Утечка данных ViaQuest Psychiatric раскрыла PII и PHI 6 420 пациентов

Утечка данных ViaQuest Psychiatric раскрыла PII и PHI 6 420 пациентов

Компания ViaQuest Psychiatric & Behavioral Solutions раскрыла информацию об утечке данных, затронувшей как минимум 6 420 нынешних и бывших пациентов, а также сотрудников. Инцидент привёл к компрометации как персональной идентифицирующей информации (PII), так и защищённой медицинской информации (PHI), подвергая тысячи людей повышенному риску кражи личности, дискриминации и финансового мошенничества. Для всех, кто обращался за услугами в сфере психического здоровья, эта утечка является серьёзным напоминанием о том, что защита конфиденциальности медицинских данных больше не может быть опциональной.

Что именно было раскрыто и кого затронула утечка ViaQuest

Подтверждённая утечка в ViaQuest Psychiatric & Behavioral Solutions охватила две категории скомпрометированных данных: PII, которая обычно включает имена, адреса, даты рождения и номера социального страхования, наряду с PHI, охватывающей диагнозы, записи о лечении, медикаменты и историю приёмов. Комбинация обоих типов в одной утечке особенно опасна.

Пострадавшими являются как нынешние, так и бывшие пациенты и сотрудники, а значит, масштаб не ограничивается теми, кто активно получает помощь. Бывшие пациенты, обращавшиеся за лечением годы назад, могут по-прежнему обнаружить свои записи затронутыми. Сотрудники сталкиваются с собственными рисками, включая кражу учётных данных или целевой фишинг с использованием их служебной информации.

Этот инцидент следует тенденции, наблюдаемой во всём секторе здравоохранения. Утечка данных OpenLoop Health, затронувшая 716 000 записей пациентов, является громким примером того, как платформы телемедицины и психиатрической помощи становятся главными целями для киберпреступников, стремящихся монетизировать конфиденциальные записи.

Почему психиатрические и поведенческие медицинские записи особенно чувствительны

Не все медицинские записи имеют одинаковый вес. Данные о психиатрическом и поведенческом здоровье находятся в уникально высокой категории риска по нескольким причинам.

Во-первых, этот тип информации глубоко личный. Записи, связанные с психическими расстройствами, лечением зависимостей или психиатрическими диагнозами, могут повлиять на перспективы трудоустройства, решения об опеке над детьми, страховую пригодность и личные отношения в случае раскрытия. В отличие от украденного номера кредитной карты, психиатрическую историю нельзя просто аннулировать.

Во-вторых, записи о поведенческом здоровье часто несут дополнительные правовые гарантии, выходящие за рамки стандартных правил HIPAA. Во многих штатах записи о лечении расстройств, связанных с употреблением психоактивных веществ, подпадают под действие 42 CFR Part 2 — федерального нормативного акта, требующего более строгого согласия на раскрытие. Когда такие записи подвергаются утечке, юридические и личные последствия могут быть значительно сложнее, чем при типичном раскрытии медицинских данных.

В-третьих, злоумышленники знают, какой рычаг давления дают эти данные. Психиатрические записи могут использоваться для целенаправленного вымогательства, страхового мошенничества и атак социальной инженерии, направленных на эксплуатацию уязвимых людей, которые, возможно, уже переживают трудные личные обстоятельства.

Как незащищённый доступ к медицинским порталам подвергает пациентов риску

Медицинские порталы — ориентированные на пациентов веб-сайты и приложения, используемые для доступа к записям, планирования приёмов и общения с врачами — стремительно расширились. Удобство часто опережало безопасность. Когда пациенты заходят на эти порталы через незащищённые публичные сети Wi-Fi — в кафе, библиотеках или аэропортах — они открывают данные своих сеансов, учётные данные для входа и поведение в браузере потенциальному перехвату.

Именно здесь шифрование и виртуальные частные сети (VPN) становятся крайне актуальными. VPN шифрует соединение между вашим устройством и интернетом, что значительно усложняет третьим лицам перехват данных в пути. Хотя VPN не может предотвратить утечку на серверах самой медицинской организации, он защищает ваши учётные данные и активность сеанса от сбора на сетевом уровне, особенно при использовании общих или незащищённых подключений.

Помимо использования VPN, пациентам следует проверять наличие HTTPS-шифрования на любом портале, которым они пользуются, включать многофакторную аутентификацию везде, где она предлагается, и избегать повторного использования паролей на медицинских платформах и других учётных записях. Подстановка учётных данных, когда злоумышленники используют утекшие пары логинов и паролей из одной утечки для доступа к другим сервисам, является одним из самых распространённых способов, когда единичный инцидент перерастает в множественные компрометации. Инциденты, такие как утечка Beacon Mutual с программами-вымогателями, затронувшая 130 000 человек, показывают, как быстро скомпрометированные учётные данные могут распространиться по организации.

Действия, которые пациенты и сотрудники могут предпринять уже сейчас для защиты своих медицинских данных

Если вы полагаете, что могли пострадать от утечки ViaQuest, или хотите укрепить свою общую защиту конфиденциальности медицинских данных, следующие шаги стоит предпринять незамедлительно.

Внимательно изучите уведомления об утечке. ViaQuest обязана в соответствии с правилом HIPAA об уведомлении об утечках проинформировать пострадавших лиц в письменной форме. Тщательно прочтите эти уведомления, чтобы понять, какие именно данные были затронуты.

Установите заморозку кредита. Поскольку в утечку попала PII, заморозьте свой кредит во всех трёх основных бюро. Это предотвратит открытие новых кредитных линий на ваше имя без вашего явного разрешения.

Контролируйте свою медицинскую страховку. Отслеживайте заявления на оплату, которые вы не узнаёте, — это может сигнализировать о медицинской краже личности. Свяжитесь со своим страховщиком немедленно, если что-то выглядит незнакомым.

Используйте VPN при доступе к медицинским порталам. Шифрование соединения — это базовая предосторожность, особенно если вы часто пользуетесь публичными или общими сетями для управления своими медицинскими учётными записями.

Обновите пароли и включите многофакторную аутентификацию. Смените пароли во всех учётных записях, где использовались те же данные, что и в сервисах, связанных с ViaQuest, и активируйте MFA везде, где возможно.

Запросите копию своих записей. Согласно HIPAA, вы имеете право на доступ к своим медицинским записям. Их просмотр поможет вам выявить любые несанкционированные изменения или раскрытия.

Что это значит для вас

Утечка ViaQuest может показаться небольшой по сравнению с инцидентами, затрагивающими сотни тысяч человек, но чувствительность данных о психиатрическом и поведенческом здоровье означает, что личное воздействие на каждого пострадавшего может быть непропорционально высоким. Медицинские организации хранят одну из самых интимных сведений о нашей жизни, и утечки в этом секторе редко остаются ограничены единичной точкой ущерба.

По мере того как поставщики медицинских услуг продолжают переводить сервисы в онлайн, пациенты несут большую ответственность за самозащиту при передаче данных. Использование VPN при доступе к порталам пациентов, выбор надёжных уникальных учётных данных и бдительность к фишинговым попыткам, использующим ваши медицинские сведения в качестве приманки, — это практические привычки, которые снижают вашу уязвимость независимо от того, что делает или не делает та или иная организация на своей стороне.

Уделите несколько минут на этой неделе проверке настроек безопасности каждого медицинского портала, которым вы пользуетесь. Эти усилия невелики по сравнению с ценой восстановления после кражи личности или раскрытия вашей самой приватной медицинской истории.