Câte persoane au fost afectate de breșa de la Corporația de Sănătate și Spitale din NYC?

Breșa a afectat 1,8 milioane de persoane legate de Corporația de Sănătate și Spitale din New York City. A fost cauzată de un compromis care a implicat un furnizor terț, nu de un atac direct asupra sistemelor spitalicești.

Ce tip de date au fost expuse în breșa de la Erie Family Health Centers?

Breșa de la Erie Family Health Centers a expus identificatori personali, informații medicale și detalii financiare. Această combinație îi face pe victime deosebit de vulnerabile la mai multe forme de fraudă simultan.

Ce este sistemul HHS de urmărire a breșelor și de ce este important?

Portalul HHS pentru breșe este un registru public menținut în temeiul Regulii de notificare a breșelor din HIPAA, care înregistrează incidentele semnificative cu date medicale ce afectează 500 sau mai multe persoane. Când apar noi înregistrări, acest lucru indică faptul că organizațiile afectate și-au îndeplinit obligațiile de raportare obligatorie.

De ce înregistrările medicale furate sunt considerate mai periculoase decât informațiile furate de pe cardurile de credit?

Spre deosebire de un număr de card de credit, datele medicale conțin informații care nu pot fi modificate, cum ar fi numerele de asigurare socială, datele de naștere și istoricurile de diagnostice. Furtul de identitate medicală trece, de asemenea, adesea nedetectat timp de luni sau ani, făcând prejudiciul extins și dificil de remediat.

Câte persoane au fost afectate de breșa de la Erie Family Health Centers?

Breșa de la Erie Family Health Centers a compromis înregistrările a aproximativ 570.000 de persoane. Erie Family Health Centers este un centru de sănătate cu calificare federală care deservește comunități cu venituri mai mici din Illinois.

Breșa de 1,8 milioane de înregistrări NYC Health, printre noile incidente înregistrate de HHS

Sistemul de urmărire a breșelor de date al Departamentului SUA pentru Sănătate și Servicii Umane a adăugat mai multe încălcări semnificative ale datelor medicale în registrul său public, cea mai mare afectând 1,8 milioane de persoane legate de Corporația de Sănătate și Spitale din New York City. Un incident separat la Erie Family Health Centers a compromis datele personale, medicale și financiare ale altor 570.000 de persoane. Împreună, aceste incidente subliniază riscurile persistente și tot mai mari pentru confidențialitatea datelor medicale cu care se confruntă milioane de americani de fiecare dată când interacționează cu un furnizor de servicii medicale.

Ce relevă sistemul HHS de urmărire a breșelor despre aceste incidente

Portalul HHS pentru breșe de date, menținut în temeiul Regulii de notificare a breșelor din HIPAA, funcționează ca un registru public al incidentelor semnificative cu date medicale care afectează 500 sau mai multe persoane. Când apar noi înregistrări, acest lucru semnalează că organizațiile afectate și-au îndeplinit obligațiile de raportare obligatorie, uneori la luni după ce breșa originală s-a produs.

Înregistrarea Corporației de Sănătate și Spitale din NYC este notabilă din două motive: amploarea sa și originea sa. Breșa nu a rezultat dintr-un atac direct asupra sistemelor spitalicești, ci dintr-un compromis care a implicat un furnizor terț. Erie Family Health Centers, un centru de sănătate cu calificare federală care deservește comunități cu venituri mai mici din Illinois, a raportat că breșa sa a expus o combinație deosebit de sensibilă de tipuri de date, incluzând identificatori personali, informații medicale și detalii financiare. Această triadă îi face pe victime deosebit de vulnerabile la mai multe forme de fraudă simultan.

De ce înregistrările medicale sunt mai periculoase decât majoritatea datelor furate

Un număr de card de credit furat este frustrant, dar poate fi anulat în câteva minute. O înregistrare medicală furată este cu totul altceva. Datele medicale conțin informații care nu pot fi modificate: date de naștere, numere de asigurare socială, numere de poliță de asigurare, istoricuri de diagnostice și evidențe de prescripții. Pe piețele subterane, profilurile medicale complete ating în mod curent prețuri mult mai mari decât datele financiare standard.

Pericolul se amplifică deoarece furtul de identitate medicală trece adesea nedetectat timp de luni sau ani. Un hoț care folosește acreditările de asigurare furate pentru a obține prescripții sau a depune cereri de decontare frauduloase nu lasă de obicei nicio urmă imediată în contul bancar al victimei. Până când frauda iese la suprafață printr-o cerere de asigurare respinsă sau o factură medicală neașteptată, prejudiciul este deja extins și dificil de remediat.

Înregistrările medicale creează, de asemenea, pârghii pentru phishing țintit. Un atacator care îți cunoaște numele medicului, diagnosticele recente și furnizorul de asigurări poate elabora comunicări convingătoare care depășesc scepticismul pe care majoritatea oamenilor îl aplică e-mailurilor de tip escrocherie generică.

