การละเมิดข้อมูลของ iRhythm: แอปคลาวด์บุคคลที่สามเปิดโปงข้อมูลผู้ป่วย
การละเมิดข้อมูลทางการแพทย์ที่ iRhythm ซึ่งเป็นบริษัทเฝ้าติดตามการทำงานของหัวใจ ได้เปิดเผยข้อมูลสุขภาพผู้ป่วยหลังจากผู้โจมตีเข้าถึงแอปพลิเคชันที่โฮสต์โดยบุคคลที่สามซึ่งอยู่นอกโครงสร้างพื้นฐานโดยตรงของบริษัท เหตุการณ์นี้เกิดขึ้นต่อเนื่องในเวลาไล่เลี่ยกับรายงานการละเมิดที่เกี่ยวข้องกับ Novo Nordisk และย้ำถึงรูปแบบที่ผู้เชี่ยวชาญด้านความปลอดภัยชี้ให้เห็นมาตลอดว่า ข้อมูลทางการแพทย์จะปลอดภัยเพียงเท่ากับจุดเชื่อมโยงของคู่ค้าที่อ่อนแอที่สุดเท่านั้น สำหรับทั้งผู้ป่วยและผู้ให้บริการ กรณีของ iRhythm คือเครื่องตอกย้ำที่คมคายว่า การละเมิดข้อมูลทางการแพทย์จากคลาวด์ของบุคคลที่สาม กำลังกลายเป็นหนึ่งในพื้นผิวการโจมตีที่ส่งผลกระทบมากที่สุดในวงการแพทย์
เกิดอะไรขึ้นในการละเมิดข้อมูลของ iRhythm
iRhythm เปิดเผยว่าแฮกเกอร์เข้าถึงแอปพลิเคชันที่โฮสต์โดยผู้ให้บริการบุคคลที่สาม ไม่ใช่ระบบภายในของ iRhythm เอง และสามารถดึงข้อมูลสุขภาพผู้ป่วยผ่านการเข้าถึงนั้นได้ บริษัทซึ่งผลิตอุปกรณ์เฝ้าติดตามการทำงานของหัวใจแบบสวมใส่ เช่น แผ่นแปะ Zio จัดการข้อมูลที่อ่อนไหวอย่างยิ่ง รวมถึงบันทึกสัญญาณทางสรีรวิทยาและข้อมูลสุขภาพที่ระบุตัวบุคคลได้ซึ่งเชื่อมโยงกับภาวะหัวใจ
แม้ว่ารายละเอียดเฉพาะเกี่ยวกับปริมาณของบันทึกที่ได้รับผลกระทบและวิธีการที่แน่ชัดจะยังไม่ได้รับการเผยแพร่อย่างครบถ้วน แต่กลไกสำคัญนั้นน่าสนใจ: ผู้โจมตีไม่จำเป็นต้องเจาะทะลุขอบเขตของ iRhythm เอง พวกเขาเข้าถึงผ่านคู่ค้า ความแตกต่างนี้มีความสำคัญอย่างมากต่อวิธีที่บริษัทและผู้ป่วยควรคิดถึงความเสี่ยง
เหตุใดการโฮสต์คลาวด์โดยบุคคลที่สามจึงสร้างจุดบอดที่ VPN ไม่สามารถปิดช่องว่างได้
หลายองค์กร รวมถึงผู้ให้บริการทางการแพทย์ ติดตั้ง VPN เพื่อเข้ารหัสทราฟฟิกและจำกัดการเข้าถึงระบบภายใน VPN เป็นเครื่องมือที่ถูกต้องและมีประโยชน์สำหรับการปกป้องข้อมูลระหว่างทางภายในเครือข่ายที่องค์กรควบคุม แต่เมื่อข้อมูลผู้ป่วยอยู่ในแอปพลิเคชันที่โฮสต์โดยผู้ให้บริการภายนอกบนโครงสร้างพื้นฐานคลาวด์ที่แยกต่างหาก VPN ที่ปกป้องเครือข่ายของ iRhythm เองก็ไม่ได้ช่วยอะไรในการรักษาความปลอดภัยของสภาพแวดล้อมนั้น
แอปพลิเคชันที่โฮสต์โดยบุคคลที่สามดำเนินงานภายใต้มาตรฐานความปลอดภัย การควบคุมการเข้าถึง ตารางเวลาแพตช์ และความสามารถในการตรวจจับเหตุการณ์ของผู้ให้บริการ องค์กรทางการแพทย์มักมีมุมมองตามสัญญาที่จำกัดว่าผู้ให้บริการเหล่านั้นจัดการความปลอดภัยในแต่ละวันอย่างไร นี่ไม่ใช่ปัญหาแทรกซ้อนเล็กน้อย มันสะท้อนสิ่งที่เกิดขึ้นใน การโจมตีด้วยแรนซัมแวร์ต่อ Cropwise ซึ่งแพลตฟอร์มผู้ให้บริการที่ตกเป็นเป้าหมายกลายเป็นจุดเข้าสำหรับผู้โจมตีที่มองหาข้อมูลมีค่าที่เก็บอยู่นอกขอบเขตที่ถูกล็อคแน่นหนาขององค์กรหลัก
