Što to znači za vas

Ako ste korisnik tvrtke Humana, osobito u šest pogođenih saveznih država, prvi korak je provjeriti jeste li primili obavijest o povredi podataka. Tvrtke koje dožive povrede podataka općenito su dužne obavijestiti pogođene osobe, iako se vremenski okvir i potpunost tih obavijesti razlikuju.

Osim čekanja na službenu komunikaciju, vrijedi poduzeti konkretne korake odmah:

Zamrznite kredit. Kontaktiranjem triju glavnih kreditnih biroa (Equifax, Experian i TransUnion) radi zamrzavanja kredita sprječavate otvaranje novih računa na vaše ime bez vašeg izričitog odobrenja. Besplatno je, reverzibilno i jedna od najučinkovitijih zaštita dostupnih nakon povrede podataka.

Pratite svoje medicinske zapise. Krađa medicinskog identiteta može dugo ostati neotkrivena. Pregledajte Objašnjenja o naknadama od svog osiguravatelja i povremeno zatražite kopiju svojih medicinskih zapisa kako biste provjerili postoje li nepoznati unosi.

Budite oprezni na pokušaje krađe identiteta putem e-pošte. Napadači koji pribave osobne podatke iz povreda često ih prate ciljanim phishing porukama e-pošte ili telefonskim pozivima koji koriste stvarne detalje kako bi izgledali legitimno. Budite skeptični prema neželjenim kontaktima koji se pozivaju na vaše osiguranje ili medicinsku povijest.

Razmotrite usluge praćenja identiteta. Mnoge tvrtke nude praćenje identiteta koje vas upozorava kada se vaši podaci pojave u novim kreditnim upitima, bazama podataka posrednika ili poznatim repozitorijima povreda.

Šira slika o riziku trećih dobavljača

Povreda podataka tvrtke Humana podsjetnik je da su vaši osobni podaci jednako sigurni koliko i najslabiji sustav kroz koji prolaze. Velike organizacije rutinski dijele podatke s desetinama ili stotinama dobavljača, od kojih svaki predstavlja potencijalnu točku izloženosti. Zdravstvene, osiguravateljske i financijske institucije rukuju nekim od najosetljivijih osobnih podataka koji postoje, a regulatorni zahtjevi u vezi s tim podacima, iako značajni, očito nisu bili dostatni za sprječavanje ovakvih incidenata.

Kao potrošač, ne možete kontrolirati kako vaš osiguravatelj upravlja odnosima s dobavljačima. Ono što možete kontrolirati jest brzina vašeg odgovora kada nešto pođe po krivu i koliko slojeva zaštite postavljate oko svojih računa i identiteta.

Povreda podataka tvrtke Humana ozbiljan je incident koji pogađa potencijalno tisuće ljudi u šest saveznih država. Ako su vaši podaci bili izloženi, brzo i sustavno djelovanje daje vam najveće šanse za ograničavanje štete. Bez obzira na to jeste li izravno pogođeni ili ne, ovaj slučaj koristan je podsjetnik da prema svojim osobnim podacima pristupite kao resursu koji vrijedi aktivno zaštititi, a ne samo kao nečemu što pasivno postoji u rukama institucija kojima vjerujete.