La violazione dei dati di ViaQuest Psychiatric espone PII e PHI di 6.420 pazienti

La violazione dei dati di ViaQuest Psychiatric espone PII e PHI di 6.420 pazienti

ViaQuest Psychiatric & Behavioral Solutions ha comunicato una violazione dei dati che ha coinvolto almeno 6.420 tra pazienti attuali, ex pazienti e membri del personale. L'incidente ha esposto sia informazioni personali identificabili (PII) sia informazioni sanitarie protette (PHI), mettendo migliaia di persone a maggior rischio di furto d'identità, discriminazione e frodi finanziarie. Per chiunque abbia usufruito di servizi di salute comportamentale, questa violazione è un forte promemoria del fatto che la protezione della privacy dei dati sanitari non è più un'opzione.

Cosa ha esposto la violazione di ViaQuest e chi è coinvolto

La violazione confermata presso ViaQuest Psychiatric & Behavioral Solutions ha coinvolto una doppia categoria di dati compromessi: PII, che in genere comprende nomi, indirizzi, date di nascita e numeri di previdenza sociale, insieme a PHI, che riguardano diagnosi, documentazione clinica, farmaci e cronologia degli appuntamenti. La combinazione di entrambe le tipologie in un'unica violazione è particolarmente pericolosa.

Le persone interessate includono pazienti attuali, ex pazienti e membri del personale, il che significa che l'esposizione non si limita a chi è attualmente in cura. Ex pazienti che hanno cercato assistenza anni fa potrebbero ancora ritrovarsi coinvolti. I membri del personale affrontano rischi propri, tra cui il furto di credenziali o attacchi di phishing mirati basati sui loro dati professionali.

Questo incidente segue uno schema già osservato nel settore sanitario. La violazione di OpenLoop Health che ha esposto i dati medici di 716.000 pazienti è un esempio di alto profilo di come le piattaforme di telemedicina e salute comportamentale siano diventate obiettivi primari per i criminali informatici che cercano di monetizzare dati sensibili.

Perché i dati psichiatrici e comportamentali sono particolarmente sensibili

Non tutte le cartelle cliniche hanno lo stesso peso. I dati psichiatrici e relativi alla salute comportamentale rientrano in una categoria a rischio eccezionalmente elevato per diverse ragioni.

In primo luogo, si tratta di informazioni profondamente personali. Le cartelle relative a condizioni di salute mentale, trattamenti per disturbi da uso di sostanze o diagnosi psichiatriche, se esposte, possono compromettere le prospettive lavorative, le decisioni sull'affidamento dei figli, l'idoneità assicurativa e le relazioni personali. A differenza di un numero di carta di credito rubato, non è possibile cancellare una storia psichiatrica.

In secondo luogo, i dati sanitari comportamentali spesso godono di tutele legali aggiuntive oltre alle norme standard HIPAA. In molti Stati, le cartelle relative ai disturbi da uso di sostanze sono soggette al 42 CFR Part 2, un regolamento federale che impone un consenso più stringente per la divulgazione. Quando queste informazioni vengono violate, le conseguenze legali e personali possono essere notevolmente più complesse rispetto a una tipica esposizione di dati sanitari.

In terzo luogo, i malintenzionati sanno quanto potere offrano questi dati. Le cartelle psichiatriche possono essere utilizzate per estorsioni mirate, frodi assicurative e attacchi di ingegneria sociale progettati per sfruttare persone vulnerabili che potrebbero già trovarsi ad affrontare circostanze personali difficili.

Come l'accesso non protetto ai portali sanitari mette a rischio i pazienti

I portali sanitari, i siti web e le app rivolti ai pazienti per consultare le proprie cartelle, prenotare appuntamenti e comunicare con i professionisti, si sono diffusi rapidamente. La comodità ha spesso superato la sicurezza. Quando i pazienti accedono a questi portali tramite reti Wi-Fi pubbliche non protette, come quelle di bar, biblioteche o aeroporti, espongono i dati di sessione, le credenziali di accesso e la cronologia di navigazione a potenziali intercettazioni.

