ViaQuest Psychiatric-brudd avslører PII og PHI for 6 420 pasienter

ViaQuest Psychiatric-brudd avslører PII og PHI for 6 420 pasienter

ViaQuest Psychiatric & Behavioral Solutions har offentliggjort et datainnbrudd som berører minst 6 420 nåværende og tidligere pasienter samt ansatte. Hendelsen eksponerte både personlig identifiserbar informasjon (PII) og beskyttet helseinformasjon (PHI), noe som setter tusenvis av mennesker i økt risiko for identitetstyveri, diskriminering og økonomisk svindel. For alle som har oppsøkt tjenester innen psykisk helsevern, er dette bruddet en sterk påminnelse om at personvern for helsedata ikke lenger er valgfritt.

Hva ViaQuest-bruddet avslørte og hvem som er rammet

Det bekreftede bruddet hos ViaQuest Psychiatric & Behavioral Solutions omfattet en dobbel kategori av kompromitterte data: PII, som vanligvis inkluderer navn, adresser, fødselsdatoer og personnummer, sammen med PHI, som dekker diagnoser, behandlingsjournaler, medisinering og avtalehistorikk. Kombinasjonen av begge typer i ett enkelt brudd er spesielt farlig.

Rammede personer inkluderer både nåværende og tidligere pasienter samt ansatte, noe som betyr at eksponeringen ikke er begrenset til dem som er i aktiv behandling. Tidligere pasienter som oppsøkte behandling for mange år siden, kan fortsatt oppleve at journalene deres er i spill. Ansatte står overfor egne risikoer, som legitimasjonstyveri eller målrettet phishing med utgangspunkt i ansettelsesdetaljer.

Denne hendelsen følger et mønster sett i hele helsesektoren. OpenLoop Health-bruddet som eksponerte medisinske data for 716 000 pasienter er et høyt profilert eksempel på hvordan telehelse- og psykiske helseplattformer har blitt hovedmål for nettkriminelle som ønsker å tjene penger på sensitive journaler.

Hvorfor psykiatriske og psykiske helsejournaler er spesielt sensitive

Ikke alle helsejournaler veier like tungt. Psykiatriske og psykiske helsedata havner i en unik høyrisikokategori av flere grunner.

For det første er denne typen informasjon dypt personlig. Journaler relatert til psykiske helsetilstander, rusbehandling eller psykiatriske diagnoser kan påvirke jobbmuligheter, barnefordelingsavgjørelser, forsikringskvalifisering og personlige relasjoner dersom de eksponeres. Til forskjell fra et stjålet kredittkortnummer kan du ikke bare kansellere en psykiatrisk historie.

For det andre medfører psykiske helsejournaler ofte ytterligere rettslig vern utover standard HIPAA-regler. I mange delstater faller journaler om rusmiddellidelser under 42 CFR Part 2, et føderalt regelverk som krever strengere samtykke for utlevering. Når slike journaler kompromitteres, kan de rettslige og personlige følgene bli betraktelig mer komplekse enn ved en vanlig helsedataeksponering.

For det tredje vet ondsinnede aktører hvilken presskraft disse dataene gir. Psykiatriske journaler kan brukes til målrettet utpressing, forsikringssvindel og sosial manipulasjon designet for å utnytte sårbare individer som allerede kan være i krevende personlige situasjoner.

Hvordan ubeskyttet helseportaltilgang utsetter pasienter for risiko

Helseportaler, de pasientvendte nettsidene og appene som brukes til å få tilgang til journaler, avtalebooking og kommunikasjon med helsepersonell, har ekspandert raskt. Bekvemmelighet har ofte gått foran sikkerhet. Når pasienter benytter disse portalene over usikrede offentlige Wi-Fi-nettverk, på kaffebarer, biblioteker eller flyplasser, utsetter de øktdata, innloggingsinformasjon og nettleseratferd for potensiell avlytting.

