Breșa de la ViaQuest Psychiatric expune PII și PHI a 6.420 de pacienți

Breșa de la ViaQuest Psychiatric expune PII și PHI a 6.420 de pacienți

ViaQuest Psychiatric & Behavioral Solutions a dezvăluit o încălcare a securității datelor care afectează cel puțin 6.420 de pacienți actuali și foști, precum și membri ai personalului. Incidentul a expus atât informații personale identificabile (PII), cât și informații medicale protejate (PHI), plasând mii de persoane într-un risc crescut de furt de identitate, discriminare și fraudă financiară. Pentru oricine a apelat la servicii de sănătate comportamentală, această breșă este un semnal de alarmă că protecția confidențialității datelor medicale nu mai este opțională.

Ce a expus breșa ViaQuest și cine este afectat

Breșa confirmată la ViaQuest Psychiatric & Behavioral Solutions a implicat o categorie dublă de date compromise: PII, care includ de obicei nume, adrese, date de naștere și coduri numerice personale, alături de PHI, care acoperă diagnostice, istoricul tratamentelor, medicația și programările. Combinația ambelor tipuri într-o singură breșă este deosebit de periculoasă.

Persoanele afectate includ atât pacienți actuali și foști, cât și membri ai personalului, ceea ce înseamnă că expunerea nu se limitează la cei care primesc îngrijiri în prezent. Foștii pacienți care au solicitat tratament cu ani în urmă pot descoperi că dosarele lor sunt încă în joc. Membrii personalului se confruntă cu propriile riscuri, inclusiv furtul de credențiale sau atacuri de phishing direcționate, bazate pe detaliile lor de angajare.

Acest incident urmează un tipar întâlnit în întregul sector sanitar. Breșa OpenLoop Health care a expus datele medicale a 716.000 de pacienți este un exemplu notoriu al modului în care platformele de telesănătate și sănătate comportamentală au devenit ținte principale pentru infractorii cibernetici care caută să monetizeze înregistrările sensibile.

De ce datele psihiatrice și de sănătate comportamentală sunt deosebit de sensibile

Nu toate dosarele medicale au aceeași greutate. Datele psihiatrice și de sănătate comportamentală se situează într-o categorie cu un risc unic, din mai multe motive.

În primul rând, acest tip de informații este profund personal. Dosarele legate de afecțiunile de sănătate mintală, tratamentul consumului de substanțe sau diagnosticele psihiatrice pot afecta perspectivele de angajare, deciziile privind custodia copiilor, eligibilitatea pentru asigurări și relațiile personale, dacă sunt expuse. Spre deosebire de un număr de card de credit furat, un istoric psihiatric nu poate fi pur și simplu anulat.

În al doilea rând, dosarele de sănătate comportamentală beneficiază adesea de protecții legale suplimentare față de regulile HIPAA standard. În multe state, dosarele privind tulburările legate de consumul de substanțe intră sub incidența 42 CFR Partea 2, o reglementare federală care impune un consimțământ mai strict pentru divulgare. Atunci când aceste înregistrări sunt compromise, consecințele legale și personale pot fi considerabil mai complexe decât în cazul unei expuneri tipice a datelor medicale.

În al treilea rând, actorii rău intenționați cunosc pârghia pe care aceste date o oferă. Dosarele psihiatrice pot fi folosite pentru șantaj direcționat, fraudă de asigurări și atacuri de inginerie socială menite să exploateze persoane vulnerabile care se confruntă deja cu circumstanțe personale dificile.

Cum expunerea neprotejată la portalurile medicale pune pacienții în pericol

Portalurile medicale, site-urile și aplicațiile destinate pacienților pentru accesarea dosarelor, programarea consultațiilor și comunicarea cu furnizorii de servicii medicale, s-au extins rapid. Comoditatea a depășit adesea securitatea. Atunci când pacienții accesează aceste portaluri prin rețele Wi-Fi publice nesecurizate, în cafenele, biblioteci sau aeroporturi, își expun datele de sesiune, credențialele de autentificare și comportamentul de navigare la potențiale interceptări.

