Naruszenie danych w ViaQuest Psychiatric ujawnia PII i PHI 6 420 pacjentów

Naruszenie danych w ViaQuest Psychiatric ujawnia PII i PHI 6 420 pacjentów

ViaQuest Psychiatric & Behavioral Solutions ujawniło naruszenie danych dotykające co najmniej 6 420 obecnych i byłych pacjentów oraz członków personelu. Incydent ujawnił zarówno dane osobowe (PII), jak i chronione informacje zdrowotne (PHI), narażając tysiące osób na zwiększone ryzyko kradzieży tożsamości, dyskryminacji i oszustw finansowych. Dla każdego, kto korzystał z usług zdrowia psychicznego, to naruszenie jest jaskrawym przypomnieniem, że ochrona prywatności danych zdrowotnych nie jest już opcjonalna.

Co ujawniło naruszenie w ViaQuest i kogo dotyczy

Potwierdzone naruszenie w ViaQuest Psychiatric & Behavioral Solutions objęło podwójną kategorię skompromitowanych danych: PII, które zazwyczaj obejmują imiona i nazwiska, adresy, daty urodzenia oraz numery PESEL (Social Security), a także PHI, które dotyczą diagnoz, historii leczenia, leków i harmonogramów wizyt. Połączenie obu typów w jednym naruszeniu jest szczególnie niebezpieczne.

Osoby dotknięte naruszeniem to zarówno obecni, jak i byli pacjenci oraz członkowie personelu, co oznacza, że ​​ekspozycja nie ogranicza się do osób aktywnie otrzymujących opiekę. Byli pacjenci, którzy szukali leczenia wiele lat temu, wciąż mogą mieć swoje dane w obiegu. Członkowie personelu stoją przed własnym ryzykiem, w tym kradzieży danych uwierzytelniających lub ukierunkowanego phishingu z wykorzystaniem szczegółów ich zatrudnienia.

Ten incydent wpisuje się w schemat obserwowany w całym sektorze opieki zdrowotnej. Naruszenie danych w OpenLoop Health, które ujawniło dane medyczne 716 000 pacjentów jest głośnym przykładem tego, jak platformy telemedyczne i zdrowia psychicznego stały się głównym celem cyberprzestępców chcących spieniężyć wrażliwe dane.

Dlaczego dokumentacja psychiatryczna i dotycząca zdrowia behawioralnego jest szczególnie wrażliwa

Nie wszystkie dokumenty medyczne mają taką samą wagę. Dane dotyczące zdrowia psychicznego i behawioralnego znajdują się w wyjątkowo wysokiej kategorii ryzyka z kilku powodów.

Po pierwsze, tego rodzaju informacje są głęboko osobiste. Dokumentacja dotycząca stanu zdrowia psychicznego, leczenia uzależnień czy diagnoz psychiatrycznych może wpłynąć na perspektywy zatrudnienia, decyzje o sprawowaniu opieki nad dziećmi, uprawnienia ubezpieczeniowe i relacje osobiste, jeśli zostanie ujawniona. W przeciwieństwie do skradzionego numeru karty kredytowej, nie można po prostu anulować historii psychiatrycznej.

Po drugie, dokumentacja zdrowia behawioralnego często podlega dodatkowym zabezpieczeniom prawnym wykraczającym poza standardowe przepisy HIPAA. W wielu stanach dane dotyczące zaburzeń związanych z używaniem substancji psychoaktywnych podlegają regulacji 42 CFR Part 2 – federalnemu przepisowi wymagającemu bardziej rygorystycznej zgody na ujawnianie. Kiedy te dane zostają naruszone, konsekwencje prawne i osobiste mogą być znacznie bardziej złożone niż w przypadku typowego wycieku danych medycznych.

Po trzecie, cyberprzestępcy wiedzą, jaką siłę nacisku dają te dane. Dokumentacja psychiatryczna może być wykorzystywana do ukierunkowanego wymuszenia, oszustw ubezpieczeniowych i ataków socjotechnicznych, mających na celu wykorzystanie osób znajdujących się w trudnej sytuacji życiowej.

Jak niezabezpieczony dostęp do portalu zdrowotnego naraża pacjentów na ryzyko

Portale zdrowotne – strony i aplikacje, za pomocą których pacjenci uzyskują dostęp do dokumentacji, umawiają wizyty i komunikują się z placówkami – rozwinęły się błyskawicznie. Wygoda często wyprzedzała bezpieczeństwo. Gdy pacjenci uzyskują dostęp do tych portali przez niezabezpieczone publiczne sieci Wi-Fi – w kawiarniach, bibliotekach czy na lotniskach – narażają swoje dane sesyjne, dane logowania i zachowania przeglądania na potencjalne przechwycenie.

