การรั่วไหลของข้อมูล Hartford HUSKY Medicaid เผยให้เห็นความเสี่ยงด้านข้อมูลประจำตัวของพอร์ทัลการดูแลสุขภาพ
การรั่วไหลของข้อมูลที่เกี่ยวข้องกับพอร์ทัล Hartford HealthCare’s HUSKY Medicaid ได้ดึงความสนใจครั้งใหม่ให้กับช่องโหว่ที่ส่งผลกระทบต่อผู้ป่วยหลายล้านคนที่เข้าถึงข้อมูลสุขภาพออนไลน์ นั่นคือการขโมยข้อมูลประจำตัวของพอร์ทัลดูแลสุขภาพ เหตุการณ์นี้เน้นย้ำว่าพอร์ทัลของรัฐบาลและโรงพยาบาลที่เปิดให้บริการแก่สาธารณะมีความเสี่ยงที่แตกต่างจากการละเมิดข้อมูลขององค์กรทั่วไป โดยเฉพาะอย่างยิ่งสำหรับผู้รับ Medicaid ที่อาจเข้าถึงข้อมูลการเคลมและข้อมูลสุขภาพที่ละเอียดอ่อนจากอุปกรณ์ที่ใช้ร่วมกันหรือที่ไม่ปลอดภัย
เกิดอะไรขึ้นในการละเมิดข้อมูล Hartford HUSKY Medicaid
โปรแกรม HUSKY คือ Medicaid และ Children’s Health Insurance Program ของรัฐคอนเนตทิคัต และ Hartford HealthCare เป็นผู้ให้บริการรายใหญ่ในเครือข่ายนั้น การละเมิดนี้มุ่งเป้าไปที่พอร์ทัลสำหรับผู้ป่วย ซึ่งสมาชิก HUSKY ใช้ในการดูข้อมูลการเคลม สิทธิประโยชน์ และบันทึกสุขภาพส่วนบุคคล ตามรายงานเกี่ยวกับเหตุการณ์ที่เกิดขึ้น การบุกรุกเกิดจากการเข้าถึงโดยไม่ได้รับอนุญาตผ่านการลักลอบใช้ข้อมูลประจำตัว ซึ่งเป็นวิธีการที่ผู้โจมตีใช้ข้อมูลเข้าสู่ระบบที่ถูกขโมยหรือรั่วไหลเพื่อเข้าใช้งานพอร์ทัลเสมือนเป็นผู้ใช้ที่ถูกต้อง
สิ่งที่ทำให้การละเมิดครั้งนี้น่าสนใจคือประเภทของข้อมูลที่ตกอยู่ในความเสี่ยง พอร์ทัล Medicaid โดยทั่วไปจะจัดเก็บข้อมูลส่วนบุคคลที่ระบุตัวตนได้ ประวัติการเคลมประกัน รหัสวินิจฉัยโรค และบันทึกผู้ให้บริการ ซึ่งข้อมูลชุดนี้มีค่าอย่างยิ่งต่อผู้ขโมยอัตลักษณ์และมิจฉาชีพ เพราะมันเชื่อมโยงข้อมูลทางการเงินและข้อมูลทางการแพทย์ไว้ในที่เดียว แตกต่างจากการละเมิดบัตรชำระเงิน ข้อมูลประจำตัวของ Medicaid ที่ถูกบุกรุกไม่สามารถยกเลิกและออกใหม่ได้
เหตุการณ์นี้ยังก่อให้เกิดคำถามเกี่ยวกับแพลตฟอร์มของผู้ให้บริการและจุดเชื่อมต่อที่ใช้ร่วมกัน เมื่อหลายระบบหรือหลายองค์กรเชื่อมต่อกับโครงสร้างพื้นฐานพอร์ทัลเดียวกัน จุดอ่อนในจุดเดียวก็สามารถลุกลามกลายเป็นการเปิดเผยในวงกว้างทั่วทั้งเครือข่าย
การขโมยข้อมูลประจำตัวมุ่งเป้าผู้ใช้พอร์ทัลดูแลสุขภาพอย่างไร
