Hur många personer påverkades av intrånget hos NYC Health and Hospitals Corporation?

Intrånget påverkade 1,8 miljoner individer kopplade till New York City Health and Hospitals Corporation. Det härrörde från ett intrång hos en tredjepartsleverantör snarare än en direkt attack mot sjukhussystem.

Varför anses stulna sjukvårdsjournaler vara farligare än stulen kreditkortsinformation?

Till skillnad från ett kreditkortsnummer innehåller sjukvårdsdata information som inte kan ändras, till exempel personnummer, födelsedatum och diagnoshistorik. Medicinsk identitetsstöld går också ofta oupptäckt i månader eller år, vilket gör skadan omfattande och svår att återställa.

Hur många personer påverkades av intrånget hos Erie Family Health Centers?

Intrånget hos Erie Family Health Centers komprometterade uppgifterna för cirka 570 000 personer. Erie Family Health Centers är ett federalt kvalificerat hälsocenter som betjänar lägre inkomstgrupper i Illinois.

NYC Healths intrång med 1,8 miljoner poster bland nya HHS-registrerade incidenter

Q: Vilken typ av data exponerades vid intrånget hos Erie Family Health Centers?

Intrånget hos Erie Family Health Centers exponerade personidentifierare, medicinsk information och ekonomiska uppgifter. Denna kombination gör offer särskilt sårbara för flera former av bedrägeri samtidigt.

Q: Vad är HHS intrångsspårare och varför är den viktig?

HHS intrångsportal är ett offentligt register som upprätthålls enligt HIPAA:s regel om intrångsanmälan och som registrerar betydande sjukvårdsdataincidenter som påverkar 500 eller fler individer. När nya poster dyker upp indikerar det att berörda organisationer har fullgjort sina obligatoriska rapporteringsskyldigheter.

NYC Healths intrång med 1,8 miljoner poster bland nya HHS-registrerade incidenter

Det amerikanska departementet för hälsa och mänskliga tjänsters intrångsspårare har lagt till flera betydande dataintrång inom sjukvården i sitt offentliga register, där det största påverkar 1,8 miljoner individer kopplade till New York City Health and Hospitals Corporation. En separat incident vid Erie Family Health Centers komprometterade personliga, medicinska och ekonomiska uppgifter för ytterligare 570 000 personer. Tillsammans understryker dessa incidenter de ihållande och växande integritetsriskerna med dataintrång inom sjukvården som miljontals amerikaner möter varje gång de interagerar med en vårdgivare.

Vad HHS intrångsspårare avslöjar om dessa incidenter

HHS intrångsportal, som upprätthålls enligt HIPAA:s regel om intrångsanmälan, fungerar som ett offentligt register över betydande sjukvårdsdataincidenter som påverkar 500 eller fler individer. När nya poster dyker upp signalerar det att berörda organisationer har fullgjort sina obligatoriska rapporteringsskyldigheter, ibland månader efter att det ursprungliga intrånget inträffade.

Posten för NYC Health and Hospitals Corporation är anmärkningsvärd av två skäl: dess rena skala och dess ursprung. Intrånget härrörde inte från en direkt attack mot sjukhussystem utan från ett intrång hos en tredjepartsleverantör. Erie Family Health Centers, ett federalt kvalificerat hälsocenter som betjänar lägre inkomstgrupper i Illinois, rapporterade att dess intrång exponerade en särskilt känslig kombination av datatyper, inklusive personidentifierare, medicinsk information och ekonomiska uppgifter. Den treenigheten gör offer särskilt sårbara för flera former av bedrägeri samtidigt.

Varför sjukvårdsjournaler är farligare än de flesta stulna data

Ett stulet kreditkortsnummer är frustrerande, men det kan spärras inom några minuter. En stulen medicinsk journal är en helt annan sak. Sjukvårdsdata innehåller information som inte kan ändras: födelsedatum, personnummer, försäkringspolisnummer, diagnoshistorik och receptregister. På underjordiska marknader betingar kompletta medicinska profiler rutinmässigt priser som är långt högre än vanliga finansiella uppgifter.

Faran förstärks eftersom medicinsk identitetsstöld ofta går oupptäckt i månader eller år. En tjuv som använder stulna försäkringsuppgifter för att skaffa recept eller lämna in bedrägliga anspråk lämnar vanligtvis inga omedelbara spår på offrets bankkonto. När bedrägeriet uppdagas via ett nekat försäkringsanspråk eller en oväntad sjukvårdsräkning är skadan redan omfattande och svår att reda ut.

Sjukvårdsjournaler skapar också möjligheter för riktad nätfiske. En angripare som känner till ditt läkarnamn, dina senaste diagnoser och din försäkringsleverantör kan utforma övertygande kommunikation som kringgår den skepsis de flesta tillämpar på generiska bluffmejl.

