Утечка данных Humana раскрывает медицинские данные в шести штатах

Утечка данных Humana раскрывает конфиденциальные медицинские записи в шести штатах

Страховой гигант Humana сообщил об утечке данных, затронувшей клиентов в Техасе, Флориде, Джорджии, Северной Каролине, Огайо и Вирджинии. Скомпрометированная информация включает одни из наиболее конфиденциальных данных, которые могут оказаться под угрозой: номера социального страхования, записи о медицинских счетах и страховых претензиях, даты оказания услуг и имена поставщиков медицинских услуг. Утечка уже повлекла за собой коллективный иск, и последствия инцидента, по всей видимости, только начинаются.

Для пострадавших клиентов это нечто большее, чем просто неудобство. Сочетание номеров социального страхования и подробных медицинских записей формирует профиль, который может использоваться для кражи персональных данных, медицинского мошенничества и финансовых афер на протяжении многих лет после первоначальной утечки.

Как произошла утечка

Согласно раскрытой информации, утечка стала результатом не прямой атаки на основные системы Humana, а получения злоумышленниками доступа к данным клиентов через уязвимость в программном обеспечении одного из поставщиков. Это всё более распространённый вектор атаки: вместо того чтобы атаковать в лоб крупную и хорошо защищённую организацию, злоумышленники находят более слабое звено в цепочке поставок.

В коллективном иске, поданном в ответ на утечку, утверждается, что Humana не обеспечила надлежащего шифрования или защиты информации о пациентах. Если это соответствует действительности, данные потенциально были доступны в форме, которую злоумышленники могли непосредственно читать и использовать, а не в зашифрованном виде, делающем их бесполезными без ключа дешифрования.

Это различие имеет принципиальное значение. Шифрование — не идеальная защита, но защита критически важная. Когда конфиденциальные данные надлежащим образом зашифрованы, взлом уровня хранения или передачи не означает автоматической компрометации данных. Когда шифрование отсутствует или недостаточно, единственная уязвимость может раскрыть миллионы записей в пригодном для использования виде.

Какие данные оказались под угрозой

Масштаб скомпрометированной информации заслуживает более пристального внимания. Данные о медицинских счетах и страховых претензиях — это не просто запись о том, что человек должен или уже оплатил. Они содержат сведения о диагнозах, методах лечения и поставщиках услуг, которые многие люди считают глубоко личными. В сочетании с номером социального страхования эта информация может быть использована для:

• подачи мошеннических налоговых деклараций;
• открытия новых кредитных линий;
• подачи ложных претензий по медицинскому страхованию;
• выдачи себя за пациентов в медицинских учреждениях.

Подобная комплексная утечка иногда называется профилем «fullz» в контексте кражи персональных данных — это означает, что злоумышленник располагает достаточной информацией для эффективного выдавания себя за другого человека в различных системах и учреждениях.

Что это означает для вас

Если вы являетесь клиентом Humana, особенно в одном из шести затронутых штатов, первый шаг — проверить, получили ли вы уведомление об утечке данных. Компании, допустившие утечку данных, как правило, обязаны уведомить пострадавших лиц, однако сроки и полнота таких уведомлений могут различаться.

Помимо ожидания официального уведомления, существуют конкретные меры, которые стоит принять уже сейчас:

Заморозьте кредитную историю. Обращение в три крупнейших кредитных бюро (Equifax, Experian и TransUnion) с запросом о заморозке кредита предотвратит открытие новых счетов на ваше имя без вашего явного согласия. Эта услуга бесплатна, обратима и является одной из наиболее эффективных мер защиты после утечки данных.

Следите за своими медицинскими записями. Кража медицинской личности может долгое время оставаться незамеченной. Регулярно проверяйте выписки о страховых выплатах от вашего страховщика и периодически запрашивайте копию своих медицинских записей для выявления незнакомых записей.

Будьте бдительны в отношении попыток фишинга. Злоумышленники, получившие личные данные в результате утечек, нередко прибегают к целевым фишинговым письмам или телефонным звонкам, используя реальные сведения для придания им вида легитимных. Относитесь скептически к нежелательным обращениям, в которых упоминается ваша страховка или история болезни.

Рассмотрите возможность использования служб мониторинга персональных данных. Многие компании предлагают услуги мониторинга, которые оповещают вас, когда ваши данные появляются в новых кредитных запросах, базах данных брокеров данных или известных репозиториях утечек.

Более широкий контекст: риски, связанные со сторонними поставщиками

Утечка данных Humana напоминает о том, что безопасность ваших личных данных определяется надёжностью самой слабой системы, через которую они проходят. Крупные организации регулярно передают данные десяткам или даже сотням поставщиков, каждый из которых представляет потенциальную точку уязвимости. Учреждения здравоохранения, страхования и финансового сектора работают с одними из наиболее конфиденциальных персональных данных, и нормативные требования в отношении этих данных, при всей их значимости, явно оказались недостаточными для предотвращения подобных инцидентов.

Как потребитель, вы не можете контролировать то, как ваш страховщик выстраивает отношения с поставщиками. Однако вы можете контролировать скорость своей реакции в случае возникновения проблем и количество уровней защиты, которыми вы окружаете свои счета и личные данные.

Утечка данных Humana — серьёзный инцидент, потенциально затронувший тысячи людей в шести штатах. Если ваши данные оказались скомпрометированы, быстрые и методичные действия дадут вам наилучший шанс минимизировать ущерб. И независимо от того, пострадали ли вы непосредственно, этот случай служит полезным напоминанием о необходимости относиться к своим персональным данным как к ресурсу, заслуживающему активной защиты, а не просто как к чему-то, что пассивно хранится в руках доверенных вами учреждений.