W tym miejscu szyfrowanie i wirtualne sieci prywatne (VPN) stają się bezpośrednio istotne. VPN szyfruje połączenie między Twoim urządzeniem a internetem, przez co osobie trzeciej znacznie trudniej jest przechwycić dane w trakcie transmisji. Choć VPN nie może zapobiec naruszeniu na serwerach organizacji opieki zdrowotnej, chroni Twoje dane logowania i aktywność sesyjną przed zebraniem na poziomie sieci, zwłaszcza na połączeniach współdzielonych lub niezabezpieczonych.

Oprócz korzystania z VPN pacjenci powinni zwracać uwagę na szyfrowanie HTTPS na każdym używanym portalu, włączać uwierzytelnianie wieloskładnikowe wszędzie tam, gdzie jest dostępne, oraz unikać ponownego używania haseł na różnych platformach zdrowotnych i w innych kontach. Ataki typu credential stuffing, w których przestępcy używają wyciekłych par nazwa użytkownika-hasło z jednego naruszenia, aby uzyskać dostęp do innych usług, są jednym z najczęstszych sposobów, w jaki pojedynczy incydent przekształca się w wielokrotne kompromitacje. Incydenty takie jak atak ransomware na Beacon Mutual dotykający 130 000 osób pokazują, jak szybko skompromitowane dane uwierzytelniające mogą rozprzestrzenić się w całej organizacji.

Działania, które pacjenci i personel mogą podjąć, aby chronić swoje dane zdrowotne już teraz

Jeśli podejrzewasz, że możesz być dotknięty naruszeniem w ViaQuest, lub jeśli chcesz wzmocnić ogólny poziom ochrony prywatności danych zdrowotnych, warto natychmiast podjąć następujące kroki.

Dokładnie sprawdzaj powiadomienia o naruszeniu. ViaQuest jest zobowiązane na mocy Zasady Powiadamiania o Naruszeniu HIPAA do poinformowania osób dotkniętych na piśmie. Przeczytaj uważnie te powiadomienia, aby dokładnie zrozumieć, jakie dane zostały objęte incydentem.

Zastosuj blokadę kredytową. Ponieważ w ramach tego naruszenia skradziono PII, zamroź swój kredyt we wszystkich trzech głównych biurach informacji kredytowej. Zapobiegnie to otwarciu nowych linii kredytowych na Twoje nazwisko bez Twojej wyraźnej autoryzacji.

Monitoruj swoje konto ubezpieczenia zdrowotnego. Zwracaj uwagę na roszczenia, których nie rozpoznajesz – mogą one świadczyć o kradzieży tożsamości medycznej. Skontaktuj się niezwłocznie z ubezpieczycielem, jeśli coś wygląda podejrzanie.

Korzystaj z VPN podczas dostępu do portali zdrowotnych. Szyfrowanie połączenia to podstawowy środek ostrożności, zwłaszcza jeśli często używasz publicznych lub współdzielonych sieci do zarządzania kontami zdrowotnymi.

Zaktualizuj hasła i włącz uwierzytelnianie wieloskładnikowe. Zmień hasła na wszystkich kontach, które współdzieliły poświadczenia z usługami powiązanymi z ViaQuest, i aktywuj UWS wszędzie, gdzie to możliwe.

Poproś o kopię swojej dokumentacji. Zgodnie z HIPAA masz prawo dostępu do swoich danych medycznych. Przejrzenie ich może pomóc w wykryciu nieautoryzowanych modyfikacji lub ujawnień.

Co to oznacza dla Ciebie

Naruszenie w ViaQuest może wydawać się niewielkie w porównaniu z incydentami dotykającymi setki tysięcy osób, ale wrażliwość danych psychiatrycznych i dotyczących zdrowia behawioralnego sprawia, że osobisty wpływ na każdego poszkodowanego może być nieproporcjonalnie wysoki. Organizacje opieki zdrowotnej przechowują jedne z najbardziej intymnych informacji o naszym życiu, a naruszenia w tym sektorze rzadko pozostają zamknięte w jednym punkcie szkody.

Ponieważ placówki medyczne nadal przenoszą usługi do sieci, na pacjentach spoczywa większa odpowiedzialność za ochronę samych siebie podczas transmisji danych. Korzystanie z VPN przy dostępie do portali pacjenta, wybieranie silnych, unikalnych poświadczeń i czujność wobec prób phishingu wykorzystujących Twoje dane medyczne jako przynętę to praktyczne nawyki, które zmniejszają ryzyko narażenia niezależnie od tego, co jakakolwiek organizacja robi – lub czego nie robi – po swojej stronie.

Poświęć kilka minut w tym tygodniu na sprawdzenie ustawień bezpieczeństwa na każdym używanym przez Ciebie portalu zdrowotnym. Ten wysiłek jest niewielki w porównaniu z kosztami dochodzenia do siebie po kradzieży tożsamości lub ujawnieniu Twojej najbardziej prywatnej historii zdrowia.