Koliko je osoba pogođeno povredom podataka korporacije NYC Health and Hospitals Corporation?

Povreda je zahvatila 1,8 milijuna osoba povezanih s korporacijom New York City Health and Hospitals Corporation. Nastala je zbog kompromitacije koja je uključivala vanjskog dobavljača, a ne zbog izravnog napada na bolničke sustave.

Koje vrste podataka su bile izložene u povredi Erie Family Health Centers?

Povreda Erie Family Health Centers izložila je osobne identifikatore, medicinske podatke i financijske pojedinosti. Ova kombinacija čini žrtve posebno ranjivima na više oblika prijevare istovremeno.

Što je registar povreda HHS-a i zašto je važan?

Portal za povrede HHS-a javna je knjiga koja se održava prema Pravilu o obavješćivanju o povredama prema HIPAA-u, a koja evidentira značajne incidente s zdravstvenim podacima koji zahvaćaju 500 ili više osoba. Kad se pojave novi unosi, to ukazuje da su pogođene organizacije ispunile svoje obvezne zahtjeve za izvještavanje.

Zašto se ukradeni zdravstveni podaci smatraju opasnijima od ukradenih podataka kreditnih kartica?

Za razliku od broja kreditne kartice, zdravstveni podaci sadrže informacije koje se ne mogu promijeniti, kao što su brojevi socijalnog osiguranja, datumi rođenja i povijesti dijagnoza. Krađa medicinskog identiteta također se često ne otkriva mjesecima ili godinama, što štetu čini opsežnom i teškom za poništavanje.

Koliko je osoba pogođeno povredom podataka Erie Family Health Centers?

Povreda Erie Family Health Centers ugrozila je zapise otprilike 570.000 osoba. Erie Family Health Centers federalno je kvalificirani zdravstveni centar koji služi siromašnijim zajednicama u Illinoisu.

Povreda podataka NYC Healtha s 1,8 milijuna zapisa među novim incidentima evidentiranim od HHS-a

Sustav praćenja povreda podataka američkog Ministarstva zdravstva i socijalnih usluga (HHS) dodao je nekoliko značajnih povreda zdravstvenih podataka u svoj javni registar, pri čemu je najveća zahvatila 1,8 milijuna osoba povezanih s korporacijom New York City Health and Hospitals Corporation. U zasebnom incidentu u Erie Family Health Centers ugroženi su osobni, medicinski i financijski podaci dodatnih 570.000 osoba. Zajedno, ovi incidenti naglašavaju stalne i rastuće rizike za privatnost koji proizlaze iz povreda zdravstvenih podataka, a s kojima se milijuni Amerikanaca suočavaju svaki put kada stupe u kontakt s medicinskim davateljem usluga.

Što registar povreda HHS-a otkriva o ovim incidentima

Portal za povrede HHS-a, koji se održava u skladu s Pravilom o obavješćivanju o povredama prema HIPAA-u, funkcionira kao javna knjiga značajnih incidenata s zdravstvenim podacima koji zahvaćaju 500 ili više osoba. Kad se pojave novi unosi, to signalizira da su pogođene organizacije ispunile svoje obvezne zahtjeve za izvještavanje, ponekad i nekoliko mjeseci nakon što je izvorna povreda nastupila.

Unos korporacije NYC Health and Hospitals Corporation posebno je primjetan iz dva razloga: zbog svog opsega i podrijetla. Povreda nije nastala zbog izravnog napada na bolničke sustave, već zbog kompromitacije koja je uključivala vanjskog dobavljača. Erie Family Health Centers, federalno kvalificirani zdravstveni centar koji služi siromašnijim zajednicama u Illinoisu, izvijestio je da je njegova povreda izložila osobito osjetljivu kombinaciju vrsta podataka, uključujući osobne identifikatore, medicinske podatke i financijske pojedinosti. Taj trijumvirat čini žrtve posebno ranjivima na više oblika prijevare istovremeno.

Zašto su zdravstveni podaci opasniji od većine ukradenih podataka

Ukradeni broj kreditne kartice je neugodnost, ali može se poništiti u roku od nekoliko minuta. Ukradeni medicinski zapis sasvim je druga priča. Zdravstveni podaci sadrže informacije koje se ne mogu promijeniti: datume rođenja, brojeve socijalnog osiguranja, brojeve polica osiguranja, povijesti dijagnoza i zapise o receptima. Na podzemnim tržištima, potpuni medicinski profili redovito dostižu cijene znatno više od standardnih financijskih vjerodajnica.

Opasnost se povećava jer se krađa medicinskog identiteta često ne otkriva mjesecima ili godinama. Lopov koji koristi ukradene vjerodajnice osiguranja za dobivanje recepata ili podnošenje lažnih zahtjeva obično ne ostavlja neposredan trag na žrtvinom bankovnom računu. Do trenutka kada prijevara izađe na vidjelo putem odbijenog zahtjeva za osiguranje ili neočekivanog medicinskog računa, šteta je već opsežna i teško je poništiti.

Zdravstveni podaci također stvaraju polugu za ciljani phishing. Napadač koji zna ime vašeg liječnika, vaše nedavne dijagnoze i vašeg davatelja osiguranja može stvoriti uvjerljive komunikacije koje zaobilaze skepsu koju većina ljudi primjenjuje na generičke prijevarne e-poruke.