Cum au devenit furnizorii terți cea mai slabă verigă în confidențialitatea pacienților

Breșa NYC Health se înscrie într-un tipar care a dominat incidentele de securitate din domeniul sănătății de mai mulți ani. Spitalele și sistemele de sănătate se bazează pe ecosisteme dense de furnizori de software, procesatori de facturare, platforme de telemedicină, instrumente de programare a consultațiilor și firme de analiză a datelor. Fiecare dintre aceste părți terțe primește acces la datele pacienților pentru a-și îndeplini funcțiile contractuale și fiecare reprezintă o suprafață suplimentară de atac pe care organizația medicală însăși nu o controlează pe deplin.

Cadrele de reglementare impun entităților acoperite să semneze Acorduri cu Asociații de Afaceri cu furnizorii, stabilind obligații de protecție a datelor. Cu toate acestea, acele acorduri nu se traduc automat în posturi de securitate echivalente. Un centru medical academic de mari dimensiuni poate dispune de un program de securitate matur, în timp ce furnizorul de software de programare pe care îl folosește funcționează cu mult mai puțin control.

Această dinamică nu este unică în domeniul sănătății. Vulnerabilitățile la nivel de server din diverse industrii expun în mod regulat date deținute de furnizori, mai degrabă decât de organizațiile primare în care pacienții sau clienții au încredere. Înțelegerea faptului că datele tale călătoresc cu mult dincolo de pereții cabinetului medicului tău este o parte esențială a gestionării propriei expuneri la confidențialitate. Puteți citi mai multe despre modul în care vulnerabilitățile la nivel de infrastructură afectează datele la scară largă în acoperirea exploit-ului de ocolire a autentificării cPanel care afectează zeci de mii de servere, care ilustrează cum o singură defecțiune în software utilizat pe scară largă poate genera efecte în cascadă la mii de organizații simultan.

Pași practici de confidențialitate pentru pacienții care interacționează cu furnizorii online

Deși pacienții individuali nu pot audita relațiile furnizorilor lor cu terțe părți, există pași concreți care reduc expunerea și îmbunătățesc capacitatea de a detecta frauda din timp.

În primul rând, solicitați periodic o copie a dosarelor medicale. Examinarea lor vă permite să identificați proceduri, prescripții sau nume de furnizori necunoscute care ar putea indica faptul că cineva v-a folosit identitatea pentru a obține îngrijiri medicale. În temeiul HIPAA, aveți dreptul de a vă accesa înregistrările, iar majoritatea furnizorilor sunt obligați să îndeplinească solicitările în termen de 30 de zile.

În al doilea rând, contactați asigurătorul dvs. de sănătate și solicitați un rezumat al Explicației Beneficiilor pentru anul trecut. Orice cereri de decontare pe care nu le recunoașteți justifică o urmărire imediată. Mulți asigurători oferă acum alerte de monitorizare gratuite pentru activitatea neobișnuită a cererilor.

În al treilea rând, luați în considerare plasarea unei înghețări a creditului la toate cele trei birouri principale. Furtul de identitate medicală duce frecvent la conturi de recuperare a creanțelor și linii de credit frauduloase, iar o înghețare împiedică deschiderea de noi conturi în numele dvs. fără aprobarea dvs. explicită.

În al patrulea rând, folosiți parole unice și puternice pentru orice conturi de portal al pacientului, cum ar fi cele utilizate pentru vizualizarea rezultatelor de laborator sau programarea consultațiilor. Aceste portaluri dețin înregistrări extrem de sensibile, totuși sunt frecvent protejate doar prin acreditări slabe pe care pacienții le reutilizează în alte servicii. Utilizarea unei adrese de e-mail dedicate pentru conturile medicale limitează, de asemenea, impactul în cazul în care unul dintre celelalte conturi ale dvs. este compromis.

În cele din urmă, rămâneți informat cu privire la mediul de reglementare și legislativ mai larg care modelează modul în care datele dvs. sunt gestionate. Legislația recentă la nivel de stat care vizează confidențialitatea digitală, cum ar fi legea Utah SB 73 privind verificarea vârstei, reflectă o conștientizare tot mai mare în rândul legiuitorilor că fluxurile de date online necesită garduri de protecție mai solide. Urmărirea evoluției acestor politici vă poate ajuta să înțelegeți ce protecții există și ce protecții nu există pentru informațiile dvs.

Ce înseamnă aceasta pentru dvs.

Adăugarea acestor breșe în sistemul de urmărire HHS este un memento că riscurile pentru confidențialitatea datelor medicale nu sunt ipotetice. Milioane de oameni au avut înregistrările sensibile expuse doar în aceste două incidente, iar sistemul de urmărire înregistrează sute de incidente anual.

Cele mai eficiente instrumente ale dvs. sunt monitorizarea, detectarea timpurie și limitarea partajării inutile a datelor ori de câte ori este posibil. Întrebați furnizorii dvs. care furnizori terți primesc datele dvs. și în ce scopuri. Revizuiți-vă înregistrările și extrasele de asigurare în mod regulat. Și tratați acreditările portalului dvs. de pacient cu același seriozitate pe care o aplicați conturilor dvs. financiare. Acești pași nu vor împiedica un furnizor să fie victima unei breșe, dar vă îmbunătățesc semnificativ șansele de a detecta frauda înainte de a provoca prejudicii durabile.