Koliko je ljudi pogođeno kršenjem sigurnosti NYC Health and Hospitals?

Podaci najmanje 1,8 milijuna pojedinaca ukradeni su u proboju, što ga čini jednim od najvećih kršenja podataka javnih bolnica u povijesti New York Cityja.

Koje vrste podataka su ukradene u proboju?

Ukradeni podaci uključivali su osobne podatke koji omogućuju identifikaciju (PII), zaštićene zdravstvene informacije (PHI) i biometrijske podatke, a posebno otiske prstiju.

Kako su napadači dobili pristup mreži NYC Health and Hospitals?

Proboj je praćen do dobavljača treće strane, što znači da sam NYCHH nije bio izravno prodoren u tradicionalnom smislu.

Zašto se krađa podataka o otiscima prstiju smatra posebno ozbiljnom?

Otisci prstiju ne mogu se poništiti niti zamijeniti poput lozinki ili brojeva kartica, što znači da je jednom ukradena izloženost trajna i potencijalno nepovratna za žrtve.

Koliko dugo su napadači imali pristup mreži?

Napadači su dulje vrijeme zadržali pristup prije nego što su otkriveni — ova vrsta upada poznata je kao proboj s „vremenom boravka" — što im je omogućilo eksfiltraciju velikih količina podataka.

Kršenje sigurnosti NYC Health and Hospitals otkriva 1,8 milijuna otisaka prstiju

Kršenje sigurnosti NYC Health and Hospitals otkriva 1,8 milijuna otisaka prstiju i medicinskih zapisa

New York City Health and Hospitals (NYCHH) objavio je jedan od najvećih proboja podataka javnih bolnica u povijesti grada. Višemjesečna kompromitacija mreže, koja se može pratiti do dobavljača treće strane, rezultirala je krađom osjetljivih osobnih, medicinskih i biometrijskih podataka koji pripadaju najmanje 1,8 milijuna pojedinaca. Među ukradenim podacima nalaze se otisci prstiju — detalj koji ovaj incident pretvara iz ozbiljne povrede privatnosti u potencijalno nepovratnu situaciju za pogođene.

Ovaj proboj je oštar podsjetnik zašto zaštita biometrijske privatnosti u kontekstu kršenja medicinskih podataka zaslužuje puno više pažnje nego što je obično prima. Medicinski zapisi već su jedni od najosjetljivijih kategorija osobnih podataka, no uključivanje otisaka prstiju znatno podiže ulog.

Što je ukradeno i koliko dugo su hakeri imali pristup

Prema objavi, napadači su dulje vrijeme zadržali pristup mreži prije nego što su otkriveni. Ova vrsta dugotrajnog upada, ponekad nazvana proboj s „vremenom boravka", posebno je štetna jer napadačima daje priliku da mapiraju sustave, eksfiltriraju velike količine podataka i prikriju svoje tragove.

Ukradene informacije navodno uključuju kombinaciju osobnih podataka koji omogućuju identifikaciju (PII), zaštićenih zdravstvenih informacija (PHI) i biometrijskih podataka. Upravo ta posljednja kategorija razlikuje ovaj incident od desetaka kršenja zdravstvenih podataka koja se prijavljuju svake godine. Otisci prstiju ne istječu. Ne mogu se poništiti. Kada vaši biometrijski podaci dospeju u ruke zlonamjernog aktera, ta je izloženost trajna.

Zašto su biometrijski podaci poput otisaka prstiju jedinstveno opasni nakon curenja

Većini žrtava kršenja podataka savjetuje se da promijene lozinke, zamrznu kredit ili prate svoje financijske račune. Ti koraci imaju stvarnu vrijednost. No nijedan od njih ne primjenjuje se kada su ukradeni podaci otisak prsta.

Biometrijska autentifikacija funkcionira upravo zato što su ove osobine jedinstvene i stabilne. Otisci prstiju, geometrija lica, uzorci šarenice i slični identifikatori sve se češće koriste za otključavanje uređaja, autorizaciju plaćanja, provjeru medicinskog identiteta i kontrolu pristupa sigurnim objektima. Ista svojstva koja ih čine korisnim kao autentifikatore čine njihovu krađu katastrofalnom. Ne možete sebi izdati novi otisak prsta na isti način na koji banka izdaje novi broj kartice.

Ako se ukradeni predlošci otisaka prstiju koriste za lažiranje biometrijskih sustava, žrtve možda neće imati pouzdanog načina za otkrivanje ili zaustavljanje neovlaštenog pristupa. Ovo nije teorijski rizik. Kako biometrijska autentifikacija postaje sve češća u zdravstvenim ustanovama, vrijednost ukradenih biometrijskih predložaka za sofisticirane napadače raste proporcionalno.

