Pelanggaran Data Humana Mengekspos Data Kesehatan di Enam Negara Bagian

Pelanggaran Data Humana Mengekspos Rekam Kesehatan Sensitif di Enam Negara Bagian

Raksasa asuransi kesehatan Humana telah mengungkapkan pelanggaran data yang berdampak pada pelanggan di Texas, Florida, Georgia, North Carolina, Ohio, dan Virginia. Informasi yang dikompromikan mencakup beberapa data paling sensitif yang bisa terekspos dari seseorang: nomor Jaminan Sosial, catatan tagihan dan klaim medis, tanggal layanan, serta nama penyedia layanan kesehatan. Pelanggaran ini telah memicu gugatan class-action, dan dampaknya kemungkinan besar baru saja dimulai.

Bagi pelanggan yang terdampak, ini bukan sekadar ketidaknyamanan biasa. Kombinasi nomor Jaminan Sosial dan catatan medis yang terperinci menciptakan profil yang dapat dieksploitasi untuk pencurian identitas, penipuan medis, dan penipuan finansial selama bertahun-tahun setelah kebocoran awal terjadi.

Bagaimana Pelanggaran Ini Terjadi

Menurut pengungkapan yang ada, pelanggaran ini bukan merupakan hasil serangan langsung terhadap sistem inti Humana. Sebaliknya, para penyerang mengakses data pelanggan melalui kerentanan pada perangkat lunak vendor. Ini adalah vektor serangan yang semakin umum terjadi: alih-alih menyerang organisasi besar yang pertahanannya kuat secara langsung, para penyerang mencari mata rantai yang lebih lemah dalam rantai pasokan.

Gugatan class-action yang diajukan sebagai respons atas pelanggaran ini mengklaim bahwa Humana gagal mengenkripsi atau melindungi informasi pasien secara memadai. Jika hal ini akurat, berarti data tersebut berpotensi dapat diakses dalam bentuk yang langsung bisa dibaca dan digunakan oleh para penyerang, bukan dalam format terenkripsi yang akan membuatnya tidak berguna tanpa kunci dekripsi.

Perbedaan ini sangat penting. Enkripsi bukan pertahanan yang sempurna, tetapi merupakan pertahanan yang krusial. Ketika data sensitif dienkripsi dengan benar, pelanggaran pada lapisan penyimpanan atau transmisi tidak secara otomatis berarti data tersebut telah dikompromikan. Ketika enkripsi tidak ada atau tidak memadai, satu kerentanan saja dapat mengekspos jutaan catatan dalam bentuk yang dapat langsung digunakan.

Jenis Data yang Terekspos

Cakupan informasi yang dikompromikan layak mendapat perhatian lebih mendalam. Data tagihan dan klaim medis bukan sekadar catatan tentang apa yang terutang atau telah dibayar seseorang. Data tersebut berisi rincian tentang diagnosis, perawatan, dan penyedia layanan yang dianggap sangat pribadi oleh banyak orang. Dikombinasikan dengan nomor Jaminan Sosial, informasi ini dapat digunakan untuk:

• Mengajukan laporan pajak palsu
• Membuka jalur kredit baru
• Mengajukan klaim asuransi medis palsu
• Menyamar sebagai pasien di fasilitas layanan kesehatan

Jenis eksposur gabungan seperti ini kadang disebut profil "fullz" dalam konteks pencurian identitas, yang berarti penyerang memiliki informasi yang cukup untuk secara efektif menyamar sebagai seseorang di berbagai sistem dan institusi.

Apa Artinya Ini Bagi Anda

Jika Anda adalah pelanggan Humana, khususnya di enam negara bagian yang terdampak, langkah pertama adalah memeriksa apakah Anda telah menerima surat pemberitahuan pelanggaran. Perusahaan yang mengalami pelanggaran data umumnya diwajibkan untuk memberitahu individu yang terdampak, meskipun waktu dan kelengkapan pemberitahuan tersebut bervariasi.

Selain menunggu komunikasi resmi, ada langkah-langkah konkret yang layak diambil sekarang:

Lakukan pembekuan kredit. Menghubungi tiga biro kredit utama (Equifax, Experian, dan TransUnion) untuk membekukan kredit Anda mencegah dibukanya akun baru atas nama Anda tanpa persetujuan eksplisit dari Anda. Layanan ini gratis, dapat dibatalkan, dan merupakan salah satu perlindungan paling efektif yang tersedia setelah pelanggaran data.

Pantau rekam medis Anda. Pencurian identitas medis dapat tidak terdeteksi dalam waktu yang lama. Tinjau laporan Penjelasan Manfaat dari perusahaan asuransi Anda dan minta salinan rekam medis Anda secara berkala untuk memeriksa adanya entri yang tidak dikenal.

Waspadai upaya phishing. Penyerang yang memperoleh data pribadi dari pelanggaran sering menindaklanjutinya dengan email phishing atau panggilan telepon yang ditargetkan, menggunakan detail nyata agar tampak sah. Bersikaplah skeptis terhadap kontak yang tidak diminta yang merujuk pada asuransi atau riwayat medis Anda.

Pertimbangkan layanan pemantauan identitas. Banyak perusahaan menawarkan pemantauan identitas yang memberi peringatan ketika informasi Anda muncul dalam permintaan kredit baru, basis data broker data, atau repositori pelanggaran yang diketahui.

Gambaran Besar tentang Risiko Vendor Pihak Ketiga

Pelanggaran Humana adalah pengingat bahwa data pribadi Anda hanya seaman sistem terlemah yang dilaluinya. Organisasi besar secara rutin berbagi data dengan puluhan atau ratusan vendor, yang masing-masing mewakili titik eksposur yang potensial. Layanan kesehatan, asuransi, dan lembaga keuangan menangani beberapa data pribadi paling sensitif yang ada, dan persyaratan regulasi seputar data tersebut, meskipun signifikan, jelas belum cukup untuk mencegah insiden seperti ini.

Sebagai konsumen, Anda tidak dapat mengontrol bagaimana perusahaan asuransi Anda mengelola hubungan vendor-nya. Yang dapat Anda kendalikan adalah seberapa cepat Anda merespons ketika sesuatu berjalan salah, dan berapa banyak lapisan perlindungan yang Anda pasang di sekitar akun dan identitas Anda sendiri.

Pelanggaran data Humana adalah insiden serius yang berpotensi berdampak pada ribuan orang di enam negara bagian. Jika informasi Anda terekspos, bertindak cepat dan sistematis memberi Anda peluang terbaik untuk membatasi kerugian. Dan terlepas dari apakah Anda terdampak secara langsung atau tidak, kasus ini adalah pengingat yang berguna untuk memperlakukan data pribadi Anda sebagai sumber daya yang layak dilindungi secara aktif, bukan sekadar sesuatu yang ada secara pasif di tangan institusi yang Anda percaya.