ViaQuest Psychiatric Breach Exposes 6,420 Patients' PII and PHI

Pelanggaran ViaQuest Psychiatric Mengekspos PII dan PHI 6.420 Pasien

ViaQuest Psychiatric & Behavioral Solutions telah mengungkapkan pelanggaran data yang memengaruhi setidaknya 6.420 pasien dan staf saat ini maupun mantan. Insiden tersebut mengekspos baik informasi pengenal pribadi (PII) maupun informasi kesehatan yang dilindungi (PHI), menempatkan ribuan individu pada risiko lebih tinggi untuk pencurian identitas, diskriminasi, dan penipuan keuangan. Bagi siapa pun yang pernah mencari layanan kesehatan perilaku, pelanggaran ini adalah pengingat keras bahwa perlindungan privasi data kesehatan bukan lagi pilihan.

Apa yang Diekspos oleh Pelanggaran ViaQuest dan Siapa yang Terdampak

Pelanggaran yang dikonfirmasi di ViaQuest Psychiatric & Behavioral Solutions melibatkan dua kategori data yang dikompromikan: PII, yang biasanya mencakup nama, alamat, tanggal lahir, dan nomor Jaminan Sosial, bersama dengan PHI, yang mencakup diagnosis, catatan perawatan, pengobatan, dan riwayat janji temu. Kombinasi kedua jenis data dalam satu pelanggaran sangat berbahaya.

Individu yang terdampak termasuk pasien saat ini dan mantan pasien serta anggota staf, artinya paparan tidak terbatas pada mereka yang sedang menerima perawatan. Mantan pasien yang mencari perawatan bertahun-tahun lalu mungkin masih mendapati catatan mereka ikut terlibat. Anggota staf menghadapi risikonya sendiri, termasuk pencurian kredensial atau phishing bertarget menggunakan detail pekerjaan mereka.

Insiden ini mengikuti pola yang terlihat di seluruh sektor kesehatan. Pelanggaran OpenLoop Health yang mengekspos data medis 716.000 pasien adalah contoh menonjol bagaimana platform telehealth dan kesehatan perilaku telah menjadi target utama bagi penjahat siber yang ingin memonetisasi catatan sensitif.

Mengapa Catatan Kesehatan Jiwa dan Perilaku Sangat Sensitif

Tidak semua catatan kesehatan memiliki bobot yang sama. Data kesehatan jiwa dan perilaku berada dalam kategori berisiko tinggi yang unik karena beberapa alasan.

Pertama, jenis informasi ini sangat pribadi. Catatan terkait kondisi kesehatan mental, perawatan penyalahgunaan zat, atau diagnosis psikiatrik dapat memengaruhi prospek pekerjaan, penentuan hak asuh anak, kelayakan asuransi, dan hubungan pribadi jika terekspos. Tidak seperti nomor kartu kredit yang dicuri, Anda tidak bisa begitu saja membatalkan riwayat psikiatrik.

Kedua, catatan kesehatan perilaku sering kali membawa perlindungan hukum tambahan di luar aturan HIPAA standar. Di banyak negara bagian, catatan gangguan penggunaan zat tunduk pada 42 CFR Bagian 2, peraturan federal yang mensyaratkan persetujuan yang lebih ketat untuk pengungkapan. Ketika catatan ini dilanggar, dampak hukum dan pribadi bisa jauh lebih kompleks daripada paparan data kesehatan biasa.

Ketiga, pelaku jahat tahu daya ungkit yang diberikan data ini. Catatan psikiatrik dapat digunakan untuk pemerasan bertarget, penipuan asuransi, dan serangan rekayasa sosial yang dirancang untuk mengeksploitasi individu rentan yang mungkin sudah menghadapi keadaan pribadi yang sulit.

Bagaimana Akses Portal Kesehatan yang Tidak Dilindungi Membahayakan Pasien

Portal kesehatan, situs web dan aplikasi yang digunakan pasien untuk mengakses catatan, menjadwalkan janji temu, dan berkomunikasi dengan penyedia layanan, telah berkembang pesat. Kenyamanan sering kali melampaui keamanan. Ketika pasien mengakses portal ini melalui jaringan Wi-Fi publik yang tidak aman, di kedai kopi, perpustakaan, atau bandara, mereka mengekspos data sesi, kredensial masuk, dan perilaku penjelajahan mereka terhadap potensi penyadapan.

