Povreda podataka u ViaQuest Psychiatric otkriva PII i PHI podatke 6.420 pacijenata

Povreda podataka u ViaQuest Psychiatric otkriva PII i PHI podatke 6.420 pacijenata

ViaQuest Psychiatric & Behavioral Solutions otkrio je povredu podataka koja pogađa najmanje 6.420 sadašnjih i bivših pacijenata te članova osoblja. Incident je otkrio i osobno identifikacijske podatke (PII) i zaštićene zdravstvene informacije (PHI), izlažući tisuće pojedinaca povećanom riziku od krađe identiteta, diskriminacije i financijskih prijevara. Za svakoga tko je tražio usluge bihevioralnog zdravlja, ova je povreda jasan podsjetnik da zaštita privatnosti zdravstvenih podataka više nije opcionalna.

Što je povreda u ViaQuestu otkrila i koga pogađa

Potvrđena povreda u ViaQuest Psychiatric & Behavioral Solutions uključivala je dvostruku kategoriju kompromitiranih podataka: PII, koji obično uključuje imena, adrese, datume rođenja i brojeve socijalnog osiguranja, uz PHI, koji obuhvaća dijagnoze, zapise o liječenju, lijekove i povijest termina. Kombinacija obje vrste u jednoj povredi posebno je opasna.

Pogođene osobe uključuju i sadašnje i bivše pacijente, kao i članove osoblja, što znači da izloženost nije ograničena samo na one koji su trenutno pod skrbi. Bivši pacijenti koji su tražili liječenje prije više godina mogu i dalje imati svoje zapise ugroženima. Članovi osoblja suočavaju se s vlastitim rizicima, uključujući krađu vjerodajnica ili ciljani phishing koristeći njihove podatke o zaposlenju.

Ovaj incident slijedi obrazac viđen u cijelom zdravstvenom sektoru. Povreda podataka u OpenLoop Healthu koja je otkrila medicinske podatke 716.000 pacijenata istaknuti je primjer kako su telezdravstvene i bihevioralne zdravstvene platforme postale primarne mete za kibernetičke kriminalce koji žele unovčiti osjetljive zapise.

Zašto su psihijatrijski i bihevioralni zdravstveni zapisi posebno osjetljivi

Ne nose svi zdravstveni zapisi istu težinu. Psihijatrijski i bihevioralni zdravstveni podaci nalaze se u jedinstvenoj kategoriji visokog rizika iz nekoliko razloga.

Prvo, ova vrsta informacija duboko je osobna. Zapisi povezani sa stanjima mentalnog zdravlja, liječenjem ovisnosti o supstancama ili psihijatrijskim dijagnozama mogu utjecati na izglede za zapošljavanje, odluke o skrbništvu nad djecom, pravo na osiguranje i osobne odnose ako budu otkriveni. Za razliku od ukradenog broja kreditne kartice, psihijatrijsku povijest ne možete jednostavno otkazati.

Drugo, bihevioralni zdravstveni zapisi često nose dodatne pravne zaštite izvan standardnih HIPAA pravila. U mnogim saveznim državama, zapisi o liječenju poremećaja upotrebe supstanci potpadaju pod 42 CFR Dio 2, saveznu regulativu koja zahtijeva stroži pristanak za otkrivanje. Kada su ti zapisi povrijeđeni, pravne i osobne posljedice mogu biti znatno složenije nego kod tipičnog otkrivanja zdravstvenih podataka.

Treće, zlonamjerni akteri znaju kakvu moć ti podaci pružaju. Psihijatrijski zapisi mogu se koristiti za ciljanu iznudu, prijevaru s osiguranjem i napade društvenog inženjeringa osmišljene za iskorištavanje ranjivih pojedinaca koji se možda već nose s teškim osobnim okolnostima.

Kako nezaštićeni pristup zdravstvenim portalima izlaže pacijente riziku

Zdravstveni portali, web-stranice i aplikacije namijenjene pacijentima koje se koriste za pristup zapisima, zakazivanje termina i komunikaciju s pružateljima usluga, brzo su se proširili. Pogodnost je često nadmašila sigurnost. Kada pacijenti pristupaju tim portalima putem nezaštićenih javnih Wi-Fi mreža, u kafićima, knjižnicama ili zračnim lukama, izlažu svoje podatke o sesiji, vjerodajnice za prijavu i ponašanje pri pregledavanju potencijalnom presretanju.