การขโมยข้อมูลประจำตัวในวงการดูแลสุขภาพดำเนินการแตกต่างจากภาคส่วนอื่น ผู้โจมตีแทบไม่ต้องเจาะระบบภายในของโรงพยาบาลโดยตรง แต่จะเล็งเป้าหมายที่ขอบนอก นั่นคือหน้าล็อกอินที่ผู้ป่วยและเจ้าหน้าที่ใช้งานทุกวัน อีเมลฟิชชิ่งแอบอ้างเป็นผู้ดูแลแผนสุขภาพ หน้าล็อกอินพอร์ทัลปลอม และมัลแวร์ขโมยข้อมูลที่ติดตั้งบนอุปกรณ์ส่วนตัวล้วนเป็นวิธีการที่พบบ่อย
เมื่อผู้โจมตีได้ข้อมูลประจำตัวที่ถูกต้อง พวกเขามักดำเนินการโดยไม่ถูกตรวจจับเป็นเวลาหลายสัปดาห์หรือหลายเดือน เพราะกิจกรรมของพวกเขาดูเหมือนพฤติกรรมผู้ใช้ปกติ ไม่มีการแจ้งเตือนการเข้าสู่ระบบล้มเหลว ไม่มีสัญญาณเตือนใด ๆ ถูกกระตุ้น นี่คือเหตุผลที่องค์กรดูแลสุขภาพกล่าวว่าการถูกบุกรุกข้อมูลประจำตัวคือภัยคุกคามที่ตรวจจับได้ยากที่สุดตั้งแต่ระยะแรก
ปัญหายิ่งทวีความหนักหนาขึ้นด้วยการใช้รหัสผ่านซ้ำ ผู้ป่วยจำนวนมากใช้รหัสผ่านและอีเมลชุดเดียวกันในหลากหลายบริการ การรั่วไหลของข้อมูลประจำตัวจากผู้ค้าปลีกหรือแพลตฟอร์มโซเชียลมีเดียสามารถไขเข้าพอร์ทัล Medicaid ได้เลยหากผู้ใช้เหล่านี้นำข้อมูลเข้าสู่ระบบกลับมาใช้ซ้ำ กระบวนการ credential stuffing ที่ผู้โจมตีป้อนคู่ชื่อผู้ใช้และรหัสผ่านที่รั่วไหลใส่พอร์ทัลดูแลสุขภาพในรูปแบบอัตโนมัติ กลายเป็นวิธีการโจมตีทั่วไปที่ใช้ทักษะเพียงเล็กน้อย
รูปแบบของพื้นผิวการโจมตีที่ขยายวงกว้างผ่านจุดเชื่อมต่อที่เปิดให้ผู้ป่วยและระยะไกลนั้นถูกบันทึกไว้เป็นอย่างดี ดังที่ งานวิจัยเกี่ยวกับภัยเรียกค่าไถ่และช่องโหว่ของอุปกรณ์ปลายทางระยะไกลได้แสดงให้เห็น บรรดาผู้นำด้านความปลอดภัยในทุกภาคส่วนต่างตระหนักมากขึ้นว่าอุปกรณ์ปลายทาง ไม่ใช่ศูนย์ข้อมูล คือจุดที่การละเมิดจำนวนมากเริ่มต้นขึ้น
เหตุใดเครือข่ายสาธารณะและที่ใช้ร่วมกันจึงเพิ่มความเสี่ยงของพอร์ทัล Medicaid
Medicaid ให้บริการแก่กลุ่มประชากรที่มักพึ่งพาอุปกรณ์ที่ใช้ร่วมกันและการเชื่อมต่ออินเทอร์เน็ตสาธารณะ คอมพิวเตอร์ในห้องสมุด เครือข่ายศูนย์ชุมชน สมาร์ตโฟนที่ใช้ร่วมกัน และ Wi‑Fi สาธารณะฟรีในคลินิกหรือห้องรอ ล้วนเป็นช่องทางเข้าถึงทั่วไปสำหรับผู้ป่วยในการจัดการสิทธิประโยชน์ สภาพแวดล้อมเหล่านี้มีความเสี่ยงด้านความปลอดภัยที่สำคัญ ซึ่งผู้ใช้ส่วนใหญ่ไม่มีทางประเมินได้ในทันที
