Naruszenia danych

Naruszenie danych Ascension Health ujawnia rekordy 437 000 pacjentów

28 kwietnia 20264 min czytania

By Marcus Weber — CISSP certified, 12 years in cybersecurity journalism

Naruszenie danych Ascension Health ujawnia rekordy 437 000 pacjentów

Naruszenie danych Ascension Health dotyka prawie pół miliona pacjentów

Ascension Health, jeden z największych niekomercyjnych systemów szpitalnych w Stanach Zjednoczonych, ujawnił 28 kwietnia, że cyberatak wykryty po raz pierwszy pod koniec 2025 roku doprowadził do nieautoryzowanego dostępu i przejęcia poufnych informacji należących do co najmniej 437 000 pacjentów. Ujawnione dane obejmują dane osobowe i informacje medyczne, co zapoczątkowało zakrojoną na szeroką skalę akcję powiadamiania pacjentów i zwróciło uwagę rządu na praktyki bezpieczeństwa stosowane przez organizację.

Naruszenie to należy do najpoważniejszych incydentów związanych z danymi medycznymi w ostatniej pamięci i rodzi pilne pytania o to, jak instytucje medyczne zarządzają wrażliwymi danymi pacjentów oraz co osoby fizyczne mogą zrobić, aby chronić się po tym, jak ich informacje zostały naruszone.

Jakie dane zostały skradzione i kogo to dotyczy

Zgodnie z ujawnieniem Ascension, skompromitowane rekordy obejmują dane osobowe i informacje medyczne. Choć pełny zakres uzyskanych dostępów nie został szczegółowo opisany w publicznych dokumentach, naruszenia tego typu zazwyczaj obejmują imiona i nazwiska, daty urodzenia, adresy, numery Social Security, dane ubezpieczeniowe oraz dokumentację kliniczną.

Ascension prowadzi setki szpitali i placówek opiekuńczych w całym kraju, co oznacza, że dotknięci pacjenci mogą być rozproszeni w wielu stanach. Organizacja potwierdziła, że jest w trakcie powiadamiania osób, których dane zostały ujawnione, zgodnie z wymogami prawa federalnego, w tym ustawy o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA).

Zainicjowano również nadzór rządowy nad protokołami bezpieczeństwa Ascension, co sygnalizuje, że organy regulacyjne traktują naruszenie poważnie na poziomie instytucjonalnym.

Dlaczego naruszenia danych medycznych są szczególnie dotkliwe

Dokumentacja medyczna należy do najbardziej wartościowych typów danych na czarnym rynku. W przeciwieństwie do skradzionego numeru karty kredytowej, który można anulować i wydać ponownie, historii zdrowotnej danej osoby, jej diagnoz i danych ubezpieczeniowych nie można zmienić. To sprawia, że naruszenia danych medycznych mają szczególnie poważne konsekwencje dla dotkniętych nimi osób.

Szkody wynikające z ujawnienia danych medycznych wykraczają daleko poza kradzież tożsamości. Oszukańcze roszczenia ubezpieczeniowe, fałszerstwa na receptach i kradzież tożsamości medycznej mogą towarzyszyć pacjentom przez lata po naruszeniu. W niektórych przypadkach błędne informacje medyczne wprowadzone do dokumentacji zdrowotnej na skutek oszustwa mogą nawet wpłynąć na jakość opieki, jaką otrzymuje pacjent.

Dla pacjentów Ascension zagrożenie nie jest hipotetyczne. Potwierdzono, że ich dane zostały uzyskane bez autoryzacji, a okno możliwości nadużyć jest już otwarte.

Co to oznacza dla Ciebie

Jeśli korzystałeś z opieki medycznej w Ascension Health lub którejkolwiek z jej placówek stowarzyszonych, powinieneś poważnie potraktować poniższe kroki, niezależnie od tego, czy otrzymałeś już list z powiadomieniem.

Uważnie monitoruj wyciągi ze swojego ubezpieczenia zdrowotnego. Zwróć uwagę na roszczenia, procedury lub recepty, których nie rozpoznajesz. Natychmiast zgłoś wszelkie podejrzane działania swojemu ubezpieczycielowi.

Sprawdź swoje raporty kredytowe. Kradzież tożsamości medycznej często prowadzi do tworzenia fałszywych kont finansowych. Masz prawo do bezpłatnych raportów kredytowych ze wszystkich trzech głównych biur, a umieszczenie alertu o oszustwie lub zamrożenie kredytu zapewnia dodatkową warstwę ochrony.

