Berapa banyak orang yang terdampak oleh pelanggaran data NYC Health and Hospitals?

Setidaknya 1,8 juta individu mengalami pencurian data dalam pelanggaran ini, menjadikannya salah satu pelanggaran data rumah sakit publik terbesar dalam sejarah New York City.

Bagaimana penyerang mendapatkan akses ke jaringan NYC Health and Hospitals?

Pelanggaran tersebut ditelusuri kembali ke vendor pihak ketiga, artinya NYCHH sendiri tidak secara langsung disusupi dalam pengertian tradisional.

Mengapa pencurian data sidik jari dianggap sangat serius?

Sidik jari tidak dapat diatur ulang atau diganti seperti kata sandi atau nomor kartu, artinya begitu dicuri, paparan tersebut bersifat permanen dan berpotensi tidak dapat dipulihkan bagi korban.

Berapa lama penyerang memiliki akses ke jaringan tersebut?

Penyerang mempertahankan akses dalam jangka waktu yang lama sebelum terdeteksi, jenis intrusi yang dikenal sebagai pelanggaran 'dwell time', yang memungkinkan mereka mengekstrak data dalam jumlah besar.

Pelanggaran Data NYC Health and Hospitals Mengekspos 1,8 Juta Sidik Jari

Q: Jenis data apa yang dicuri dalam pelanggaran tersebut?

Data yang dicuri mencakup informasi yang dapat diidentifikasi secara pribadi (PII), informasi kesehatan yang dilindungi (PHI), dan data biometrik, terutama sidik jari.

Pelanggaran Data NYC Health and Hospitals Mengekspos 1,8 Juta Sidik Jari dan Rekam Medis

New York City Health and Hospitals (NYCHH) telah mengungkapkan salah satu pelanggaran data rumah sakit publik terbesar dalam sejarah kota ini. Kompromi jaringan yang berlangsung berbulan-bulan, yang ditelusuri kembali ke vendor pihak ketiga, mengakibatkan pencurian informasi pribadi, medis, dan biometrik sensitif milik setidaknya 1,8 juta individu. Di antara data yang dicuri terdapat sidik jari — sebuah detail yang mengubah insiden ini dari sekadar pelanggaran privasi serius menjadi insiden yang berpotensi tidak dapat dipulihkan bagi mereka yang terdampak.

Pelanggaran ini merupakan pengingat tajam mengapa privasi biometrik dalam pelanggaran data layanan kesehatan jauh lebih layak mendapat perhatian daripada yang biasanya diterima. Rekam medis sudah termasuk dalam kategori data pribadi yang paling sensitif, tetapi dimasukkannya sidik jari meningkatkan taruhannya secara signifikan.

Apa yang Dicuri dan Berapa Lama Peretas Memiliki Akses

Menurut pengungkapan tersebut, penyerang mempertahankan akses ke jaringan dalam jangka waktu yang lama sebelum terdeteksi. Jenis intrusi berkepanjangan seperti ini, yang kadang disebut pelanggaran "dwell time", sangat merusak karena memberi penyerang kesempatan untuk memetakan sistem, mengekstrak data dalam jumlah besar, dan menghapus jejak mereka.

Informasi yang dicuri dilaporkan mencakup kombinasi informasi yang dapat diidentifikasi secara pribadi (PII), informasi kesehatan yang dilindungi (PHI), dan data biometrik. Kategori terakhir inilah yang membedakan insiden ini dari puluhan pelanggaran data layanan kesehatan yang dilaporkan setiap tahunnya. Sidik jari tidak kedaluwarsa. Sidik jari tidak dapat diatur ulang. Begitu data sidik jari Anda berada di tangan pelaku jahat, paparan tersebut bersifat permanen.

Mengapa Data Biometrik Seperti Sidik Jari Sangat Berbahaya Setelah Bocor

Sebagian besar korban pelanggaran data disarankan untuk mengganti kata sandi mereka, membekukan kredit, atau memantau akun keuangan mereka. Langkah-langkah tersebut memiliki nilai nyata. Namun tidak satu pun dari langkah itu yang berlaku ketika data yang dicuri adalah sidik jari.

Autentikasi biometrik bekerja justru karena ciri-ciri ini unik dan stabil. Sidik jari, geometri wajah, pola iris, dan pengenal serupa semakin banyak digunakan untuk membuka kunci perangkat, mengotorisasi pembayaran, memverifikasi identitas medis, dan mengontrol akses ke fasilitas aman. Properti yang sama yang membuat mereka berguna sebagai autentikator juga membuat pencuriannya menjadi bencana. Anda tidak dapat menerbitkan sidik jari baru untuk diri sendiri seperti bank menerbitkan nomor kartu baru.

Jika templat sidik jari yang dicuri digunakan untuk memalsukan sistem biometrik, korban mungkin tidak memiliki cara yang andal untuk mendeteksi atau menghentikan akses yang tidak sah. Ini bukan risiko teoritis. Seiring autentikasi biometrik semakin umum digunakan di lingkungan layanan kesehatan, nilai templat biometrik yang dicuri bagi penyerang canggih pun meningkat seiring berjalannya waktu.