บนเครือข่ายสาธารณะที่ไม่ได้เข้ารหัส ข้อมูลประจำตัวที่ส่งไปยังพอร์ทัลดูแลสุขภาพอาจถูกดักจับด้วยเทคนิคอย่าง man-in-the-middle ที่ผู้โจมตีแทรกตัวอยู่ระหว่างอุปกรณ์ของผู้ใช้กับเครือข่ายเพื่อดักเก็บข้อมูลระหว่างทาง แม้แต่บนเครือข่ายที่ดูเหมือนเป็นส่วนตัว คุกกี้เซสชันและโทเค็นอาจถูกเก็บเกี่ยวจากเบราว์เซอร์หลังจากล็อกอิน ทำให้ผู้โจมตีสามารถปลอมตัวเป็นผู้ใช้โดยไม่ต้องรู้รหัสผ่านเลย
อุปกรณ์ที่ใช้ร่วมกันนำมาซึ่งความเสี่ยงอีกประเภทหนึ่ง รหัสผ่านที่บันทึกไว้ในเบราว์เซอร์ เซสชันที่แคชไว้ และข้อมูลที่กรอกอัตโนมัติ ซึ่งเก็บบนคอมพิวเตอร์สาธารณะหรือโทรศัพท์ของสมาชิกในครอบครัว ล้วนถูกเข้าถึงได้โดยผู้ใช้คนถัดไปหรือโดยมัลแวร์ที่ทำงานอยู่บนอุปกรณ์นั้นอยู่แล้ว
นี่คือสถานการณ์ที่การเข้ารหัสการเชื่อมต่อของคุณกลายเป็นมาตรการป้องกันที่จับต้องได้และนำไปปฏิบัติได้จริง VPN จะส่งข้อมูลอินเทอร์เน็ตของคุณผ่านอุโมงค์เข้ารหัส ปกปิดข้อมูลประจำตัวเข้าสู่ระบบและข้อมูลเซสชันให้พ้นจากผู้ที่เฝ้าติดตามเครือข่ายระหว่างอุปกรณ์ของคุณกับพอร์ทัล สำหรับผู้ป่วยที่เข้าถึงพอร์ทัล Medicaid จากสภาพแวดล้อมเครือข่ายที่ไม่น่าไว้ใจ ขั้นตอนง่าย ๆ เพียงขั้นตอนเดียวนี้ช่วยลดความเสี่ยงที่ข้อมูลประจำตัวจะถูกดักจับระหว่างทางได้อย่างมาก
ขั้นตอนปฏิบัติที่ผู้ป่วยทำได้เพื่อปกป้องการเข้าถึงบัญชีสุขภาพ
การละเมิด Hartford HUSKY เป็นตัวกระตุ้นให้ทบทวนว่าคุณเชื่อมต่อกับพอร์ทัลดูแลสุขภาพใด ๆ อย่างไร ไม่ว่าจะเป็นระบบ Medicaid พอร์ทัลผู้ป่วยของโรงพยาบาล หรือเว็บไซต์สมาชิกประกันภัย ต่อไปนี้คือการกระทำเฉพาะที่ควรทำ:
ใช้ VPN บนเครือข่ายสาธารณะหรือที่ใช้ร่วมกัน ก่อนเข้าสู่ระบบพอร์ทัลที่เกี่ยวข้องกับสุขภาพใด ๆ บนเครือข่ายที่คุณควบคุมได้ไม่เต็มที่ ให้เปิดใช้งาน VPN กฎนี้ใช้กับ Wi‑Fi ร้านกาแฟ การเชื่อมต่อในห้องสมุด เครือข่ายโรงแรม และเครือข่ายใด ๆ ที่ผู้อื่นแบ่งปันการเข้าถึง
ใช้รหัสผ่านที่ไม่ซ้ำกันในทุกพอร์ทัลดูแลสุขภาพ โปรแกรมจัดการรหัสผ่านทำให้สิ่งนี้เป็นไปได้จริง การรั่วไหลของข้อมูลประจำตัวจากบริการหนึ่งไม่ควรให้ผู้โจมตีเข้าถึงบันทึกสุขภาพของคุณ
เปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัยทุกที่ที่มีให้บริการ แม้รหัสผ่านของคุณจะถูกบุกรุก รหัสผ่านชั่วคราวที่ส่งทางโทรศัพท์หรืออีเมลก็ยังเป็นอุปสรรคที่มีความหมายต่อการเข้าถึงโดยไม่ได้รับอนุญาต
หลีกเลี่ยงการเข้าถึงพอร์ทัลที่มีข้อมูลละเอียดอ่อนจากอุปกรณ์ที่ใช้ร่วมกัน หากจำเป็นต้องใช้คอมพิวเตอร์สาธารณะหรือในห้องสมุด ให้ล็อกเอาต์ให้สมบูรณ์ ล้างเซสชันเบราว์เซอร์ และหลีกเลี่ยงการบันทึกรหัสผ่านเมื่อมีการถาม
ตรวจสอบใบแจ้งสรุปสิทธิประโยชน์ (Explanation of Benefits: EOB) อย่างสม่ำเสมอ การละเมิดพอร์ทัล Medicaid มักนำไปสู่การเคลมเท็จในชื่อของผู้ป่วย การตรวจสอบประวัติการเคลมเป็นประจำสามารถเปิดเผยกิจกรรมที่ไม่ได้รับอนุญาตได้ตั้งแต่เนิ่น ๆ
รายงานกิจกรรมน่าสงสัยทันที หากคุณได้รับจดหมายที่คาดไม่ถึงเกี่ยวกับการเคลมที่คุณไม่ได้ยื่น หรือหากพอร์ทัลของคุณแสดงกิจกรรมการเข้าสู่ระบบจากตำแหน่งที่ไม่รู้จัก ให้ติดต่อผู้ดูแลโปรแกรม Medicaid และทีมสนับสนุนพอร์ทัลโดยไม่ชักช้า
สิ่งนี้มีความหมายต่อคุณอย่างไร
การละเมิด Hartford HUSKY ไม่ใช่เหตุการณ์ที่เกิดขึ้นโดดเดี่ยว พอร์ทัล Medicaid พอร์ทัลผู้ป่วยของโรงพยาบาล และแพลตฟอร์มสมาชิกประกันภัย ล้วนเป็นส่วนหนึ่งของกลุ่มจุดเชื่อมต่อด้านการดูแลสุขภาพที่เปิดสู่สาธารณะ ซึ่งผู้โจมตีคอยตรวจสอบอยู่ตลอดเวลา รูปแบบการขโมยข้อมูลประจำตัวไม่จำเป็นต้องใช้ทักษะการแฮกที่ซับซ้อนแต่อย่างใด มันอาศัยช่องว่างระหว่างความรอบคอบในการรักษาความปลอดภัยระบบภายในขององค์กรดูแลสุขภาพ กับความไม่ระมัดระวังที่ระบบเดียวกันนั้นถูกเข้าถึงจากภายนอก
ผู้ป่วยไม่ได้ไร้อำนาจในสมการนี้ การทำความเข้าใจว่าการเชื่อมต่อเครือข่ายของคุณเป็นส่วนหนึ่งของมาตรการรักษาความปลอดภัยของคุณ ไม่ใช่แค่หน้าล็อกอินของพอร์ทัล จะเปลี่ยนมาตรการป้องกันที่คุณสามารถใช้ได้ ความเสี่ยงนั้นมีจริงและกำลังขยายวงกว้าง ดังที่ปรากฏในแนวโน้มที่มีการบันทึกไว้ใน การโจมตีอุปกรณ์ปลายทางระยะไกลที่ผลักดันให้เกิดการบุกรุกข้อมูลประจำตัวในอุตสาหกรรมต่าง ๆ วันนี้ใช้เวลาสักครู่เพื่อทบทวนว่าคุณเข้าถึงบัญชีสุขภาพของคุณอย่างไรและจากที่ไหน และทำให้การเชื่อมต่อแบบเข้ารหัสเป็นนิสัยมาตรฐาน ไม่ใช่ความคิดที่เพิ่งนึกทีหลัง