Używaj silnych, unikalnych haseł do portali pacjentów. Jeśli uzyskujesz dostęp do swojej dokumentacji medycznej przez portal internetowy, upewnij się, że to konto używa hasła, które nie jest współdzielone z żadną inną usługą. Menedżer haseł może pomóc Ci utrzymywać unikalne dane uwierzytelniające na wszystkich kontach.

Włącz uwierzytelnianie wieloskładnikowe (MFA) wszędzie tam, gdzie to możliwe. Większość głównych platform portali pacjentów obsługuje teraz MFA. Oznacza to, że nawet jeśli ktoś zdobędzie Twoje hasło, nie będzie mógł uzyskać dostępu do Twojego konta bez drugiej formy weryfikacji — zazwyczaj kodu wysłanego na Twój telefon.

Zachowaj ostrożność podczas uzyskiwania dostępu do portali medycznych w publicznych lub współdzielonych sieciach. Logowanie się do konta medycznego przez niezabezpieczone publiczne połączenie Wi-Fi naraża Twoją sesję na potencjalne przechwycenie. Korzystanie z renomowanej sieci VPN szyfruje Twoje połączenie internetowe i uniemożliwia stronom trzecim w tej samej sieci obserwowanie Twojej aktywności lub przechwytywanie Twoich danych uwierzytelniających.

Uważaj na próby phishingu. Napastnicy często po dużych naruszeniach przeprowadzają ukierunkowane kampanie phishingowe, wysyłając e-maile podszywające się pod naruszoną organizację. Bądź sceptyczny wobec wszelkich niechcianych wiadomości proszących o kliknięcie linku lub podanie danych osobowych.

Szerszy wniosek

Naruszenie danych Ascension Health przypomina, że organizacje, którym powierzamy nasze najbardziej wrażliwe informacje, nie są odporne na ataki. Instytucje medyczne są celami o wysokiej wartości właśnie ze względu na bogactwo przechowywanych przez nie danych, a konsekwencje naruszenia spadają na indywidualnych pacjentów, a nie tylko na samą instytucję.

Nie możesz kontrolować tego, czy organizacja odpowiednio zabezpiecza Twoje dane. Możesz natomiast kontrolować sposób reakcji po wystąpieniu naruszenia oraz to, jak minimalizujesz swoje narażenie w przyszłości. Pozostawanie na bieżąco z informacjami, szybkie podejmowanie działań ochronnych i wyrabianie silniejszych nawyków w zakresie bezpieczeństwa osobistego to najskuteczniejsze odpowiedzi dostępne dla każdego, kto znalazł się w sytuacji takiego naruszenia. Czas na działanie jest przed nadejściem kolejnego listu z powiadomieniem.

// FAQ

Ilu pacjentów zostało dotkniętych naruszeniem danych Ascension Health?

Co najmniej 437 000 pacjentów miało swoje poufne informacje ujawnione w wyniku naruszenia. Ascension ujawnił to 28 kwietnia po cyberataku wykrytym po raz pierwszy pod koniec 2025 roku.

Jakiego rodzaju informacje zostały skompromitowane w wyniku naruszenia?

Skompromitowane rekordy obejmują dane osobowe i informacje medyczne, które w przypadku naruszeń tego typu zazwyczaj obejmują imiona i nazwiska, daty urodzenia, adresy, numery Social Security, dane ubezpieczeniowe oraz dokumentację kliniczną.

Czy Ascension Health jest zobowiązany do powiadamiania dotkniętych pacjentów?

Tak, Ascension jest prawnie zobowiązany do powiadamiania dotkniętych pacjentów na mocy prawa federalnego, w tym ustawy o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA). Organizacja potwierdziła, że jest w trakcie wysyłania tych powiadomień.

Dlaczego naruszenia danych medycznych są uważane za bardziej dotkliwe niż inne rodzaje naruszeń?

W przeciwieństwie do skradzionych numerów kart kredytowych, historii zdrowotnej danej osoby i danych ubezpieczeniowych nie można zmienić ani ponownie wydać, co sprawia, że szkody są długotrwałe. Ujawnione dane medyczne mogą prowadzić do oszukańczych roszczeń ubezpieczeniowych, fałszerstw na receptach i kradzieży tożsamości medycznej, które mogą towarzyszyć pacjentom przez lata.

Czy w odpowiedzi na naruszenie zainicjowano nadzór rządowy?

Tak, po naruszeniu zainicjowano rządową kontrolę praktyk bezpieczeństwa Ascension. Organy regulacyjne dokonują przeglądu protokołów bezpieczeństwa organizacji, sygnalizując, że traktują incydent poważnie na poziomie instytucjonalnym.