การละเมิดข้อมูล 1.8 ล้านรายการของ NYC Health อยู่ในเหตุการณ์ใหม่ที่ HHS บันทึกไว้
ระบบติดตามการละเมิดข้อมูลของกระทรวงสาธารณสุขและบริการมนุษย์แห่งสหรัฐอเมริกาได้เพิ่มการละเมิดข้อมูลด้านสุขภาพที่สำคัญหลายรายการลงในบันทึกสาธารณะ โดยรายการที่ใหญ่ที่สุดส่งผลกระทบต่อบุคคล 1.8 ล้านคนที่เชื่อมโยงกับองค์กร New York City Health and Hospitals Corporation เหตุการณ์แยกต่างหากที่ Erie Family Health Centers ได้เปิดเผยข้อมูลส่วนตัว ข้อมูลทางการแพทย์ และข้อมูลทางการเงินของผู้คนเพิ่มเติมอีก 570,000 คน เหตุการณ์เหล่านี้รวมกันเน้นย้ำถึงความเสี่ยงด้านความเป็นส่วนตัวจากการละเมิดข้อมูลด้านสุขภาพที่ยังคงมีอยู่และเพิ่มมากขึ้น ซึ่งชาวอเมริกันหลายล้านคนต้องเผชิญทุกครั้งที่ติดต่อกับผู้ให้บริการทางการแพทย์
สิ่งที่ระบบติดตามการละเมิดข้อมูลของ HHS เปิดเผยเกี่ยวกับเหตุการณ์เหล่านี้
พอร์ทัลการละเมิดข้อมูลของ HHS ซึ่งดูแลภายใต้กฎการแจ้งเตือนการละเมิดของ HIPAA ทำหน้าที่เป็นบัญชีสาธารณะของเหตุการณ์ข้อมูลด้านสุขภาพที่สำคัญซึ่งส่งผลกระทบต่อบุคคล 500 คนขึ้นไป เมื่อมีรายการใหม่ปรากฏขึ้น แสดงว่าองค์กรที่ได้รับผลกระทบได้ปฏิบัติตามภาระผูกพันในการรายงานที่บังคับใช้เสร็จสิ้นแล้ว ซึ่งบางครั้งอาจเกิดขึ้นหลายเดือนหลังจากที่การละเมิดเกิดขึ้นจริง
รายการของ NYC Health and Hospitals Corporation น่าสังเกตด้วยเหตุผลสองประการ ได้แก่ ขนาดอันมหาศาลและที่มาของมัน การละเมิดนี้ไม่ได้เกิดจากการโจมตีโดยตรงต่อระบบของโรงพยาบาล แต่เกิดจากการโจมตีที่เกี่ยวข้องกับผู้ให้บริการภายนอก Erie Family Health Centers ซึ่งเป็นศูนย์สุขภาพที่มีคุณสมบัติระดับสหพันธรัฐที่ให้บริการชุมชนที่มีรายได้น้อยในรัฐอิลลินอยส์ รายงานว่าการละเมิดของพวกเขาเปิดเผยข้อมูลประเภทที่มีความละเอียดอ่อนสูงในลักษณะผสมผสาน ได้แก่ ข้อมูลระบุตัวตน ข้อมูลทางการแพทย์ และรายละเอียดทางการเงิน การผสมผสานสามประการนี้ทำให้เหยื่อมีความเสี่ยงสูงเป็นพิเศษต่อการฉ้อโกงหลายรูปแบบในเวลาเดียวกัน
เหตุใดข้อมูลทางการแพทย์จึงอันตรายกว่าข้อมูลที่ถูกขโมยส่วนใหญ่
หมายเลขบัตรเครดิตที่ถูกขโมยนั้นน่าหงุดหงิด แต่สามารถยกเลิกได้ภายในไม่กี่นาที แต่เวชระเบียนที่ถูกขโมยเป็นเรื่องที่แตกต่างออกไปโดยสิ้นเชิง ข้อมูลด้านสุขภาพประกอบด้วยข้อมูลที่ไม่สามารถเปลี่ยนแปลงได้ ได้แก่ วันเกิด หมายเลขประกันสังคม หมายเลขกรมธรรม์ประกันสุขภาพ ประวัติการวินิจฉัยโรค และบันทึกการสั่งยา ในตลาดมืด โปรไฟล์ทางการแพทย์ที่สมบูรณ์มักมีราคาสูงกว่าข้อมูลรับรองทางการเงินมาตรฐานมาก
