Humanas dataintrång exponerar känsliga hälsojournaler i sex delstater

Försäkringsjätten Humana har avslöjat ett dataintrång som drabbar kunder i Texas, Florida, Georgia, North Carolina, Ohio och Virginia. Den komprometterade informationen inkluderar några av de känsligaste uppgifter en person kan få exponerade: personnummer, medicinska fakturerings- och ersättningsuppgifter, datum för vårdbesök samt namn på vårdgivare. Intrånget har redan lett till en grupptalan, och efterverkningarna har troligtvis bara börjat.

För drabbade kunder är detta mer än ett besvär. En kombination av personnummer och detaljerade medicinska uppgifter skapar en profil som kan utnyttjas för identitetsstöld, medicinskt bedrägeri och ekonomiska bedrägerier i många år efter den ursprungliga exponeringen.

Hur intrånget gick till

Enligt den offentliggjorda informationen var intrånget inte resultatet av en direkt attack mot Humanas kärnsystem. I stället fick angriparna tillgång till kunddata via en sårbarhet i en leverantörs programvara. Detta är en alltmer vanlig attackvektor: i stället för att direkt angripa en stor, välskyddad organisation hittar angriparna en svagare länk i leveranskedjan.

Grupptalan som väckts till följd av intrånget gör gällande att Humana misslyckades med att på ett adekvat sätt kryptera eller skydda patientinformation. Om detta stämmer innebär det att uppgifterna potentiellt var tillgängliga i ett format som angriparna direkt kunde läsa och använda, snarare än i ett krypterat format som skulle ha gjort dem oanvändbara utan en dekrypteringsnyckel.

Denna distinktion är viktig. Kryptering är inte ett perfekt skydd, men det är ett avgörande sådant. När känsliga uppgifter är korrekt krypterade innebär inte ett intrång i lagrings- eller överföringsskiktet automatiskt att uppgifterna är komprometterade. När kryptering saknas eller är otillräcklig kan en enda sårbarhet exponera miljontals poster i användbar form.

Vilken typ av data exponerades

Omfattningen av den komprometterade informationen förtjänar noggrannare uppmärksamhet. Medicinska fakturerings- och ersättningsuppgifter är inte bara ett register över vad en person är skyldig eller har betalat. Det innehåller detaljer om diagnoser, behandlingar och vårdgivare som många betraktar som djupt privata. I kombination med ett personnummer kan denna information användas för att:

  • Lämna in bedrägliga skattedeklarationer
  • Öppna nya kreditkonton
  • Lämna in falska sjukförsäkringskrav
  • Utge sig för att vara patienter inom vårdsystemet

Denna typ av kombinerad exponering kallas ibland för en "fullz"-profil inom ramen för identitetsstöld, vilket innebär att en angripare har tillräckligt med information för att effektivt utge sig för att vara någon annan inom flera system och institutioner.

Vad detta innebär för dig

Om du är Humana-kund, särskilt i de sex drabbade delstaterna, är det första steget att kontrollera om du har fått ett brev om intrånget. Företag som drabbas av dataintrång är i allmänhet skyldiga att underrätta berörda personer, även om tidpunkten och fullständigheten hos dessa meddelanden varierar.

Utöver att vänta på officiell kommunikation finns det konkreta åtgärder värda att vidta redan nu:

Lägg en kreditspärr. Att kontakta de tre stora kreditupplysningsföretagen (Equifax, Experian och TransUnion) för att spärra din kredit förhindrar att nya konton öppnas i ditt namn utan ditt uttryckliga godkännande. Det är kostnadsfritt, reversibelt och ett av de mest effektiva skydden som finns tillgängliga efter ett dataintrång.

Övervaka dina medicinska uppgifter. Medicinsk identitetsstöld kan förbli oupptäckt under lång tid. Granska dina ersättningsbesked från din försäkringsgivare och begär en kopia av dina medicinska journaler med jämna mellanrum för att leta efter okända uppgifter.

Var uppmärksam på nätfiskeförsök. Angripare som får tillgång till personuppgifter via intrång följer ofta upp med riktade nätfiske-e-postmeddelanden eller telefonsamtal som använder verkliga detaljer för att verka legitima. Var skeptisk till oönskad kontakt som refererar till din försäkring eller din medicinska historia.

Överväg identitetsövervakningstjänster. Många företag erbjuder identitetsövervakning som varnar dig när dina uppgifter dyker upp i nya kreditförfrågningar, databaser för datamäklare eller kända intrångsdatabaser.

Den större bilden kring risker med tredjepartsleverantörer

Humanas intrång är en påminnelse om att dina personuppgifter bara är lika säkra som det svagaste systemet de passerar genom. Stora organisationer delar rutinmässigt data med dussintals eller hundratals leverantörer, var och en av dem utgör en potentiell exponeringsrisk. Hälso-, försäkrings- och finansinstitutioner hanterar några av de känsligaste personuppgifter som finns, och de regulatoriska kraven kring dessa uppgifter, om än betydande, har uppenbarligen inte varit tillräckliga för att förhindra incidenter som denna.

Som konsument kan du inte kontrollera hur din försäkringsgivare hanterar sina leverantörsrelationer. Vad du kan kontrollera är hur snabbt du reagerar när något går fel, och hur många skyddslager du lägger runt dina egna konton och din identitet.

Humanas dataintrång är en allvarlig incident som potentiellt drabbar tusentals människor i sex delstater. Om dina uppgifter exponerades ger ett snabbt och metodiskt agerande dig de bästa förutsättningarna att begränsa skadan. Och oavsett om du direkt drabbades eller inte är detta fall en nyttig påminnelse om att behandla dina personuppgifter som en resurs värd att aktivt skydda, inte bara något som passivt existerar i händerna på institutioner du litar på.