A ViaQuest pszichiátriai adatvédelmi incidens 6 420 beteg személyes és egészségügyi adatait érinti
A ViaQuest Psychiatric & Behavioral Solutions nyilvánosságra hozott egy adatvédelmi incidenst, amely legalább 6 420 jelenlegi és volt beteget, valamint munkatársat érint. Az eset során mind személyes azonosításra alkalmas adatok (PII), mind védett egészségügyi adatok (PHI) kiszivárogtak, ami több ezer embert fokozott személyazonosság-lopási, diszkriminációs és pénzügyi csalási kockázatnak tesz ki. Aki valaha is igénybe vett viselkedésegészségügyi szolgáltatást, annak ez az incidens éles figyelmeztetés: az egészségügyi adatok védelme ma már nem választható lehetőség.
Mit tárt fel a ViaQuest incidens, és kiket érint
A ViaQuest Psychiatric & Behavioral Solutions megerősített adatvédelmi incidense két adatkategóriát érintett: PII, ami általában neveket, címeket, születési dátumokat és társadalombiztosítási számokat foglal magában, valamint PHI, ami diagnózisokat, kezelési feljegyzéseket, gyógyszerelési adatokat és időpont-előzményeket takar. A két típus együttes jelenléte egyetlen incidensben különösen veszélyes.
Az érintettek között jelenlegi és volt betegek, valamint munkatársak is vannak, ami azt jelenti, hogy a kiszivárgás nem korlátozódik az aktívan ellátás alatt állókra. Az évekkel ezelőtt kezelést kereső volt betegek adatai továbbra is érintettek lehetnek. A munkatársaknak saját kockázatokkal kell szembenézniük, beleértve a hitelesítő adatok ellopását vagy a munkaköri adataikat felhasználó célzott adathalászatot.
Ez az eset az egészségügyi szektorban megfigyelhető mintázatot követi. Az OpenLoop Health adatvédelmi incidens, amely 716 000 beteg orvosi adatait tette közzé, jól ismert példája annak, hogyan váltak a távgyógyászati és viselkedésegészségügyi platformok a kiberbűnözők elsődleges célpontjaivá, akik az érzékeny adatok pénzzé tételére törekszenek.
Miért különösen érzékenyek a pszichiátriai és viselkedésegészségügyi adatok
Nem minden egészségügyi adat egyforma súlyú. A pszichiátriai és viselkedésegészségügyi adatok több okból is egyedülállóan magas kockázati kategóriába tartoznak.
Először is, ez az információtípus mélyen személyes. A mentális egészségi állapotokkal, szerhasználati kezeléssel vagy pszichiátriai diagnózisokkal kapcsolatos feljegyzések befolyásolhatják a munkalehetőségeket, a gyermekelhelyezési döntéseket, a biztosíthatóságot és a személyes kapcsolatokat, ha nyilvánosságra kerülnek. Egy ellopott hitelkártyaszámmal ellentétben a pszichiátriai előzményeket nem lehet egyszerűen törölni.
Másodszor, a viselkedésegészségügyi adatokra gyakran a szokásos HIPAA-szabályokon túlmutató további jogi védelem vonatkozik. Számos államban a szerhasználati zavarokra vonatkozó feljegyzések a 42 CFR Part 2 hatálya alá tartoznak, ami egy szövetségi szabályozás, amely szigorúbb hozzájárulást ír elő az adatok kiadásához. Amikor ezek az adatok kiszivárognak, a jogi és személyes következmények lényegesen összetettebbek lehetnek, mint egy tipikus egészségügyi adatvédelmi incidens esetében.
Harmadszor, a rosszindulatú szereplők tisztában vannak azzal, milyen befolyásoló erőt biztosítanak ezek az adatok. A pszichiátriai feljegyzéseket célzott zsarolásra, biztosítási csalásra és olyan social engineering támadásokra használhatják, amelyek kifejezetten a nehéz személyes körülményekkel küzdő, kiszolgáltatott helyzetben lévő embereket célozzák.
Hogyan veszélyezteti a betegeket a védtelen egészségügyi portál hozzáférés
Az egészségügyi portálok, azaz a betegek számára elérhető weboldalak és alkalmazások, amelyeken keresztül elérhetik leleteiket, időpontot foglalhatnak és kommunikálhatnak az ellátókkal, gyorsan elterjedtek. A kényelem gyakran megelőzte a biztonságot. Amikor a betegek nem biztonságos nyilvános Wi-Fi hálózatokon keresztül érik el ezeket a portálokat – kávézókban, könyvtárakban vagy repülőtereken –, a munkamenet adataikat, bejelentkezési hitelesítőiket és böngészési tevékenységüket esetleges lehallgatásnak teszik ki.