Masalah Vendor Pihak Ketiga dalam Keamanan Layanan Kesehatan

Yang membuat pelanggaran ini signifikan secara struktural adalah asal-usulnya: vendor pihak ketiga. NYCHH sendiri tidak secara langsung disusupi dalam pengertian tradisional. Penyerang mengkompromikan vendor yang memiliki akses jaringan ke sistem rumah sakit dan menggunakan pijakan itu untuk menjangkau data pasien.

Ini adalah pola serangan yang semakin umum di berbagai industri, tetapi sangat menonjol di layanan kesehatan. Rumah sakit dan sistem kesehatan publik bergantung pada jaringan kontraktor luar, penyedia perangkat lunak, layanan penagihan, dan vendor peralatan yang luas. Setiap koneksi adalah titik masuk yang potensial. Keamanan sistem secara keseluruhan hanya sekuat tautan vendor yang paling lemah.

Tantangan bagi institusi besar seperti NYCHH adalah mereka tidak selalu dapat mengontrol praktik keamanan setiap pihak ketiga yang mereka ajak bekerja sama. Yang dapat mereka kendalikan adalah cara mereka menyaring vendor, akses data apa yang mereka berikan, dan apakah data sensitif dienkripsi sedemikian rupa sehingga tidak berguna meskipun disadap. Dalam kasus ini, pelanggaran berlanjut selama berbulan-bulan tanpa terdeteksi, menunjukkan bahwa pemantauan aktivitas jaringan pihak ketiga mungkin tidak cukup kuat untuk menangkap intrusi lebih awal.

Organisasi layanan kesehatan yang menangani data biometrik khususnya harus memperlakukan informasi tersebut dengan tingkat enkripsi dan kontrol akses tertinggi yang tersedia, mengingat bahwa komprominya tidak memiliki obat.

Cara Individu Dapat Lebih Melindungi Privasi Medis dan Biometrik Mereka

Bagi 1,8 juta orang yang terdampak oleh pelanggaran ini, langkah-langkah segera terbatas namun penting. Jika NYCHH mengirimkan surat pemberitahuan pelanggaran, baca dengan cermat untuk panduan spesifik mengenai data mana yang terlibat dan apakah layanan pemantauan kredit atau perlindungan identitas sedang ditawarkan.

Secara lebih luas, siapa pun yang berinteraksi dengan sistem layanan kesehatan harus memikirkan kebersihan digital mereka dengan cara yang melampaui tembok rumah sakit. Ketika Anda menggunakan portal pasien, aplikasi kesehatan, atau layanan telehealth di jaringan publik atau bersama, aktivitas penelusuran dan login terkait kesehatan Anda dapat terekspos. Menggunakan VPN terpercaya saat mengakses akun medis di Wi-Fi publik menambahkan lapisan enkripsi yang berarti pada koneksi Anda, mengurangi risiko pencurian kredensial.

Memahami cara kerja autentikasi biometrik dan mengapa pencuriannya tidak dapat dipulihkan juga merupakan konteks yang berguna untuk mengevaluasi layanan mana yang Anda percayai dengan pengenal tersebut. Ketika sebuah platform meminta sidik jari atau pemindaian wajah, ada baiknya bertanya bagaimana data tersebut disimpan, apakah disimpan sebagai templat mentah atau dikonversi menjadi hash terenkripsi, dan seperti apa riwayat pelanggaran vendor tersebut.

Apa Artinya Ini Bagi Anda

Jika Anda menerima perawatan melalui New York City Health and Hospitals dan belum menerima pemberitahuan pelanggaran, pantau surat pos dan email Anda dengan seksama. Pertimbangkan untuk melakukan pembekuan kredit di lembaga-lembaga utama sebagai tindakan pencegahan, karena pencurian identitas medis sering kali melibatkan klaim asuransi dan penagihan palsu atas nama korban.

Bagi semua orang lainnya, pelanggaran ini adalah sinyal untuk mengaudit data biometrik yang Anda bagikan dengan penyedia layanan kesehatan dan aplikasi. Kenyamanan autentikasi sidik jari itu nyata, tetapi begitu pula dengan permanensi keterpaparan data tersebut. Memilih layanan yang meminimalkan penyimpanan data biometrik, dan memastikan bahwa aktivitas kesehatan online Anda dilindungi dengan alat enkripsi saat berada di jaringan yang tidak tepercaya, adalah langkah praktis yang tersedia saat ini.

Privasi biometrik dalam pelanggaran data layanan kesehatan bukanlah kekhawatiran kebijakan yang abstrak. Bagi 1,8 juta warga New York, ini kini menjadi kenyataan yang dijalani tanpa resolusi yang mudah. Respons terbaik adalah tetap terinformasi, bertindak berdasarkan panduan resmi dari NYCHH, dan membangun kebiasaan yang membatasi paparan di masa depan sebisa mungkin.