Aici devin direct relevante criptarea și rețelele private virtuale (VPN). Un VPN criptează conexiunea dintre dispozitivul dumneavoastră și internet, făcând semnificativ mai dificilă interceptarea datelor în tranzit de către o terță parte. Deși un VPN nu poate preveni o breșă la serverele organizației medicale, vă protejează credențialele și activitatea de sesiune împotriva colectării la nivel de rețea, în special pe conexiunile partajate sau nesecurizate.

Dincolo de utilizarea unui VPN, pacienții ar trebui să verifice existența criptării HTTPS pe orice portal pe care îl folosesc, să activeze autentificarea multi-factor oriunde este oferită și să evite reutilizarea parolelor între platformele medicale și alte conturi. Atacurile de tip „credential stuffing”, prin care atacatorii folosesc perechi de nume de utilizator și parole scurse dintr-o breșă pentru a accesa alte servicii, reprezintă una dintre cele mai frecvente modalități prin care un singur incident se transformă în compromiteri multiple. Incidente precum breșa ransomware Beacon Mutual care a afectat 130.000 de persoane arată cât de rapid se pot propaga credențialele compromise la nivelul unei organizații.

Pași pe care pacienții și personalul îi pot face acum pentru a-și proteja datele medicale

Dacă credeți că ați putea fi afectat de breșa ViaQuest sau dacă doriți să vă consolidați protecția generală a confidențialității datelor medicale, următorii pași merită întreprinși imediat.

Analizați cu atenție notificările privind breșa. ViaQuest este obligată, conform regulii de notificare a breșelor HIPAA, să informeze persoanele afectate în scris. Citiți cu atenție aceste notificări pentru a înțelege exact ce date au fost implicate.

Instituiți o blocare a creditului. Deoarece breșa a inclus PII, blocați-vă creditul la toate cele trei birouri principale. Acest lucru împiedică deschiderea de noi linii de credit pe numele dumneavoastră fără autorizarea explicită.

Monitorizați-vă contul de asigurare de sănătate. Urmăriți solicitările de rambursare pe care nu le recunoașteți, semn al unui posibil furt de identitate medicală. Contactați imediat asigurătorul dacă ceva pare nefamiliar.

Folosiți un VPN atunci când accesați portalurile medicale. Criptarea conexiunii este o precauție de bază, mai ales dacă folosiți frecvent rețele publice sau partajate pentru a vă gestiona conturile medicale.

Actualizați parolele și activați autentificarea multi-factor. Schimbați parolele oricărui cont care împărtășea credențiale cu serviciile legate de ViaQuest și activați MFA oriunde este posibil.

Solicitați o copie a dosarelor dumneavoastră. Conform HIPAA, aveți dreptul să accesați dosarele medicale. Revizuirea acestora vă poate ajuta să identificați eventuale modificări sau divulgări neautorizate.

Ce înseamnă acest lucru pentru dumneavoastră

Breșa ViaQuest poate părea mică în comparație cu incidente care afectează sute de mii de persoane, dar sensibilitatea datelor psihiatrice și de sănătate comportamentală face ca impactul personal per individ afectat să fie disproporționat de mare. Organizațiile din domeniul sănătății dețin unele dintre cele mai intime informații despre viețile noastre, iar breșele din acest sector rareori rămân limitate la un singur punct de prejudiciu.

Pe măsură ce furnizorii de servicii medicale continuă să mute serviciile online, pacienții poartă mai multă responsabilitate pentru a se proteja în tranzit. Utilizarea unui VPN la accesarea portalurilor pentru pacienți, alegerea unor credențiale unice și solide și vigilența față de tentativele de phishing care folosesc detaliile dumneavoastră medicale ca momeală sunt obiceiuri practice care vă reduc expunerea, indiferent de ceea ce face sau nu face o anumită organizație la capătul ei.

Alocați câteva minute în această săptămână pentru a revizui setările de securitate ale fiecărui portal medical pe care îl folosiți. Efortul este mic în comparație cu costul recuperării după un furt de identitate sau expunerea celui mai privat istoric medical.