การแฮ็ก CareCloud เปิดเผยข้อมูลผู้ป่วยหลายล้านราย

CareCloud ยืนยันว่าแฮกเกอร์เข้าถึงบันทึกทางการแพทย์ของผู้ป่วย

CareCloud บริษัทเทคโนโลยีในภาคสุขภาพ รายงานว่าแฮกเกอร์เข้าถึงบันทึกทางการแพทย์ของผู้ป่วยได้สำเร็จ ส่งผลกระทบต่อบุคคลหลายล้านคน เหตุการณ์นี้เพิ่มเข้าสู่รายชื่อที่ยาวนานของการละเมิดข้อมูลด้านสุขภาพที่เปิดเผยข้อมูลส่วนบุคคลและข้อมูลทางการแพทย์ที่ละเอียดอ่อนของผู้ป่วย ซึ่งแทบไม่มีสิทธิ์เลือกว่าข้อมูลของตนจะถูกจัดเก็บหรือปกป้องอย่างไร

แม้รายละเอียดเฉพาะเจาะจงเกี่ยวกับช่องทางการโจมตีและขอบเขตทั้งหมดของข้อมูลที่ถูกละเมิดยังคงปรากฏให้เห็นอย่างต่อเนื่อง แต่การละเมิดครั้งนี้ตอกย้ำปัญหาที่ยืดเยื้อมานาน นั่นคือองค์กรด้านสุขภาพถือครองข้อมูลส่วนบุคคลที่ละเอียดอ่อนที่สุดเท่าที่จะจินตนาการได้ และนั่นทำให้พวกเขากลายเป็นเป้าหมายที่มีมูลค่าสูงสำหรับอาชญากรไซเบอร์

เหตุใดข้อมูลด้านสุขภาพจึงมีคุณค่าอย่างยิ่งต่อแฮกเกอร์

บันทึกทางการแพทย์ไม่ได้เป็นเพียงไฟล์ที่มีประวัติการวินิจฉัยโรคเท่านั้น โดยทั่วไปแล้วจะประกอบด้วยชื่อตามกฎหมายเต็ม วันเดือนปีเกิด หมายเลขประกันสังคม ข้อมูลประกันภัย รายละเอียดการเรียกเก็บเงิน และข้อมูลติดต่อ ในหลายกรณี นี่คือโปรไฟล์ส่วนบุคคลที่สมบูรณ์กว่าสิ่งที่สถาบันการเงินมีเกี่ยวกับลูกค้าเสียอีก

การรวมกันของข้อมูลเหล่านี้ทำให้บันทึกด้านสุขภาพมีคุณค่าอย่างยิ่งในตลาดมืดของอาชญากร ต่างจากหมายเลขบัตรเครดิตที่ถูกขโมย ซึ่งสามารถยกเลิกและเปลี่ยนใหม่ได้ แต่ประวัติทางการแพทย์และหมายเลขประกันสังคมของบุคคลนั้นไม่สามารถเปลี่ยนแปลงได้ ความเสียหายจากการเปิดเผยข้อมูลอาจติดตามบุคคลนั้นไปเป็นเวลาหลายปี

บริษัทด้านสุขภาพอย่าง CareCloud ทำหน้าที่เป็นตัวกลางในระบบที่ซับซ้อน โดยจัดการบันทึกข้อมูลในนามของสถานพยาบาล คลินิก และผู้ป่วย การละเมิดเพียงครั้งเดียวในแพลตฟอร์มที่จัดการข้อมูลให้กับผู้ให้บริการหลายราย จึงอาจส่งผลกระทบต่อผู้ป่วยที่อาจไม่รู้ด้วยซ้ำว่าบริษัทนี้มีบทบาทอะไรในการดูแลรักษาของตน

สิ่งที่คุณควรทำ

หากคุณเคยรับการรักษาจากผู้ให้บริการทางการแพทย์รายใดที่ใช้แพลตฟอร์มของ CareCloud มีความเป็นไปได้ที่สมเหตุสมผลว่าบันทึกของคุณอาจอยู่ในบรรดาข้อมูลที่ถูกเข้าถึง ต่อไปนี้คือขั้นตอนที่สำคัญที่สุดที่ควรดำเนินการในตอนนี้

ตรวจสอบการแจ้งเตือนอย่างเป็นทางการ ภายใต้กฎหมายของสหรัฐอเมริกา บริษัทที่ประสบกับการละเมิดข้อมูลด้านสุขภาพมีหน้าที่แจ้งให้บุคคลที่ได้รับผลกระทบทราบ คอยสังเกตจดหมายหรืออีเมลจาก CareCloud หรือผู้ให้บริการทางการแพทย์ของคุณ ระวังการสื่อสารที่ไม่ได้ร้องขอซึ่งอ้างว่าเกี่ยวกับการละเมิดดังกล่าว เนื่องจากนักต้มตุ๋นมักฉวยโอกาสจากเหตุการณ์เหล่านี้เพื่อโจมตีแบบฟิชชิ่ง

