A Change Healthcare 192,7 millió rekordot érintő adatvédelmi incidense: Mit jelent ez a betegek adatainak védelme szempontjából?

A számokat nehéz felfogni. 2024-ben egy zsarolóvírus-támadás érte a Change Healthcare-t, egy elszámolóházat, amely az amerikai egészségügyi rendszer jelentős részének számlázási és biztosítási tranzakcióit dolgozza fel, és ennek következtében 192,7 millió személy személyes és egészségügyi adatait lopták el. Ez az egyetlen egészségügyi adatvédelmi incidens most a valaha feljegyzett legnagyobb, hatalmas különbséggel felülmúlva minden korábbi esetet.

Összehasonlításképpen, ez a szám az Egyesült Államok lakosságának több mint felét jelenti. Nem tucatnyi, egy év alatt bekövetkezett különálló esetből származik. Egyetlen támadásból, egyetlen vállalat ellen, amely az egészségügyi szolgáltatók, biztosítók és betegek összekapcsolt hálózatának középpontjában állt.

Hogyan ért el egyetlen támadás 192,7 millió embert

A Change Healthcare szerepe az amerikai egészségügyi rendszerben rendkívül értékes célponttá tette. Elszámolóházként ez a vállalat dolgozta fel a kárigényeket és tranzakciókat, összekötve több ezer kórházat, klinikát, gyógyszertárat és biztosítót. Amikor a támadók feltörték a hálózatát, nem csupán egyetlen szervezet adataihoz fértek hozzá. Egy központi adattárhoz jutottak, amely az egész egészségügyi iparág hatalmas keresztmetszetét érintette.

Az incidens a nagyszabású zsarolóvírus-eseteknél megszokott mintát követte: a támadók először hozzáférést szereztek, oldalirányban mozogtak a belső rendszerekben, beazonosították és kiszivárogtatták az érzékeny adatokat, majd zsarolóvírust telepítettek a működés megzavarására. Maga a működési zavar láncreakciószerű problémákat okozott az egészségügyi ágazatban, mivel a szolgáltatók hetekig nem tudtak kárigényeket feldolgozni. De a hosszabb távú kár az egészségügyi rekordok, biztosítási adatok és személyes azonosítók közel 193 millió embert érintő nyilvánosságra kerülése.

Ez a fajta, harmadik fél beszállítókból eredő kockázat nem egyedülálló a Change Healthcare esetében. A TriZetto adatvédelmi incidens, amely 3,4 millió betegrekordot tett közzé, hasonló mintát követett, ahol a támadók egy egészségügyi technológiai közvetítőt céloztak meg, nem közvetlenül egy kórházat. Amikor egyetlen beszállító több száz egészségügyi ügyfelet szolgál ki, egyetlen sikeres behatolás továbbgyűrűzve milliókat érinthet, akik soha közvetlenül nem álltak kapcsolatban a feltört vállalattal.

Miért kitartó célpont az egészségügy

Az egészségügyi szervezetek több, egymással összefüggő okból váltak a leggyakrabban feltört ágazatok egyikévé. Az egészségügyi rekordok a személyes, pénzügyi és orvosi információk egyedülállóan sűrű kombinációját tartalmazzák, ami értékesebbé teszi őket a bűnözők számára, mint a szokásos pénzügyi nyilvántartások. Ugyanakkor sok egészségügyi szervezet szűkös anyagi keretekkel működik, elavult infrastruktúrára támaszkodik, és olyan szabályozási és működési nyomással szembesül, amely lassíthatja a biztonsági fejlesztéseket.

A Change Healthcare incidens mértéke szélsőséges, de az egészségügyi adatvédelmi incidensek gyakorisága nem szokatlan. A nagy betegpopulációkat érintő eseteket következetesen rögzítik az utóbbi években, a nagy közegészségügyi rendszerektől a kisebb szakellátókig. A NYC Health and Hospitals adatvédelmi incidens, amely 1,8 millió ujjlenyomatot tett közzé, jól szemlélteti, hogy a közintézmények által kezelt biometrikus adatok is veszélybe kerülhetnek, ha egy harmadik fél beszállító hálózata nincs megfelelően biztosítva.

Ezekben az esetekben a minta következetes: a támadók gyenge pontot találnak, gyakran kompromittált hitelesítő adatok, javítatlan rendszerek vagy nem kellően biztosított távoli hozzáférés révén, majd olyan hálózatokon mozognak, amelyeket nem arra terveztek, hogy feltartóztassanak egy eltökélt behatolót.