Hur tredjepartsleverantörer blev den svagaste länken i patientintegriteten

NYC Health-intrånget passar ett mönster som har dominerat säkerhetsincidenter inom sjukvården i flera år. Sjukhus och hälsosystem förlitar sig på täta ekosystem av programvaruleverantörer, faktureringsprocessorer, telemedicinsplattformar, bokningsverktyg för möten och dataanalysföretag. Var och en av dessa tredje parter får tillgång till patientdata för att utföra sina avtalade funktioner, och var och en representerar en ytterligare attackyta som sjukvårdsorganisationen själv inte fullt ut kontrollerar.

Regulatoriska ramverk kräver att täckta enheter tecknar avtal om affärsassocierade med leverantörer, vilket fastställer skyldigheter för dataskydd. Dessa avtal översätts dock inte automatiskt till likvärdiga säkerhetslägen. Ett stort akademiskt medicinskt centrum kan ha ett moget säkerhetsprogram medan programvaruleverantören för bokningssystem som det använder arbetar med betydligt mindre granskning.

Denna dynamik är inte unik för sjukvården. Sårbarheter på servernivå inom branscher exponerar regelbundet data som innehas av leverantörer snarare än de primära organisationer som patienter eller kunder litar på. Att förstå att dina data färdas långt bortom väggarna på din läkarmottagning är en viktig del av att hantera din egen integritetsexponering. Du kan läsa mer om hur sårbarheter på infrastrukturnivå påverkar data i stor skala i bevakningen av cPanel-autentiseringsförbigångsexploaten som drabbar tiotusentals servrar, vilket illustrerar hur ett enda fel i allmänt delad programvara kan kaskada genom tusentals organisationer samtidigt.

Praktiska integritetssteg för patienter som interagerar med vårdgivare online

Även om enskilda patienter inte kan granska sin vårdgivares leverantörsrelationer finns det konkreta åtgärder som minskar exponeringen och förbättrar din förmåga att upptäcka bedrägeri tidigt.

För det första, begär en kopia av dina medicinska journaler periodvis. Att granska dem låter dig upptäcka okända ingrepp, recept eller leverantörsnamn som kan tyda på att någon har använt din identitet för att få vård. Enligt HIPAA har du rätt att få tillgång till dina journaler och de flesta vårdgivare är skyldiga att uppfylla förfrågningar inom 30 dagar.

För det andra, kontakta din sjukförsäkring och be om en sammanfattning av ersättningsbesked för det senaste året. Alla anspråk du inte känner igen motiverar omedelbar uppföljning. Många försäkringsgivare erbjuder nu kostnadsfria övervakningsvarningar för ovanlig anspråksaktivitet.

För det tredje, överväg att placera en kreditfrysning hos alla tre stora kreditupplysningsbyråerna. Medicinsk identitetsstöld leder ofta till inkassokonton och bedrägliga kreditlinjer, och en frysning förhindrar att nya konton öppnas i ditt namn utan ditt uttryckliga godkännande.

För det fjärde, använd unika, starka lösenord för alla patientportalkonton, till exempel de som används för att visa labbresultat eller boka möten. Dessa portaler innehåller mycket känsliga journaler, men de skyddas ofta enbart av svaga inloggningsuppgifter som patienter återanvänder i andra tjänster. Att använda en dedikerad e-postadress för sjukvårdskonton begränsar också skadeverkningarna om något av dina andra konton komprometteras.

Slutligen, håll dig informerad om det bredare regulatoriska och lagstiftande klimat som formar hur dina data hanteras. Ny lagstiftning på delstatsnivå som riktar sig mot digital integritet, till exempel Utahs SB 73-lag om åldersverifiering, återspeglar en växande medvetenhet bland lagstiftare om att dataflöden online kräver starkare skyddsräcken. Att följa hur dessa policyer utvecklas kan hjälpa dig att förstå vilka skydd som finns, och vilka som saknas, för din information.

Vad detta innebär för dig

Tillägget av dessa intrång i HHS-spåraren påminner om att integritetsrisker vid dataintrång inom sjukvården inte är hypotetiska. Miljontals människor fick känsliga uppgifter exponerade i bara dessa två incidenter, och spåraren registrerar hundratals incidenter årligen.

Dina mest effektiva verktyg är övervakning, tidig upptäckt och begränsning av onödig datadelning där det är möjligt. Fråga dina vårdgivare vilka tredjepartsleverantörer som tar emot dina data och i vilket syfte. Granska dina journaler och försäkringsutdrag regelbundet. Och behandla dina inloggningsuppgifter till patientportalen med samma allvar som du tillämpar på dina finansiella konton. Dessa åtgärder förhindrar inte att en leverantör drabbas av ett intrång, men de förbättrar avsevärt dina chanser att upptäcka bedrägeri innan det orsakar bestående skada.

NYC Healths intrång med 1,8 miljoner poster bland nya HHS-registrerade incidenter

Vad HHS intrångsspårare avslöjar om dessa incidenter

Varför sjukvårdsjournaler är farligare än de flesta stulna data

Hur tredjepartsleverantörer blev den svagaste länken i patientintegriteten

Praktiska integritetssteg för patienter som interagerar med vårdgivare online

Vad detta innebär för dig

// FAQ

// Relaterat