ติดตามบัญชีการเงินและเครดิตของคุณ เนื่องจากบันทึกทางการแพทย์มักมีข้อมูลทางการเงินและข้อมูลประจำตัว ให้คอยสังเกตกิจกรรมที่ผิดปกติในบัญชีธนาคาร บัตรเครดิต และรายงานเครดิต พิจารณาการระงับเครดิตฟรีกับสำนักงานเครดิตหลักเพื่อป้องกันไม่ให้มีการเปิดบัญชีใหม่ในชื่อของคุณ

ตรวจสอบใบแจ้งประกันสุขภาพของคุณ ความเสี่ยงเฉพาะอย่างหนึ่งของการละเมิดข้อมูลทางการแพทย์คือการโจรกรรมข้อมูลประจำตัวทางการแพทย์ ซึ่งอาชญากรใช้ข้อมูลประกันภัยที่ขโมยมาเพื่อยื่นเรียกร้องค่าสินไหมทดแทนที่เป็นการฉ้อโกง ตรวจสอบใบสรุปสิทธิประโยชน์ของคุณอย่างละเอียดสำหรับบริการที่คุณไม่ได้รับ

ระมัดระวังการพยายามฟิชชิ่ง เมื่อมีชื่อ ข้อมูลติดต่อ และบริบทด้านการแพทย์ของคุณ ผู้โจมตีสามารถสร้างอีเมลฟิชชิ่งหรือการโทรศัพท์ที่น่าเชื่อถืออย่างมาก ให้สงสัยในการติดต่อใดๆ ที่ขอให้คุณยืนยันข้อมูลส่วนตัวหรือคลิกลิงก์ แม้ว่าจะดูเหมือนมาจากองค์กรที่รู้จักก็ตาม

ปฏิบัติตามสุขอนามัยดิจิทัลที่ดีต่อไป เมื่อเข้าถึงพอร์ทัลด้านสุขภาพ แอปพลิเคชันสำหรับผู้ป่วย หรือแพลตฟอร์มประกันภัยออนไลน์ ให้ใช้รหัสผ่านที่แข็งแกร่งและไม่ซ้ำกันสำหรับแต่ละบัญชี และเปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัยทุกที่ที่มีให้บริการ ขั้นตอนพื้นฐานเหล่านี้ช่วยลดความเสี่ยงในการเข้าถึงบัญชีของคุณโดยไม่ได้รับอนุญาตได้อย่างมีนัยสำคัญ แม้ว่าบริษัทที่คุณใช้บริการจะประสบกับการละเมิดก็ตาม

การละเมิดข้อมูลด้านสุขภาพกำลังกลายเป็นเรื่องปกติ

เหตุการณ์ CareCloud ไม่ใช่เหตุการณ์ที่เกิดขึ้นโดดเดี่ยว ภาคสุขภาพถูกจัดอันดับอย่างสม่ำเสมอว่าเป็นหนึ่งในภาคส่วนที่ถูกโจมตีทางไซเบอร์มากที่สุดในช่วงหลายปีที่ผ่านมา การแปลงบันทึกทางการแพทย์เป็นดิจิทัลทำให้การประสานงานการดูแลรักษามีประสิทธิภาพมากขึ้น แต่ยังรวมข้อมูลที่ละเอียดอ่อนจำนวนมหาศาลไว้ในระบบที่ไม่ได้มีทรัพยากรด้านความปลอดภัยที่เพียงพอเสมอไป

กรอบกฎระเบียบอย่าง HIPAA ในสหรัฐอเมริกากำหนดข้อกำหนดพื้นฐานสำหรับวิธีการปกป้องข้อมูลด้านสุขภาพ แต่การปฏิบัติตามกฎระเบียบไม่ได้เท่ากับความปลอดภัย การละเมิดยังคงเกิดขึ้นที่โรงพยาบาล บริษัทประกันภัย เครือข่ายร้านขายยา และผู้ให้บริการเทคโนโลยีที่ให้บริการแก่พวกเขา

สำหรับผู้ป่วย ความเป็นจริงที่ยากจะยอมรับคือความเสี่ยงส่วนใหญ่นี้อยู่นอกเหนือการควบคุมส่วนบุคคล คุณไม่สามารถเลือกได้ว่าคลินิกของแพทย์คุณใช้ผู้จำหน่ายซอฟต์แวร์รายใด สิ่งที่คุณควบคุมได้คือวิธีที่คุณตอบสนองต่อเหตุการณ์เมื่อเกิดขึ้น และความรอบคอบในการจัดการรอยเท้าดิจิทัลที่คุณมีอิทธิพลโดยตรง

คอยติดตามข้อมูล ดำเนินการอย่างรวดเร็วเมื่อได้รับการแจ้งเตือน และปฏิบัติต่อข้อมูลรับรองบัญชีทางการแพทย์ของคุณด้วยความระมัดระวังเช่นเดียวกับที่คุณให้กับการธนาคารออนไลน์ ข้อมูลด้านสุขภาพมีคุณค่าที่ต้องปกป้อง และการดำเนินขั้นตอนที่ปฏิบัติได้จริงเหล่านี้สามารถลดความเสี่ยงของคุณได้อย่างมีนัยสำคัญเมื่อการละเมิดครั้งต่อไปกลายเป็นข่าวพาดหัว