NYC Health sitt databrudd på 1,8 millioner poster blant nye HHS-registrerte hendelser

NYC Health sitt databrudd på 1,8 millioner poster blant nye HHS-registrerte hendelser

Det amerikanske helse- og sosialdepartementets sporingsverktøy for databrudd har lagt til flere betydelige databrudd innen helsesektoren i sin offentlige logg, der det største berører 1,8 millioner personer tilknyttet New York City Health and Hospitals Corporation. En separat hendelse hos Erie Family Health Centers kompromitterte personlige, medisinske og økonomiske opplysninger for ytterligere 570 000 personer. Til sammen understreker disse hendelsene de vedvarende og voksende personvernrisikoene knyttet til helsedata som millioner av amerikanere møter hver gang de er i kontakt med en helsetilbyder.

Hva HHS sitt sporingsverktøy for databrudd avslører om disse hendelsene

HHS sin databruddportal, som vedlikeholdes i henhold til HIPAAs regel om varsling ved databrudd, fungerer som en offentlig logg over betydelige hendelser med helsedata som berører 500 eller flere personer. Når nye oppføringer dukker opp, signaliserer det at berørte organisasjoner har fullført sine obligatoriske rapporteringsforpliktelser – noen ganger måneder etter at det opprinnelige bruddet fant sted.

Oppføringen for NYC Health and Hospitals Corporation er bemerkelsesverdig av to grunner: dens enorme omfang og dens opprinnelse. Bruddet stammet ikke fra et direkte angrep på sykehussystemene, men fra et kompromiss som involverte en tredjepartsleverandør. Erie Family Health Centers, et føderalt kvalifisert helsesenter som betjener lavinntektssamfunn i Illinois, rapporterte at bruddet eksponerte en særlig sensitiv kombinasjon av datatyper, inkludert personidentifikatorer, medisinsk informasjon og økonomiske detaljer. Denne kombinasjonen gjør ofrene spesielt sårbare for flere former for svindel samtidig.

Hvorfor helsedata er farligere enn de fleste andre typer stjålne data

Et stjålet kredittkortnummer er frustrerende, men det kan sperres i løpet av minutter. Et stjålet medisinsk journal er noe helt annet. Helsedata inneholder informasjon som ikke kan endres: fødselsdatoer, personnummer, forsikringspolisjenumre, diagnoshistorikk og reseptregistre. På underjordiske markeder oppnår komplette medisinske profiler rutinemessig langt høyere priser enn standard finansielle legitimasjonsopplysninger.

Faren forsterkes fordi medisinsk identitetstyveri ofte ikke oppdages på måneder eller år. En tyv som bruker stjålne forsikringsopplysninger til å skaffe resepter eller sende inn svindelkrav, etterlater vanligvis ingen umiddelbar spor på offerets bankkonto. Innen svindelen avdekkes gjennom et avvist forsikringskrav eller en uventet medisinsk regning, er skaden allerede omfattende og vanskelig å rydde opp i.

Helsedata skaper også grunnlag for målrettet phishing. En angriper som kjenner legens navn, dine nylige diagnoser og din forsikringsleverandør, kan utarbeide overbevisende kommunikasjon som omgår den skepsisen de fleste anvender overfor generiske svindeleposter.

Hvordan tredjepartsleverandører ble det svakeste leddet i pasientpersonvernet

NYC Health-bruddet passer inn i et mønster som har dominert sikkerhetshendelser innen helsesektoren i flere år. Sykehus og helsesystemer er avhengige av tette økosystemer av programvareleverandører, faktureringsprosessorer, telehelseplatformer, verktøy for timebestilling og dataanalysefirmaer. Hver av disse tredjepartene mottar tilgang til pasientdata for å utføre sine kontraktsfestede funksjoner, og hver av dem representerer en ytterligere angrepsflate som helseorganisasjonen selv ikke har full kontroll over.

Regulatoriske rammeverk krever at dekkede enheter inngår forretningsforbindelsesavtaler med leverandører, som etablerer forpliktelser for databeskyttelse. Disse avtalene medfører imidlertid ikke automatisk tilsvarende sikkerhetsnivåer. Et stort akademisk medisinsk senter kan ha et modent sikkerhetsprogram, mens timebestillingsprogramvareleverandøren det bruker opererer med langt mindre gransking.