จุดบอดนี้เป็นเรื่องโครงสร้าง เมื่อข้อมูลถูกย้ายไปยังสภาพแวดล้อมของบุคคลที่สาม ความรับผิดชอบด้านความปลอดภัยจะกระจัดกระจาย และการละเมิดที่ผู้ให้บริการก็กลายเป็นการละเมิดสำหรับทุกองค์กรที่มีข้อมูลอยู่ที่นั่น
รูปแบบที่กำลังเติบโตของการโจมตีโครงสร้างพื้นฐานของผู้ให้บริการทางการแพทย์
การละเมิดของ iRhythm ไม่ได้เกิดขึ้นโดดเดี่ยว องค์กรทางการแพทย์ถูกโจมตีซ้ำแล้วซ้ำเล่าผ่านการพึ่งพาผู้ให้บริการในช่วงหลายปีที่ผ่านมา เหตุการณ์ Change Healthcare ได้เปิดเผยบันทึกของคนประมาณ 100 ล้านคนหลังจากผู้โจมตีบุกรุกผู้ให้บริการโครงสร้างพื้นฐานด้านการชำระเงินและใบสั่งยาที่สำคัญ แพลตฟอร์มเทเลเฮลธ์ บริษัทเรียกเก็บบิล ผู้ให้บริการ EHR และคลังข้อมูลอุปกรณ์การแพทย์ ต่างกลายเป็นเป้าหมายชั้นดีเพราะพวกเขารวบรวมบันทึกจากลูกค้าทางการแพทย์จำนวนมากในคราวเดียว
สำหรับผู้โจมตี แรงจูงใจทางเศรษฐศาสตร์นั้นตรงไปตรงมา การละเมิดแพลตฟอร์มคลาวด์ของบุคคลที่สามเพียงแห่งเดียวที่ให้บริการองค์กรทางการแพทย์ยี่สิบแห่งได้ผลลัพธ์เป็นข้อมูลมากกว่าถึงยี่สิบเท่าด้วยความพยายามในระดับเดียวกัน ข้อมูลทางการแพทย์มีราคาสูงในตลาดใต้ดินเพราะมันประกอบด้วยประวัติการรักษา รายละเอียดประกันภัย วันเดือนปีเกิด และหมายเลขประกันสังคมรวมอยู่ด้วยกัน ทำให้มันมีประโยชน์ต่อการฉ้อโกงและการขโมยตัวตนมากกว่าข้อมูลทางการเงินเพียงอย่างเดียว
จังหวะเวลาที่ iRhythm เปิดเผยข้อมูลเพียงไม่นานหลังจากเหตุการณ์ของ Novo Nordisk แนะนำว่าอาจเป็นการโจมตีที่ประสานงานกันโดยมุ่งเป้าไปที่ภาคการแพทย์ หรือสมเหตุสมผลกว่านั้นคือ ผู้โจมตีกำลังสืบเสาะระบบนิเวศของผู้ให้บริการที่บริษัททางการแพทย์ใช้ร่วมกันอย่างเป็นระบบ
การควบคุมความเป็นส่วนตัวที่ผู้ป่วยและผู้บริโภคการแพทย์ควรเรียกร้องในตอนนี้
ผู้ป่วยมีอำนาจควบคุมโดยตรงอย่างจำกัดว่าบริษัททางการแพทย์จัดการความสัมพันธ์กับผู้ให้บริการของตนอย่างไร แต่พวกเขาก็ยังมีทางออกหรืออำนาจต่อรองอยู่บ้าง
ถามถึงที่ตั้งของข้อมูล เมื่อเข้าร่วมโปรแกรมเฝ้าติดตามระยะไกล บริการเทเลเฮลธ์ หรือแพลตฟอร์มสุขภาพดิจิทัลใด ๆ ผู้ป่วยสามารถถามได้โดยตรงว่า: ข้อมูลของฉันถูกเก็บไว้ที่ไหน และใครบ้างที่เข้าถึงได้? ผู้ให้บริการควรสามารถตอบได้อย่างชัดเจน คำตอบที่คลุมเครือเป็นสัญญาณที่ควรจดจำ