Problem dobavljača trećih strana u sigurnosti zdravstvenog sustava

Ono što ovaj proboj čini strukturno značajnim jest njegovo podrijetlo: dobavljač treće strane. NYCHH sam nije bio izravno prodoren u tradicionalnom smislu. Napadači su kompromitirali dobavljača s mrežnim pristupom bolničkom sustavu i koristili to uporište za pristup podacima pacijenata.

Ovo je sve češći obrazac napada u različitim industrijama, no posebno je izražen u zdravstvenom sektoru. Bolnice i sustavi javnog zdravstva oslanjaju se na opsežne mreže vanjskih ugovaratelja, pružatelja softvera, usluga naplate i dobavljača opreme. Svaka veza predstavlja potencijalnu ulaznu točku. Sigurnost cjelokupnog sustava jednako je snažna koliko i njegova najslabija dobavljačka karika.

Izazov za velike institucije poput NYCHH-a je taj što ne mogu uvijek kontrolirati sigurnosne prakse svakih trećih strana s kojima surađuju. Ono što mogu kontrolirati jest kako provjeravaju dobavljače, koji pristup podacima im odobravaju i jesu li osjetljivi podaci šifrirani na načine koji ih čine beskorisnim čak i ako ih se presretne. U ovom slučaju, proboj je potrajao nekoliko mjeseci bez otkrivanja, što sugerira da nadzor mrežne aktivnosti trećih strana možda nije bio dovoljno robustan za rano otkrivanje upada.

Zdravstvene organizacije koje posebno rukuju biometrijskim podacima trebale bi tretirati te informacije s najvišom razinom enkripcije i kontrola pristupa koje su dostupne, s obzirom na to da njihova kompromitacija nema lijeka.

Kako pojedinci mogu bolje zaštititi svoju medicinsku i biometrijsku privatnost

Za 1,8 milijuna ljudi pogođenih ovim prodorom, neposredni koraci su ograničeni, ali važni. Ako NYCHH pošalje pisma s obavijestima o proboju, pažljivo ih pročitajte radi specifičnih smjernica o tome koji su podaci bili uključeni i nude li se usluge praćenja kredita ili zaštite identiteta.

Šire gledano, svaka osoba koja stupa u interakciju sa zdravstvenim sustavima trebala bi razmisliti o svojoj digitalnoj higijeni na načine koji nadilaze bolničke zidove. Kada koristite portale pacijenata, zdravstvene aplikacije ili usluge telemedecine na javnim ili dijeljenim mrežama, vaše zdravstveno pregledavanje i aktivnosti prijave mogu biti izloženi. Korištenje pouzdanog VPN-a pri pristupu medicinskim računima na javnom Wi-Fi mreži dodaje značajan sloj enkripcije vašoj vezi, smanjujući rizik od presretanja vjerodajnica.

Razumijevanje načina na koji biometrijska autentifikacija funkcionira i zašto je njezina krađa nepovratna također je korisni kontekst za procjenu kojim uslugama vjerujete s tim identifikatorima. Kada platforma traži otisak prsta ili skeniranje lica, vrijedi pitati kako se ti podaci pohranjuju, čuvaju li se kao sirovi predložak ili se pretvaraju u šifrirani hash te kakva je povijest proboja kod tog dobavljača.

Što to znači za vas

Ako ste primali zdravstvenu skrb putem New York City Health and Hospitals i još niste primili obavijest o proboju, pažljivo pratite poštu i e-poštu. Razmislite o zamrzavanju kredita kod glavnih ureda kao mjeri opreza, budući da krađa medicinskog identiteta često uključuje lažne zahtjeve za osiguranje i naplatu u ime žrtve.

Za sve ostale, ovaj proboj je signal za reviziju biometrijskih podataka koje dijelite s davateljima zdravstvene skrbi i aplikacijama. Praktičnost autentifikacije otiskom prsta je stvarna, ali isto tako i trajnost njezine izloženosti. Odabir usluga koje minimiziraju zadržavanje biometrijskih podataka te osiguravanje da je vaša mrežna zdravstvena aktivnost zaštićena alatima za enkripciju na nepouzdanim mrežama — praktični su koraci dostupni već sada.

Zaštita biometrijske privatnosti u kontekstu kršenja zdravstvenih podataka nije apstraktno pitanje politike. Za 1,8 milijuna Njujorčana, to je sada životna stvarnost bez jednostavnog rješenja. Najbolji odgovor je ostati informiran, djelovati prema službenim smjernicama NYCHH-a i izgraditi navike koje ograničavaju buduću izloženost gdje god je to moguće.