Denne dynamikken er ikke unik for helsesektoren. Sårbarhetene på servernivå på tvers av bransjer eksponerer jevnlig data som holdes av leverandører fremfor de primære organisasjonene som pasienter eller kunder stoler på. Å forstå at dataene dine reiser langt utenfor veggene på legekontoret ditt, er en viktig del av å håndtere din egen personverneksponering. Du kan lese mer om hvordan sårbarheter på infrastrukturnivå påvirker data i stor skala i dekningen av cPanel-autentiseringsomgåelsesutnyttelsen som rammet titusenvis av servere, som illustrerer hvordan en enkelt feil i mye brukt programvare kan spre seg gjennom tusenvis av organisasjoner samtidig.

Praktiske personvernsteg for pasienter som samhandler med helsetilbydere på nett

Selv om individuelle pasienter ikke kan revidere sin helsetilbyders leverandørrelasjoner, finnes det konkrete steg som reduserer eksponering og forbedrer din evne til å oppdage svindel tidlig.

For det første bør du med jevne mellomrom be om en kopi av journalene dine. Gjennomgang av dem lar deg oppdage ukjente prosedyrer, resepter eller leverandørnavn som kan indikere at noen har brukt din identitet til å motta behandling. I henhold til HIPAA har du rett til å få tilgang til journalene dine, og de fleste helsetilbydere er pålagt å imøtekomme forespørsler innen 30 dager.

For det andre bør du kontakte din helseforsikrer og be om et sammendrag av ytelsesforklaringer for det siste året. Eventuelle krav du ikke kjenner igjen, krever umiddelbar oppfølging. Mange forsikringsselskaper tilbyr nå gratis overvåkingsvarsler for uvanlig kravaktivitet.

For det tredje bør du vurdere å fryse kreditten din hos alle tre store kredittbyråer. Medisinsk identitetstyveri fører ofte til inkassosaker og svindelbaserte kredittlinjer, og en frysing forhindrer at nye kontoer åpnes i ditt navn uten din eksplisitte godkjenning.

For det fjerde bør du bruke unike, sterke passord for alle pasientportalkontoer, som de som brukes til å se laboratoriresultater eller bestille timer. Disse portalene inneholder svært sensitive opplysninger, men de er ofte kun beskyttet av svake legitimasjonsopplysninger som pasienter gjenbruker på andre tjenester. Å bruke en dedikert e-postadresse for helsekontoer begrenser også skadeomfanget dersom en av dine andre kontoer kompromitteres.

Til slutt bør du holde deg informert om det bredere regulatoriske og lovgivningsmessige miljøet som former hvordan dataene dine håndteres. Nylig delstatslovgivning rettet mot digitalt personvern, som Utahs SB 73-lov om aldersverifisering, gjenspeiler en voksende bevissthet blant lovgivere om at digitale datastrømmer krever sterkere beskyttelsesmekanismer. Å følge med på hvordan disse retningslinjene utvikler seg, kan hjelpe deg med å forstå hvilke beskyttelser som er, og ikke er, på plass for din informasjon.

Hva dette betyr for deg

Tilleggingen av disse bruddene til HHS-sporingsverktøyet er en påminnelse om at personvernrisikoene knyttet til helsedata ikke er hypotetiske. Millioner av mennesker fikk sensitive opplysninger eksponert i bare disse to hendelsene alene, og sporingsverktøyet registrerer hundrevis av hendelser årlig.

Dine mest effektive verktøy er overvåking, tidlig oppdagelse og begrensning av unødvendig datadeling der det er mulig. Spør helsetilbyderne dine hvilke tredjeparts leverandører som mottar dataene dine og til hvilke formål. Gjennomgå journalene dine og forsikringsoppgavene dine regelmessig. Og behandle pasientportalens påloggingsopplysninger med samme alvor som du anvender på finanskontoene dine. Disse stegene vil ikke forhindre at en leverandør utsettes for et databrudd, men de øker betydelig sjansen for at du oppdager svindel før den forårsaker varig skade.