Di sinilah enkripsi dan jaringan pribadi virtual (VPN) menjadi relevan secara langsung. VPN mengenkripsi koneksi antara perangkat Anda dan internet, sehingga jauh lebih sulit bagi pihak ketiga untuk menyadap data dalam perjalanan. Meskipun VPN tidak dapat mencegah pelanggaran di server organisasi kesehatan itu sendiri, VPN melindungi kredensial dan aktivitas sesi Anda dari pencurian di tingkat jaringan, terutama pada koneksi bersama atau tidak aman.

Selain penggunaan VPN, pasien harus mencari enkripsi HTTPS di portal apa pun yang mereka gunakan, mengaktifkan autentikasi multi-faktor di mana pun ditawarkan, dan menghindari penggunaan ulang kata sandi di berbagai platform kesehatan dan akun lainnya. Credential stuffing, di mana penyerang menggunakan pasangan nama pengguna dan kata sandi yang bocor dari satu pelanggaran untuk mengakses layanan lain, adalah salah satu cara paling umum bagaimana satu insiden berkembang menjadi banyak kompromi. Insiden seperti pelanggaran ransomware Beacon Mutual yang memengaruhi 130.000 individu menunjukkan betapa cepatnya kredensial yang dikompromikan dapat menyebar di seluruh organisasi.

Langkah yang Dapat Diambil Pasien dan Staf untuk Melindungi Data Kesehatan Mereka Sekarang

Jika Anda yakin mungkin terdampak oleh pelanggaran ViaQuest, atau jika Anda ingin memperkuat postur perlindungan privasi data kesehatan Anda secara keseluruhan, langkah-langkah berikut patut segera diambil.

Tinjau pemberitahuan pelanggaran dengan cermat. ViaQuest diwajibkan berdasarkan Aturan Pemberitahuan Pelanggaran HIPAA untuk memberi tahu individu yang terdampak secara tertulis. Bacalah pemberitahuan ini secara menyeluruh untuk memahami data apa saja yang terlibat.

Pasang pembekuan kredit. Karena PII adalah bagian dari pelanggaran ini, bekukan kredit Anda di ketiga biro utama. Ini mencegah dibukanya jalur kredit baru atas nama Anda tanpa otorisasi eksplisit Anda.

Pantau akun asuransi kesehatan Anda. Perhatikan klaim yang tidak Anda kenali, yang dapat menandakan pencurian identitas medis. Segera hubungi perusahaan asuransi Anda jika ada sesuatu yang tampak tidak dikenal.

Gunakan VPN saat mengakses portal kesehatan. Mengenkripsi koneksi Anda adalah tindakan pencegahan dasar, terutama jika Anda sering menggunakan jaringan publik atau bersama untuk mengelola akun kesehatan Anda.

Perbarui kata sandi dan aktifkan autentikasi multi-faktor. Ubah kata sandi di setiap akun yang berbagi kredensial dengan layanan terkait ViaQuest, dan aktifkan MFA di mana pun memungkinkan.

Minta salinan catatan Anda. Berdasarkan HIPAA, Anda memiliki hak untuk mengakses catatan kesehatan Anda. Meninjaunya dapat membantu Anda mengidentifikasi modifikasi atau pengungkapan yang tidak sah.

Apa Artinya Ini Bagi Anda

Pelanggaran ViaQuest mungkin tampak kecil dibandingkan dengan insiden yang memengaruhi ratusan ribu orang, tetapi sensitivitas data kesehatan jiwa dan perilaku berarti dampak pribadi per individu yang terdampak bisa sangat tinggi. Organisasi kesehatan menyimpan beberapa informasi paling intim tentang kehidupan kita, dan pelanggaran di sektor ini jarang hanya terbatas pada satu titik kerugian.

Seiring penyedia layanan kesehatan terus memindahkan layanan secara online, pasien memikul lebih banyak tanggung jawab untuk melindungi diri mereka sendiri dalam perjalanan. Menggunakan VPN saat mengakses portal pasien, memilih kredensial unik yang kuat, dan tetap waspada terhadap upaya phishing yang menggunakan detail kesehatan Anda sebagai umpan adalah kebiasaan praktis yang mengurangi paparan Anda terlepas dari apa yang dilakukan atau gagal dilakukan oleh organisasi tertentu di pihak mereka.

Luangkan waktu beberapa menit minggu ini untuk meninjau pengaturan keamanan di setiap portal kesehatan yang Anda gunakan. Usaha kecil ini sebanding dengan biaya pemulihan dari pencurian identitas atau paparan riwayat kesehatan Anda yang paling pribadi.