Kako su vanjski dobavljači postali najslabija karika u privatnosti pacijenata

Povreda u NYC Healthu odgovara obrascu koji dominira incidentima sigurnosti u zdravstvu već nekoliko godina. Bolnice i zdravstveni sustavi oslanjaju se na guste ekosustave softverskih dobavljača, procesora naplate, telehealth platformi, alata za zakazivanje termina i tvrtki za analitiku podataka. Svaka od ovih trećih strana prima pristup podacima pacijenata kako bi obavljala svoje ugovorene funkcije, a svaka predstavlja dodatnu površinu napada koju sama zdravstvena organizacija ne kontrolira u potpunosti.

Regulatorni okviri zahtijevaju da pokriveni subjekti s dobavljačima potpisuju Ugovore s poslovnim partnerima, kojim se uspostavljaju obveze zaštite podataka. Međutim, ti sporazumi se ne prevode automatski u jednake sigurnosne položaje. Veliki akademski medicinski centar može imati zreo sigurnosni program, dok dobavljač softvera za zakazivanje koji koristi funkcionira s daleko manjim nadzorom.

Ova dinamika nije jedinstvena za zdravstvo. Ranjivosti na razini poslužitelja u različitim industrijama redovito izlažu podatke koje drže dobavljači, a ne primarne organizacije kojima pacijenti ili korisnici vjeruju. Razumijevanje da vaši podaci putuju daleko izvan zidova liječničke ordinacije kritičan je dio upravljanja vlastitom izloženošću privatnosti. Možete pročitati više o tome kako ranjivosti na razini infrastrukture utječu na podatke u velikom razmjeru u izvještaju o eksploataciji propusta zaobilaženja autentikacije u cPanelu koji je pogodio desetke tisuća poslužitelja, koji ilustrira kako jedna mana u široko korištenom softveru može kaskadno zahvatiti tisuće organizacija istovremeno.

Praktični koraci za zaštitu privatnosti pacijenata koji komuniciraju s davateljima usluga putem interneta

Iako pojedini pacijenti ne mogu provjeriti odnose svog davatelja usluga s dobavljačima, postoje konkretni koraci koji smanjuju izloženost i poboljšavaju vašu sposobnost ranog otkrivanja prijevare.

Prvo, povremeno zatražite kopiju svojih medicinskih zapisa. Njihovim pregledom možete uočiti nepoznate zahvate, recepte ili imena davatelja usluga koji bi mogli ukazivati na to da je netko koristio vaš identitet za dobivanje skrbi. Prema HIPAA-u, imate pravo pristupa svojim zapisima, a većina davatelja usluga dužna je ispuniti zahtjeve u roku od 30 dana.

Drugo, kontaktirajte svojeg zdravstvenog osiguravatelja i zatražite sažetak Objašnjenja pogodnosti za prošlu godinu. Svaki zahtjev koji ne prepoznajete zahtijeva neposredno praćenje. Mnogi osiguravatelji sada nude besplatna upozorenja za praćenje neobičnih aktivnosti zahtjeva.

Treće, razmislite o postavljanju zamrzavanja kredita kod sva tri glavna ureda. Krađa medicinskog identiteta često dovodi do računa u naplati i lažnih kreditnih linija, a zamrzavanje sprječava otvaranje novih računa na vaše ime bez vaše izričite suglasnosti.

Četvrto, koristite jedinstvene, jake lozinke za sve račune na pacijentskim portalima, kao što su oni koji se koriste za pregled laboratorijskih rezultata ili zakazivanje termina. Ti portali čuvaju vrlo osjetljive zapise, a često su zaštićeni samo slabim vjerodajnicama koje pacijenti ponovno koriste za druge usluge. Korištenje namjenske e-mail adrese za zdravstvene račune također ograničava štetu ako jedan od vaših ostalih računa bude kompromitiran.

Konačno, budite informirani o širem regulatornom i zakonodavnom okruženju koje oblikuje način rukovanja vašim podacima. Nedavno zakonodavstvo na razini saveznih država usmjereno na digitalnu privatnost, kao što je Zakon o provjeri dobi SB 73 iz Utaha, odražava rastuću svijest zakonodavaca da digitalni tokovi podataka zahtijevaju snažnije zaštitne mjere. Praćenje razvoja ovih politika može vam pomoći da razumijete koje zaštite postoje, a koje ne postoje, za vaše podatke.

Što to znači za vas

Dodavanje ovih povreda u registar HHS-a podsjetnik je da rizici za privatnost koji proizlaze iz povreda zdravstvenih podataka nisu hipotetski. Milijuni ljudi imali su osjetljive zapise izložene samo u ova dva incidenta, a registar bilježi stotine incidenata godišnje.

Vaši najučinkovitiji alati su praćenje, rano otkrivanje i ograničavanje nepotrebnog dijeljenja podataka gdje god je to moguće. Pitajte svoje davatelje usluga koji vanjski dobavljači primaju vaše podatke i u koje svrhe. Redovito pregledavajte svoje zapise i izjave osiguranja. I tretira vjerodajnice svog pacijentskog portala s istom ozbiljnošću kakvu primjenjujete na svoje financijske račune. Ovi koraci neće spriječiti kompromitaciju dobavljača, ali značajno poboljšavaju vaše šanse da otkrijete prijevaru prije nego što prouzroči trajnu štetu.