Mit jelent ez Önnek

Ha Ön 2024 előtt vagy alatt bármikor ellátást kapott az Egyesült Államokban, jelentős az esélye annak, hogy adatai a Change Healthcare incidensben nyilvánosságra került rekordok között szerepelnek. Az érintett adatok állítólag neveket, címeket, társadalombiztosítási számokat, biztosítási információkat és sok esetben részletes orvosi rekordokat tartalmaznak.

A betegek számára ez azt jelenti, hogy a kockázat nem csupán személyazonosság-lopás. Magában foglalja a biztosítási csalás lehetőségét, a személyes egészségügyi adatokat felhasználó célzott adathalász támadásokat, valamint a bizalmas kórtörténet hosszú távú kitettségét. Az egészségügyi adatokat – egy hitelkártyaszámmal ellentétben – nem lehet megváltoztatni.

Az egészségügyi dolgozók és adminisztrátorok számára az incidens nyomatékos emlékeztető arra, hogy a betegadatok biztonsága nem csupán a saját szervezetük védelmétől függ, hanem minden egyes beszállítótól és partnertől, amely a rendszereikhez kapcsolódik. A harmadik féltől származó beszállítókhoz köthető adatvédelmi incidensek továbbra is jelentős részét teszik ki az egészségügyi eseményeknek, és a Change Healthcare esete sürgető kérdéseket vet fel azzal kapcsolatban, hogy ezeket a kapcsolatokat mennyire alaposan ellenőrzik és figyelemmel kísérik.

Kifejezetten az egészségügyi szervezetek számára az incidens több konkrét területet emel ki, amelyeket érdemes áttekinteni:

  • Harmadik felek hozzáférés-szabályozása: A belső rendszerekhez hozzáféréssel rendelkező beszállítóknak ugyanolyan ellenőrzés alá kell esniük, mint a belső felhasználóknak, beleértve a szigorú hitelesítő adatokra vonatkozó irányelveket és a hálózati szegmentálást, amely korlátozza, milyen messzire juthat el egyetlen hozzáférési pont.
  • Távoli hozzáférés biztonsága: A többlépcsős hitelesítéssel ellátott VPN-ek alapvető védelmet jelentenek a belső rendszerek távoli eléréséhez. A Change Healthcare incidens rámutat, hogy a kompromittált hitelesítő adatok belépési pontot jelenthetnek, de a VPN önmagában nem teljes védelem. Szegmentálással, megfigyeléssel és válaszadási képességekkel kell párosítani.
  • Adatminimalizálás: A szervezeteknek ellenőrizniük kell, milyen adatokat osztanak meg harmadik fél beszállítókkal, és csak a működés szempontjából szükséges adatokat tárolják és továbbítsák.

Érdemes egyértelművé tenni, hogy mit tudnak és mit nem tudnak az olyan biztonsági eszközök, mint a VPN-ek. A VPN-ek védik az adatátvitel csatornáját, különösen a klinikai rendszerekhez távolról hozzáférő dolgozók vagy a magánélet védelmét igénylő távegészségügyi kommunikáció esetében. Értékes védelmi réteget jelentenek a klinikai hálózaton kívül dolgozó egészségügyi alkalmazottak számára. A Change Healthcare incidens azonban elsősorban nem a távoli hozzáférés biztonságának hibája volt. Mélyebb, a hálózati architektúrával és az oldalirányú mozgással kapcsolatos rendszerszintű problémákat érintett, amelyek rétegzett védelmet igényelnek, messze túlmutatva bármely egyedi eszközön.

Gyakorlati teendők

Ha úgy véli, hogy adatait érinthette a Change Healthcare incidens vagy bármely hasonló eset, vannak konkrét lépések, amelyeket érdemes megtenni. Kísérje figyelemmel egészségbiztosítási számlakivonatait, nem szerepel-e rajtuk olyan kárigény, amelyet nem ismer. Helyezzen el csalási figyelmeztetést vagy hitelbefagyasztást a nagy hitelinformációs ügynökségeknél. Legyen éber a személyes egészségügyi adatokat felhasználó, hitelesnek tűnő adathalász kísérletekkel szemben.

Az egészségügyi szakemberek és adminisztrátorok számára a 2024-es rekordméretű incidens tanulsága, hogy a beszállítói kapcsolatok egyben biztonsági kapcsolatok is. Minden egyes harmadik fél kapcsolat a klinikai hálózathoz potenciális belépési pontot jelent, amely szigorú, folyamatos értékelést érdemel. A Change Healthcare-nél történtek mértéke nem csupán egyetlen vállalat sebezhetőségeit tükrözi, hanem azokat a kockázatokat is, amelyek egy szorosan összekapcsolt, nem kellőképpen megerősített infrastruktúrára épülő iparág létrehozásából fakadnak. E kockázatok kezelése befektetést igényel a lánc minden egyes láncszemének biztonságába, nem csupán a legláthatóbbakéba.