A Humana adatvédelmi incidens egészségügyi adatokat tesz közzé hat államban

A Humana adatvédelmi incidens érzékeny egészségügyi nyilvántartásokat tesz közzé hat államban

A Humana egészségbiztosítási óriásvállalat adatvédelmi incidenst tárt fel, amely Texasban, Floridában, Georgiában, Észak-Karolinában, Ohióban és Virginiában élő ügyfeleket érint. A feltört adatok közé tartoznak a legszemélyesebb információk, amelyek egy személlyel kapcsolatban nyilvánosságra kerülhetnek: társadalombiztosítási számok, orvosi számlázási és igénylési nyilvántartások, ellátások időpontjai és kezelőorvosok nevei. Az incidens már csoportos keresetet váltott ki, és a következmények valószínűleg még csak most kezdődnek.

Az érintett ügyfelek számára ez több mint kellemetlenség. A társadalombiztosítási számok és a részletes orvosi nyilvántartások kombinációja olyan profilt alkot, amely a kezdeti adatszivárgás után még éveken át felhasználható személyazonosság-lopásra, egészségügyi csalásra és pénzügyi visszaélésekre.

Hogyan történt az incidens

A bejelentés szerint az adatvédelmi incidens nem a Humana alapvető rendszereit érő közvetlen támadás eredménye volt. Ehelyett a támadók egy szállító szoftverének sebezhetőségén keresztül fértek hozzá az ügyféladatokhoz. Ez egyre gyakoribb támadási módszer: ahelyett, hogy egy nagy, jól védett szervezetet közvetlenül céloznának meg, a támadók az ellátási lánc gyengébb láncszemét keresik meg.

A breach következtében benyújtott csoportos kereset azt állítja, hogy a Humana nem titkosította vagy védte megfelelően a betegadatokat. Ha ez helytálló, az azt jelenti, hogy az adatok potenciálisan olyan formában voltak hozzáférhetők, amelyet a támadók közvetlenül olvasni és felhasználni tudtak, nem pedig titkosított formátumban, amely visszafejtési kulcs nélkül használhatatlanná tette volna azokat.

Ez a különbség lényeges. A titkosítás nem tökéletes védelem, de kritikus fontosságú. Ha az érzékeny adatok megfelelően titkosítottak, a tárolási vagy átviteli réteg feltörése nem jelenti automatikusan az adatok kompromittálódását. Ha a titkosítás hiányzik vagy nem megfelelő, egyetlen sebezhetőség is felhasználható formában teheti közzé emberek millióinak nyilvántartásait.

Milyen adatok kerültek nyilvánosságra

A feltört adatok körét érdemes alaposabban megvizsgálni. Az orvosi számlázási és igénylési adatok nem csupán azt rögzítik, hogy egy személy mivel tartozik vagy mit fizetett. Diagnózisokra, kezelésekre és kezelőorvosokra vonatkozó részleteket tartalmaznak, amelyeket sokan mélyen személyes jellegűnek tekintenek. Egy társadalombiztosítási számmal kombinálva ezek az információk felhasználhatók:

• Hamis adóbevallások benyújtására
• Új hitelkeretek megnyitására
• Hamis egészségbiztosítási igények benyújtására
• Betegek megszemélyesítésére egészségügyi környezetben

Az ilyen típusú kombinált adatszivárgást a személyazonosság-lopás kontextusában néha „fullz" profilnak nevezik, ami azt jelenti, hogy a támadó elegendő információval rendelkezik ahhoz, hogy valaki mást hatékonyan megszemélyesítsen több rendszerben és intézménynél.

Mit jelent ez az Ön számára

Ha Humana-ügyfél, különösen a hat érintett állam valamelyikében, az első lépés annak ellenőrzése, hogy kapott-e adatvédelmi értesítő levelet. Az adatvédelmi incidenst elszenvedő vállalatoknak általában kötelezően értesíteniük kell az érintett személyeket, bár az értesítések időzítése és teljessége eltérő lehet.

A hivatalos kommunikáció bevárásán túl érdemes most konkrét lépéseket tenni:

Igényeljen hitelzárolást. Ha kapcsolatba lép a három nagy hitelintézettel (Equifax, Experian és TransUnion), és befagyasztja hitelét, megakadályozza, hogy az Ön nevére az Ön kifejezett hozzájárulása nélkül nyissanak új számlákat. Ingyenes, visszafordítható, és az egyik leghatékonyabb védelem adatvédelmi incidens után.

Kövesse nyomon orvosi nyilvántartásait. Az egészségügyi személyazonosság-lopás sokáig észrevétlen maradhat. Rendszeresen tekintse át biztosítójától kapott Juttatás-magyarázatait, és időnként kérjen másolatot orvosi nyilvántartásairól, hogy ellenőrizze az ismeretlen bejegyzések meglétét.

Legyen éber az adathalász kísérletekkel szemben. A jogsértésekből személyes adatokat szerző támadók gyakran célzott adathalász e-mailekkel vagy telefonhívásokkal követik fel a támadást, amelyek valódi adatokat használnak fel a hitelesség látszatának keltéséhez. Legyen szkeptikus a biztosítására vagy kórtörténetére hivatkozó kéretlen megkeresésekkel szemben.

Fontolja meg személyazonosság-figyelő szolgáltatások igénybevételét. Számos cég kínál olyan személyazonosság-figyelési szolgáltatást, amely figyelmeztet, ha adatai megjelennek új hiteligénylésekben, adatközvetítői adatbázisokban vagy ismert adatvédelmi incidensek nyilvántartásaiban.

A harmadik fél szállítói kockázatának tágabb kontextusa

A Humana-incidens emlékeztet arra, hogy személyes adatai csak annyira biztonságosak, amennyire a leggyengébb rendszer, amelyen áthaladnak. A nagy szervezetek rendszeresen osztanak meg adatokat több tucat vagy akár több száz szállítóval, amelyek mindegyike potenciális adatszivárgási pontot jelent. Az egészségügyi, biztosítási és pénzügyi intézmények a legérzékenyebb személyes adatok egy részét kezelik, és az ezekre vonatkozó szabályozási követelmények, bár jelentősek, nyilvánvalóan nem bizonyultak elegendőnek az ehhez hasonló incidensek megelőzéséhez.

Fogyasztóként nem tudja befolyásolni, hogyan kezeli biztosítója a szállítói kapcsolatait. Azt azonban tudja befolyásolni, hogy milyen gyorsan reagál, ha valami rosszul sül el, és hogy hány védelmi réteget épít fel saját fiókjai és személyazonossága köré.

A Humana adatvédelmi incidens komoly esemény, amely potenciálisan több ezer embert érint hat államban. Ha adatai nyilvánosságra kerültek, a gyors és módszeres cselekvés adja a legjobb esélyt a kár minimalizálására. Függetlenül attól, hogy közvetlenül érintett-e vagy sem, ez az eset hasznos emlékeztetőként szolgál arra, hogy személyes adatait aktívan védendő erőforrásként kezelje, ne csupán olyasvalaminek, amely passzívan létezik az Ön által megbízott intézmények kezében.