ตรวจสอบการเปิดเผยการอนุญาตตาม HIPAA อย่างละเอียด ผู้ป่วยจำนวนมากเซ็นเอกสารอนุญาตกว้าง ๆ โดยไม่ได้อ่านว่าบุคคลที่สามรายใดบ้างที่อาจได้รับข้อมูลของตน เอกสารเหล่านี้ระบุถึงความสัมพันธ์กับผู้ให้บริการและสิทธิ์ในการแบ่งปันข้อมูล การอ่านต้องใช้เวลาแต่จะสร้างความตระหนักถึงพื้นผิวของการเปิดเผยข้อมูล
เฝ้าติดตามประกาศแจ้งเตือนการละเมิด ภายใต้ HIPAA หน่วยงานที่ครอบคลุมจะต้องแจ้งให้บุคคลที่ได้รับผลกระทบทราบถึงการละเมิดที่มีผลต่อข้อมูลสุขภาพที่ได้รับการคุ้มครอง ผู้ป่วยที่ได้รับประกาศเหล่านี้ควรให้ความสำคัญ ตรวจสอบว่าข้อมูลส่วนใดบ้างที่เกี่ยวข้อง และพิจารณาอายัดเครดิตหรือตั้งค่าการแจ้งเตือนการฉ้อโกงหากหมายเลขประกันสังคมหรือข้อมูลทางการเงินเป็นส่วนหนึ่งของบันทึกที่ถูกเปิดเผย
สำหรับองค์กรทางการแพทย์และทีมจัดซื้อ ข้อเรียกร้องที่ปฏิบัติได้คือการตรวจสอบความปลอดภัยของผู้ให้บริการที่มีผลบังคับใช้จริง โปรแกรมการจัดการความเสี่ยงจากบุคคลที่สามที่รวมข้อกำหนดด้านความปลอดภัยตามสัญญา การทดสอบเจาะระบบแอปพลิเคชันที่โฮสต์โดยผู้ให้บริการอย่างสม่ำเสมอ และระเบียบวิธีการตอบสนองต่อเหตุการณ์ที่บันทึกเป็นลายลักษณ์อักษร ควรเป็นความคาดหวังขั้นพื้นฐาน ไม่ใช่ส่วนเสริมนอกเหนือ
สิ่งนี้หมายความว่าอย่างไรสำหรับคุณ
การละเมิดของ iRhythm ตอกย้ำว่าความเป็นส่วนตัวของผู้ป่วยในสุขภาพดิจิทัลขึ้นอยู่กับสายโซ่ผู้ให้บริการทั้งหมด ไม่ใช่แค่องค์กรที่ชื่อปรากฏบนอุปกรณ์หรือแอป VPN รหัสผ่านที่แข็งแกร่ง หรือการยืนยันตัวตนสองชั้นบนพอร์ทัลผู้ป่วยของคุณจะไม่ปกป้องข้อมูลเมื่อมันถูกคัดลอกไปยังแอปคลาวด์ของบุคคลที่สามซึ่งบริษัททางการแพทย์เองไม่ได้รักษาความปลอดภัยโดยตรง
สำหรับผู้บริโภคการแพทย์ทั่วไป ขั้นตอนที่ใช้ได้จริงที่สุดในตอนนี้คือการตรวจสอบรอยเท้าสุขภาพดิจิทัลของคุณเอง จัดทำรายการแอป บริการเฝ้าติดตามระยะไกล และพอร์ทัลผู้ป่วยที่คุณใช้ และทบทวนนโยบายความเป็นส่วนตัวของพวกเขาสำหรับการอ้างอิงถึงหน่วยประมวลผลข้อมูลบุคคลที่สาม หากบริการไม่สามารถอธิบายได้อย่างชัดเจนว่าใครเก็บข้อมูลของคุณและได้รับการปกป้องอย่างไร นั่นคือข้อมูลที่มีค่าก่อนที่ประกาศแจ้งเตือนการละเมิดจะมาถึงกล่องจดหมายของคุณ
องค์กรทางการแพทย์ที่จริงจังกับการปิดช่องว่างเหล่านี้ต้องก้าวข้ามการป้องกันขอบเขตและปฏิบัติต่อความปลอดภัยของผู้ให้บริการเสมือนเป็นส่วนต่อขยายของตนเอง กรณีของ iRhythm ทำให้ชัดเจนว่าคำถามไม่ใช่แค่ไหนอีกต่อไปว่าข้อมูลทางการแพทย์ในสภาพแวดล้อมคลาวด์ของบุคคลที่สามจะถูกตั้งเป้าหรือไม่ แต่เป็นว่าองค์กรและหน่วยงานกำกับดูแลจะปิดช่องว่างความรับผิดชอบที่ทำให้การโจมตีเหล่านี้ประสบความสำเร็จอย่างน่าเชื่อถือได้เร็วเพียงใด