Det er her kryptering og virtuelle private nettverk (VPN) blir direkte relevante. En VPN krypterer forbindelsen mellom enheten din og internett, noe som gjør det betydelig vanskeligere for en tredjepart å fange opp data under overføring. Selv om en VPN ikke kan forhindre et innbrudd i helseorganisasjonens egne servere, beskytter den dine innloggingsdetaljer og øktaktivitet mot å bli høstet på nettverksnivå, særlig på delte eller usikrede tilkoblinger.

Utover bruk av VPN bør pasienter se etter HTTPS-kryptering på alle portaler de benytter, aktivere flerfaktorautentisering der det tilbys, og unngå å gjenbruke passord på tvers av helseplattformer og andre kontoer. Credential stuffing, der angripere bruker lekkede brukernavn og passordkombinasjoner fra ett brudd for å få tilgang til andre tjenester, er en av de vanligste måtene en enkelthendelse sprer seg til flere kompromitteringer. Hendelser som Beacon Mutual ransomware-bruddet som rammet 130 000 personer viser hvor raskt kompromittert legitimasjon kan eskalere tvers gjennom en organisasjon.

Tiltak pasienter og ansatte kan iverksette for å beskytte helsedataene sine nå

Dersom du tror du kan være rammet av ViaQuest-bruddet, eller om du ønsker å styrke ditt generelle personvern for helsedata, er følgende skritt verdt å ta umiddelbart.

Gå nøye gjennom bruddvarslene. ViaQuest er pålagt under HIPAAs varslingsregel å informere rammede individer skriftlig. Les disse varslene grundig for å forstå nøyaktig hvilke data som var involvert.

Sett inn en kredittfrys. Fordi PII var en del av dette bruddet, bør du fryse kreditten din hos alle tre store byråer. Dette hindrer at nye kredittlinjer åpnes i ditt navn uten din uttrykkelige tillatelse.

Overvåk helseforsikringskontoen din. Se etter krav du ikke kjenner igjen, noe som kan signalisere medisinsk identitetstyveri. Kontakt forsikringsselskapet ditt umiddelbart dersom noe virker ukjent.

Bruk en VPN når du besøker helseportaler. Kryptering av tilkoblingen din er en grunnleggende forholdsregel, særlig om du ofte bruker offentlige eller delte nettverk for å håndtere helsekontoene dine.

Oppdater passord og aktiver flerfaktorautentisering. Bytt passord på alle kontoer som delte legitimasjon med tjenester relatert til ViaQuest, og aktiver MFA der det er mulig.

Be om en kopi av journalene dine. Under HIPAA har du rett til innsyn i helsejournalene dine. Å gå gjennom dem kan hjelpe deg med å oppdage eventuelle uautoriserte endringer eller utleveringer.

Hva dette betyr for deg

ViaQuest-bruddet kan virke lite sammenlignet med hendelser som rammer hundretusenvis av mennesker, men sensitiviteten til psykiatriske og psykiske helsedata gjør at den personlige konsekvensen per rammet individ kan bli uforholdsmessig høy. Helseorganisasjoner sitter på noe av den mest intime informasjonen om livene våre, og brudd i denne sektoren holder seg sjelden begrenset til ett enkelt skadepunkt.

Etter hvert som helsetjenestetilbydere fortsetter å flytte tjenester på nett, får pasienter et større ansvar for å beskytte seg selv underveis. Å bruke en VPN ved tilgang til pasientportaler, velge sterke unike påloggingsopplysninger, og holde seg våken for phishingforsøk som bruker helsedetaljene dine som agn, er praktiske vaner som reduserer eksponeringen din uavhengig av hva den enkelte organisasjon gjør eller unnlater å gjøre på sin side.

Ta noen minutter denne uken til å gjennomgå sikkerhetsinnstillingene på hver helseportal du benytter. Innsatsen er liten sammenlignet med kostnaden ved å komme seg etter identitetstyveri eller eksponeringen av din mest private helsehistorikk.