Humanas datainnbrudd avslører helsedata i seks stater

Humanas datainnbrudd avslører sensitive helsejournaler i seks stater

Helseforsikringsgiganten Humana har offentliggjort et datainnbrudd som berører kunder i Texas, Florida, Georgia, North Carolina, Ohio og Virginia. Den kompromitterte informasjonen inkluderer noe av det mest sensitive en person kan få eksponert: personnummer, medisinske fakturerings- og kravsdokumenter, behandlingsdatoer og leverandørnavn. Innbruddet har allerede utløst et gruppesøksmål, og konsekvensene er sannsynligvis bare i startfasen.

For berørte kunder er dette mer enn en ulempe. En kombinasjon av personnummer og detaljerte medisinske journaler skaper en profil som kan utnyttes til identitetstyveri, medisinsk svindel og økonomiske svindelforsøk i årevis etter den første eksponeringen.

Hvordan innbruddet skjedde

Ifølge opplysningene var innbruddet ikke et resultat av et direkte angrep på Humanas kjernesystemer. I stedet fikk angriperne tilgang til kundedata gjennom en sårbarhet i en leverandørs programvare. Dette er en stadig vanligere angrepsvektor: i stedet for å angripe en stor, godt forsvart organisasjon direkte, finner angriperne et svakere ledd i leverandørkjeden.

Gruppesøksmålet som ble inngitt som respons på innbruddet, hevder at Humana ikke klarte å kryptere eller beskytte pasientinformasjon på tilstrekkelig vis. Hvis det stemmer, betyr det at dataene potensielt var tilgjengelige i en form angriperne kunne lese og bruke direkte, i stedet for i et kryptert format som ville gjort dem ubrukelige uten en dekrypteringsnøkkel.

Denne forskjellen er viktig. Kryptering er ikke et perfekt forsvar, men det er et avgjørende et. Når sensitive data er korrekt kryptert, betyr ikke et innbrudd i lagrings- eller overføringslaget automatisk at dataene er kompromittert. Når kryptering mangler eller er utilstrekkelig, kan én enkelt sårbarhet eksponere millioner av poster i en brukbar form.

Hvilken type data ble eksponert

Omfanget av den kompromitterte informasjonen fortjener nærmere oppmerksomhet. Medisinske fakturerings- og kravsdokumenter er ikke bare et register over hva en person skylder eller har betalt. Det inneholder detaljer om diagnoser, behandlinger og helsepersonell som mange anser som dypt private. Kombinert med et personnummer kan denne informasjonen brukes til å:

• Levere inn falske selvangivelser
• Åpne nye kredittlinjer
• Sende inn falske helseforsikringskrav
• Utgi seg for å være pasienter i helsemiljøer

Denne typen kombinert eksponering kalles noen ganger en «fullz»-profil i konteksten av identitetstyveri, noe som betyr at en angriper har nok informasjon til å effektivt utgi seg for å være noen på tvers av flere systemer og institusjoner.

Hva dette betyr for deg

Hvis du er Humana-kunde, særlig i de seks berørte statene, er det første skrittet å sjekke om du har mottatt et varslbrev om innbruddet. Selskaper som opplever datainnbrudd er generelt pålagt å varsle berørte enkeltpersoner, selv om tidspunktet og fullstendigheten av slike varsler varierer.

Utover det å vente på offisiell kommunikasjon, finnes det konkrete tiltak som er verdt å ta nå:

Frys kreditten din. Å kontakte de tre store kredittbyråene (Equifax, Experian og TransUnion) for å fryse kreditten din forhindrer at nye kontoer åpnes i ditt navn uten din eksplisitte godkjenning. Det er gratis, reversibelt og en av de mest effektive beskyttelsene som er tilgjengelig etter et datainnbrudd.

Overvåk dine medisinske journaler. Medisinsk identitetstyveri kan gå uoppdaget over lang tid. Gå gjennom dine forklaringer på fordeler fra forsikringsselskapet ditt og be om en kopi av dine medisinske journaler med jevne mellomrom for å sjekke etter ukjente oppføringer.

Vær på vakt mot phishing-forsøk. Angripere som skaffer seg personopplysninger fra innbrudd, følger ofte opp med målrettede phishing-e-poster eller telefonsamtaler som bruker ekte detaljer for å fremstå som legitime. Vær skeptisk til uønsket kontakt som refererer til din forsikring eller sykehistorie.

Vurder identitetsovervåkingstjenester. Mange selskaper tilbyr identitetsovervåking som varsler deg når informasjonen din dukker opp i nye kredittforespørsler, databrokerdatabaser eller kjente innbruddsregistre.

Det større bildet rundt risiko fra tredjepartsleverandører

Humana-innbruddet er en påminnelse om at dine personopplysninger bare er så sikre som det svakeste systemet de passerer gjennom. Store organisasjoner deler rutinemessig data med dusinvis eller hundrevis av leverandører, og hver av dem representerer et potensielt eksponeringspunkt. Helse-, forsikrings- og finansinstitusjoner håndterer noe av de mest sensitive personopplysningene som finnes, og de regulatoriske kravene rundt disse dataene, selv om de er betydelige, har tydelig ikke vært tilstrekkelige til å forhindre hendelser som denne.

Som forbruker kan du ikke kontrollere hvordan forsikringsselskapet ditt håndterer sine leverandørrelasjoner. Det du kan kontrollere er hvor raskt du reagerer når noe går galt, og hvor mange lag med beskyttelse du legger rundt dine egne kontoer og din identitet.

Humanas datainnbrudd er en alvorlig hendelse som potensielt berører tusenvis av mennesker i seks stater. Hvis informasjonen din ble eksponert, gir rask og metodisk handling deg den beste sjansen til å begrense skaden. Og uavhengig av om du ble direkte berørt, er denne saken en nyttig påminnelse om å behandle personopplysningene dine som en ressurs verdt å aktivt beskytte, ikke bare noe som eksisterer passivt i hendene på institusjoner du stoler på.