Itt válik közvetlenül relevánssá a titkosítás és a virtuális magánhálózatok (VPN) használata. A VPN titkosítja az eszköze és az internet közötti kapcsolatot, ami lényegesen megnehezíti, hogy harmadik fél elfogja az átvitt adatokat. Bár egy VPN nem tudja megakadályozni az egészségügyi szervezet saját szerverein bekövetkező incidenst, megvédi az Ön hitelesítő adatait és munkamenet-aktivitását attól, hogy hálózati szinten megszerezzék azokat, különösen megosztott vagy nem biztonságos kapcsolatokon.
A VPN-használaton túl a betegeknek ügyelniük kell a HTTPS titkosítás meglétére minden általuk használt portálon, engedélyezniük kell a többtényezős hitelesítést, ahol csak elérhető, és kerülniük kell a jelszavak újrafelhasználását az egészségügyi platformok és más fiókok között. A credential stuffing, amikor a támadók az egyik adatvédelmi incidensből kiszivárgott felhasználónév-jelszó párokat használják fel más szolgáltatásokhoz való hozzáférésre, az egyik leggyakoribb módja annak, hogy egyetlen eset több kompromittálódáshoz vezessen. Az olyan esetek, mint a Beacon Mutual zsarolóvírusos incidens, ami 130 000 személyt érintett, mutatják, milyen gyorsan terjedhetnek ki a kompromittált hitelesítő adatok egy szervezeten belül.
Lépések, amelyeket a betegek és a munkatársak most megtehetnek egészségügyi adataik védelmében
Ha úgy gondolja, hogy érintett lehet a ViaQuest incidensben, vagy ha általánosságban szeretné megerősíteni egészségügyi adatai védelmét, érdemes azonnal megtennie a következő lépéseket.
Gondosan tekintse át az incidensről szóló értesítéseket. A HIPAA adatvédelmi incidensek bejelentésére vonatkozó szabálya értelmében a ViaQuest köteles írásban tájékoztatni az érintetteket. Alaposan olvassa el ezeket az értesítéseket, hogy pontosan megértse, milyen adatok voltak érintettek.
Kezdeményezzen hitelbefagyasztást. Mivel az incidens PII-t is érintett, fagyasztassa be a hitelét mindhárom nagy hitelinformációs ügynökségnél. Ez megakadályozza, hogy az Ön nevében az explicit engedélye nélkül új hitelkereteket nyissanak.
Kísérje figyelemmel egészségbiztosítási fiókját. Figyeljen az Ön által nem ismert igénylésekre, amelyek orvosi személyazonosság-lopásra utalhatnak. Azonnal lépjen kapcsolatba a biztosítójával, ha bármi ismeretlent észlel.
Használjon VPN-t az egészségügyi portálok elérésekor. A kapcsolat titkosítása alapvető óvintézkedés, különösen, ha gyakran használ nyilvános vagy megosztott hálózatokat az egészségügyi fiókjai kezeléséhez.
Frissítse jelszavait és engedélyezze a többtényezős hitelesítést. Változtassa meg a jelszavakat minden olyan fiókban, amely a ViaQuest-hez kapcsolódó szolgáltatásokkal azonos hitelesítő adatokat használt, és aktiválja az MFA-t, ahol csak lehetséges.
Kérjen másolatot az adatairól. A HIPAA értelmében joga van hozzáférni az egészségügyi adataihoz. Ezek áttekintése segíthet azonosítani az esetleges jogosulatlan módosításokat vagy hozzáféréseket.
Mit jelent ez Önnek
A ViaQuest incidens talán kicsinek tűnhet a több százezer embert érintő esetekhez képest, de a pszichiátriai és viselkedésegészségügyi adatok érzékenysége azt jelenti, hogy az érintettekre gyakorolt személyes hatás aránytalanul magas lehet. Az egészségügyi szervezetek birtokolják életünk néhány legbensőségesebb információját, és az ebben a szektorban bekövetkező adatvédelmi incidensek ritkán korlátozódnak egyetlen kárpontra.
Ahogy az egészségügyi szolgáltatók egyre több szolgáltatást helyeznek át online térbe, a betegekre nagyobb felelősség hárul önmaguk védelmében az adatátvitel során. A VPN használata a betegportálok elérésekor, az erős, egyedi hitelesítő adatok választása és az éberség az olyan adathalász kísérletekkel szemben, amelyek az Ön egészségügyi adatait használják csalétekként, olyan gyakorlati szokások, amelyek csökkentik a kitettségét, függetlenül attól, hogy bármely adott szervezet mit tesz vagy nem tesz meg a saját oldalán.
Szánjon néhány percet ezen a héten arra, hogy áttekintse az összes használt egészségügyi portál biztonsági beállításait. A ráfordított erőfeszítés csekély ahhoz a költséghez képest, amit a személyazonosság-lopásból vagy a legprivátabb egészségügyi előzményei nyilvánosságra kerüléséből való felépülés jelent.
