Naruszenie danych iRhythm w czerwcu 2024 r.: co powinni wiedzieć pacjenci kardiologiczni

Naruszenie danych iRhythm w czerwcu 2024 r.: co powinni wiedzieć pacjenci kardiologiczni

iRhythm Technologies, firma produkująca urządzenia medyczne, powszechnie znana z plastrów do monitorowania kardiologicznego Zio, ujawniła incydent związany z cyberbezpieczeństwem, który miał miejsce w czerwcu 2024 roku. Naruszenie polegało na nieautoryzowanym dostępie do danych przechowywanych w niektórych aplikacjach biznesowych hostowanych przez podmioty trzecie, co rodzi poważne pytania o to, jak wrażliwe informacje zdrowotne są zabezpieczane w ekosystemach cyfrowych, które wspierają nowoczesne urządzenia medyczne.

To ujawnienie stawia iRhythm w rosnącym gronie firm z sektora opieki zdrowotnej, które doświadczyły nieautoryzowanych włamań nie przez swoje główne systemy kliniczne, lecz przez sieć dostawców i platform chmurowych, które je otaczają.

Co się wydarzyło w incydencie z czerwca 2024 roku

Zgodnie z ujawnieniem, iRhythm zidentyfikowało nieautoryzowaną aktywność mającą wpływ na dane przechowywane w aplikacjach biznesowych hostowanych przez podmioty trzecie. Po wykryciu naruszenia firma uruchomiła swój plan reagowania na incydenty cyberbezpieczeństwa. Z doniesień publicznych wynika, że atak został zidentyfikowany 8 czerwca 2024 roku, a formalne ujawnienie nastąpiło wkrótce potem.

Informacje, które mogły zostać ujawnione w wyniku naruszenia, obejmują wrażliwe dane osobowe i medyczne: numery Social Security, numery dokumentacji medycznej, informacje o diagnozach oraz dane dotyczące ubezpieczenia zdrowotnego. Dla pacjentów kardiologicznych nie jest to jedynie kwestia prywatności. To ryzyko finansowe i związane z kradzieżą tożsamości medycznej. Skradzione dokumenty medyczne mogą być wykorzystane do wyłudzania refundacji od ubezpieczycieli, uzyskiwania leków na receptę czy otwierania linii kredytowych.

To nie pierwszy raz, gdy iRhythm zetknęło się z cyberprzestępcami celującymi w dane pacjentów. Firma została później dotknięta odrębnym atakiem ransomware w 2025 roku, który obejmował socjotechnikę i żądanie okupu, co sugeruje, że pozostaje ona stałym celem dla cyberprzestępców, którzy uważają dane pacjentów kardiologicznych za szczególnie cenne.

Dlaczego medyczne urządzenia IoT stwarzają wyjątkowe zagrożenia dla prywatności

Plaster Zio to zdalne urządzenie monitorujące EKG, które przesyła dane kliniczne przez połączoną infrastrukturę. Ta łączność jest właśnie tym, co czyni je użytecznym dla klinicystów i jednocześnie tym, co naraża pacjentów. Samo urządzenie może nie być słabym punktem; platformy podmiotów trzecich, które przechowują, przesyłają lub przetwarzają dane generowane przez te urządzenia, mogą wprowadzać luki, nad którymi ani pacjent, ani jego lekarz nie mają pełnej kontroli.

Ten schemat jest powszechny w przypadku podłączonych urządzeń zdrowotnych. Im więcej punktów styku między surowymi danymi zdrowotnymi pacjenta a ostatecznym raportem klinicznym, tym więcej okazji dla nieupoważnionych stron do przechwycenia lub eksfiltracji tych informacji. Ramy regulacyjne, takie jak HIPAA, wymagają od podmiotów objętych ochroną i ich współpracowników biznesowych utrzymywania zabezpieczeń, ale zgodność z przepisami nie oznacza bezpieczeństwa, a audyty często pozostają w tyle za rzeczywistymi metodami ataków.