Ovdje enkripcija i virtualne privatne mreže (VPN) postaju izravno relevantni. VPN šifrira vezu između vašeg uređaja i interneta, čineći znatno težim za treću stranu da presretne podatke u prijenosu. Iako VPN ne može spriječiti povredu na vlastitim poslužiteljima zdravstvene organizacije, štiti vaše vjerodajnice i aktivnost sesije od prikupljanja na mrežnoj razini, osobito na dijeljenim ili nezaštićenim vezama.

Osim korištenja VPN-a, pacijenti bi trebali tražiti HTTPS enkripciju na bilo kojem portalu koji koriste, omogućiti višefaktorsku autentifikaciju gdje god je ponuđena i izbjegavati ponovno korištenje lozinki na zdravstvenim platformama i drugim računima. Credential stuffing, gdje napadači koriste procurjele parove korisničkog imena i lozinke iz jedne povrede za pristup drugim uslugama, jedan je od najčešćih načina na koji pojedinačni incident prerasta u višestruke kompromitacije. Incidenti poput ransomware povrede u Beacon Mutualu koja je pogodila 130.000 pojedinaca pokazuju koliko brzo kompromitirane vjerodajnice mogu eskalirati unutar organizacije.

Koraci koje pacijenti i osoblje mogu poduzeti kako bi sada zaštitili svoje zdravstvene podatke

Ako vjerujete da ste možda pogođeni povredom u ViaQuestu ili ako želite ojačati svoj ukupni položaj zaštite privatnosti zdravstvenih podataka, sljedeće korake vrijedi odmah poduzeti.

Pažljivo pregledajte obavijesti o povredi. ViaQuest je prema HIPAA-inom Pravilu o obavijesti o povredi obvezan pismeno obavijestiti pogođene osobe. Temeljito pročitajte te obavijesti kako biste razumjeli koji su točno podaci bili uključeni.

Postavite zamrzavanje kredita. Budući da su PII podaci bili dio ove povrede, zamrznite svoj kredit kod sva tri glavna ureda. To sprječava otvaranje novih linija kredita na vaše ime bez vašeg izričitog odobrenja.

Pratite svoj račun zdravstvenog osiguranja. Pazite na zahtjeve koje ne prepoznajete, što može signalizirati krađu medicinskog identiteta. Odmah kontaktirajte svog osiguravatelja ako nešto izgleda nepoznato.

Koristite VPN prilikom pristupa zdravstvenim portalima. Šifriranje vaše veze osnovna je mjera opreza, osobito ako često koristite javne ili dijeljene mreže za upravljanje svojim zdravstvenim računima.

Ažurirajte lozinke i omogućite višefaktorsku autentifikaciju. Promijenite lozinke na svim računima koji su dijelili vjerodajnice s uslugama povezanima s ViaQuestom i aktivirajte MFA gdje god je to moguće.

Zatražite kopiju svojih zapisa. Prema HIPAA-i, imate pravo pristupiti svojim zdravstvenim zapisima. Njihovo pregledavanje može vam pomoći identificirati neovlaštene izmjene ili otkrivanja.

Što ovo znači za vas

Povreda u ViaQuestu može se činiti malom u usporedbi s incidentima koji pogađaju stotine tisuća ljudi, ali osjetljivost psihijatrijskih i bihevioralnih zdravstvenih podataka znači da osobni učinak po pogođenom pojedincu može biti nerazmjerno visok. Zdravstvene organizacije drže neke od najintimnijih informacija o našim životima, a povrede u ovom sektoru rijetko ostaju ograničene na jednu točku štete.

Kako pružatelji zdravstvenih usluga nastavljaju seliti usluge na internet, pacijenti nose veću odgovornost za vlastitu zaštitu u prijenosu. Korištenje VPN-a prilikom pristupa portalima za pacijente, odabir jakih jedinstvenih vjerodajnica i oprez pri phishing pokušajima koji koriste vaše zdravstvene podatke kao mamac, praktične su navike koje smanjuju vašu izloženost bez obzira na to što bilo koja određena organizacija čini ili propušta učiniti sa svoje strane.

Odvojite nekoliko minuta ovog tjedna da pregledate sigurnosne postavke na svakom zdravstvenom portalu koji koristite. Uloženi trud je malen u usporedbi s cijenom oporavka od krađe identiteta ili otkrivanja vaše najprivatnije zdravstvene povijesti.