È qui che la crittografia e le reti private virtuali (VPN) diventano direttamente rilevanti. Una VPN cripta la connessione tra il tuo dispositivo e Internet, rendendo molto più difficile per terze parti intercettare i dati in transito. Sebbene una VPN non possa impedire una violazione nei server dell'organizzazione sanitaria, protegge le tue credenziali e l'attività di sessione dall'essere prelevate a livello di rete, specialmente su connessioni condivise o non protette.

Oltre all'uso della VPN, i pazienti dovrebbero verificare la presenza della crittografia HTTPS su ogni portale utilizzato, attivare l'autenticazione a più fattori ovunque sia offerta ed evitare di riutilizzare le password tra le piattaforme sanitarie e altri account. Il credential stuffing, ovvero l'uso da parte degli aggressori di coppie nome utente e password trapelate da una violazione per accedere ad altri servizi, è uno dei modi più comuni con cui un singolo incidente si trasforma in compromissioni multiple. Incidenti come il ransomware che ha colpito Beacon Mutual coinvolgendo 130.000 persone mostrano quanto rapidamente le credenziali compromesse possano diffondersi all'interno di un'organizzazione.

Passi che pazienti e personale possono fare subito per proteggere i propri dati sanitari

Se ritieni di poter essere coinvolto nella violazione di ViaQuest, o se desideri rafforzare il tuo livello generale di protezione della privacy dei dati sanitari, vale la pena intraprendere immediatamente i seguenti passi.

Leggi attentamente le notifiche di violazione. ViaQuest è obbligata, in base alla regola HIPAA sulla notifica delle violazioni, a informare per iscritto le persone coinvolte. Leggi attentamente queste comunicazioni per capire esattamente quali dati sono stati interessati.

Attiva un blocco del credito. Poiché in questa violazione sono coinvolti PII, congela il tuo credito presso tutte e tre le principali agenzie di credito. Questo impedisce l'apertura di nuove linee di credito a tuo nome senza la tua esplicita autorizzazione.

Monitora il tuo conto assicurativo sanitario. Fai attenzione a richieste di rimborso che non riconosci, che possono segnalare un furto d'identità medica. Contatta immediatamente il tuo assicuratore se qualcosa non ti sembra familiare.

Usa una VPN quando accedi ai portali sanitari. Criptare la connessione è una precauzione di base, soprattutto se usi frequentemente reti pubbliche o condivise per gestire i tuoi account sanitari.

Aggiorna le password e attiva l'autenticazione a più fattori. Modifica le password di qualsiasi account che condivideva credenziali con servizi collegati a ViaQuest e attiva l'MFA ovunque sia possibile.

Richiedi una copia delle tue cartelle cliniche. In base all'HIPAA, hai il diritto di accedere ai tuoi dati sanitari. Esaminarli può aiutarti a identificare eventuali modifiche o divulgazioni non autorizzate.

Cosa significa per te

La violazione di ViaQuest può sembrare di piccole dimensioni rispetto a incidenti che coinvolgono centinaia di migliaia di persone, ma la sensibilità dei dati psichiatrici e comportamentali fa sì che l'impatto personale per ogni individuo coinvolto possa essere sproporzionatamente alto. Le organizzazioni sanitarie detengono alcune delle informazioni più intime sulla nostra vita, e le violazioni in questo settore raramente restano confinate a un singolo danno.

Con la continua migrazione dei servizi sanitari online, i pazienti hanno una maggiore responsabilità nel proteggersi durante la navigazione. L'uso di una VPN quando si accede ai portali dei pazienti, l'adozione di credenziali forti e uniche e la vigilanza contro i tentativi di phishing che utilizzano i tuoi dati sanitari come esca sono abitudini pratiche che riducono la tua esposizione, indipendentemente da ciò che una particolare organizzazione fa o non fa dalla sua parte.

Dedica qualche minuto questa settimana a rivedere le impostazioni di sicurezza su ogni portale sanitario che utilizzi. Lo sforzo è minimo rispetto al costo di dover riprendersi da un furto d'identità o dall'esposizione della tua storia sanitaria più privata.