Organizacje opieki zdrowotnej znajdują się pod coraz większą presją ze strony cyberprzestępców co najmniej od poważnych zakłóceń w Change Healthcare na początku 2024 roku, które pokazały, jak bardzo wzajemnie połączony jest łańcuch dostaw w opiece zdrowotnej. Dostawcy monitorowania kardiologicznego, tacy jak iRhythm, funkcjonują w tym samym ekosystemie.

Co to oznacza dla Ciebie

Jeśli jesteś obecnym lub byłym pacjentem iRhythm, Twoje informacje mogły zostać ujawnione w tym incydencie. Nawet jeśli nie otrzymałeś jeszcze formalnego powiadomienia, warto podjąć środki ostrożności już teraz, zamiast czekać.

Po pierwsze, przejrzyj wyjaśnienie świadczeń (EOB) ze swojego ubezpieczenia zdrowotnego pod kątem usług lub recept, których nie otrzymałeś. Kradzież tożsamości medycznej często pozostaje niezauważona przez wiele miesięcy, ponieważ ofiary rzadko analizują swoje dokumenty ubezpieczeniowe z taką samą starannością, jak wyciągi bankowe.

Po drugie, rozważ zamrożenie kredytu w głównych biurach informacji kredytowej. Połączenie numeru Social Security z danymi z dokumentacji medycznej wystarczy, aby otworzyć nowe linie kredytowe na Twoje nazwisko.

Po trzecie, zachowaj ostrożność przy dostępie do swoich osobistych dokumentów medycznych online. Logowanie się do portali pacjenta przez niezabezpieczone publiczne sieci Wi-Fi naraża Twoją sesję na przechwycenie. Korzystanie z VPN podczas dostępu do dowolnego portalu opieki zdrowotnej dodaje warstwę szyfrowania między Twoim urządzeniem a siecią, zmniejszając ryzyko, że osoba trzecia w tej samej sieci może obserwować Twoją aktywność lub przechwycić dane logowania.

Wreszcie, uważaj na próby phishingu. Po naruszeniu atakujący często wykorzystują skradzione dane do tworzenia przekonujących oszustw uzupełniających. E-mail, który wskazuje na Twojego prawdziwego dostawcę opieki medycznej lub firmę ubezpieczeniową, niekoniecznie jest autentyczny.

Wnioski do wdrożenia

• Sprawdź swoje dokumenty ubezpieczeniowe pod kątem fałszywych roszczeń sięgających połowy 2024 roku.
• Zamroź swój kredyt w Equifax, Experian i TransUnion, jeśli Twój numer Social Security mógł zostać ujawniony.
• Korzystaj z VPN za każdym razem, gdy logujesz się do portalu pacjenta lub platformy dokumentacji medycznej, szczególnie w sieciach mobilnych lub publicznych.
• Włącz uwierzytelnianie wieloskładnikowe na wszystkich kontach opieki zdrowotnej i ubezpieczeniowych, które je obsługują.
• Bądź sceptyczny wobec wszelkich wiadomości, które w nadchodzących tygodniach będą się odnosić do iRhythm, Twojej opieki kardiologicznej lub ubezpieczenia zdrowotnego.

Naruszenie w iRhythm z czerwca 2024 roku jest wyraźnym przypomnieniem, że dane osobowe generowane przez podłączone urządzenia medyczne nie pozostają starannie zamknięte w tych urządzeniach. Pacjenci korzystający z narzędzi zdalnego monitorowania mają prawo wiedzieć, jak ich dane są przechowywane, kto ma do nich dostęp i jakie zabezpieczenia są stosowane, gdy systemy te zostaną skompromitowane. Pozostawanie poinformowanym i podejmowanie proaktywnych kroków pozostaje najskuteczniejszą obroną dostępną dla osób dotkniętych naruszeniami, którym nie mogły zapobiec.