อันตรายทวีคูณขึ้นเพราะการโจรกรรมข้อมูลประจำตัวทางการแพทย์มักไม่ถูกตรวจพบเป็นเวลาหลายเดือนหรือหลายปี มิจฉาชีพที่ใช้ข้อมูลประกันสุขภาพที่ถูกขโมยเพื่อรับยาหรือยื่นเคลมค่าสินไหมทดแทนปลอมมักไม่ทิ้งร่องรอยทันทีในบัญชีธนาคารของเหยื่อ เมื่อถึงเวลาที่การฉ้อโกงถูกเปิดเผยผ่านการเคลมประกันที่ถูกปฏิเสธหรือค่ารักษาพยาบาลที่ไม่คาดคิด ความเสียหายก็กว้างขวางและยากที่จะแก้ไขแล้ว
ข้อมูลทางการแพทย์ยังสร้างโอกาสสำหรับการโจมตีแบบฟิชชิงที่มุ่งเป้าหมาย ผู้โจมตีที่รู้ชื่อแพทย์ของคุณ การวินิจฉัยล่าสุด และผู้ให้บริการประกันสุขภาพของคุณสามารถสร้างการสื่อสารที่น่าเชื่อถือซึ่งหลีกเลี่ยงความระมัดระวังที่คนส่วนใหญ่มีต่ออีเมลหลอกลวงทั่วไปได้
ผู้ให้บริการภายนอกกลายเป็นจุดอ่อนที่สุดในความเป็นส่วนตัวของผู้ป่วยได้อย่างไร
การละเมิดข้อมูลของ NYC Health สอดคล้องกับรูปแบบที่ครอบงำเหตุการณ์ด้านความปลอดภัยในระบบสุขภาพมาหลายปี โรงพยาบาลและระบบสุขภาพพึ่งพาระบบนิเวศที่ซับซ้อนของผู้ให้บริการซอฟต์แวร์ ผู้ประมวลผลการเรียกเก็บเงิน แพลตฟอร์มการแพทย์ทางไกล เครื่องมือนัดหมาย และบริษัทวิเคราะห์ข้อมูล บุคคลภายนอกเหล่านี้ทุกรายได้รับการเข้าถึงข้อมูลผู้ป่วยเพื่อปฏิบัติหน้าที่ตามสัญญา และแต่ละรายก็เป็นพื้นที่โจมตีเพิ่มเติมที่องค์กรด้านสุขภาพเองไม่สามารถควบคุมได้อย่างสมบูรณ์
กรอบกฎระเบียบกำหนดให้หน่วยงานที่ครอบคลุมต้องลงนามในข้อตกลงคู่ค้าทางธุรกิจกับผู้ให้บริการ เพื่อกำหนดภาระผูกพันในการปกป้องข้อมูล อย่างไรก็ตาม ข้อตกลงเหล่านั้นไม่ได้แปลงเป็นมาตรฐานความปลอดภัยที่เทียบเท่ากันโดยอัตโนมัติ ศูนย์การแพทย์วิชาการขนาดใหญ่อาจมีโปรแกรมความปลอดภัยที่เป็นผู้ใหญ่ ในขณะที่ผู้ให้บริการซอฟต์แวร์จัดตารางนัดหมายที่ใช้งานอยู่ดำเนินการด้วยการตรวจสอบที่น้อยกว่ามาก
พลวัตนี้ไม่ได้เป็นเอกลักษณ์เฉพาะของระบบสุขภาพ ช่องโหว่ระดับเซิร์ฟเวอร์ในทุกอุตสาหกรรมมักเปิดเผยข้อมูลที่ผู้ให้บริการถือครองแทนที่จะเป็นองค์กรหลักที่ผู้ป่วยหรือลูกค้าไว้วางใจ การเข้าใจว่าข้อมูลของคุณเดินทางไปไกลกว่าผนังของห้องพบแพทย์เป็นส่วนสำคัญในการจัดการความเสี่ยงด้านความเป็นส่วนตัวของคุณเอง คุณสามารถอ่านเพิ่มเติมเกี่ยวกับวิธีที่ช่องโหว่ระดับโครงสร้างพื้นฐานส่งผลกระทบต่อข้อมูลในวงกว้างได้ในบทความเกี่ยวกับ ช่องโหว่การหลีกเลี่ยงการพิสูจน์ตัวตนของ cPanel ที่ส่งผลกระทบต่อเซิร์ฟเวอร์หลายหมื่นเครื่อง ซึ่งแสดงให้เห็นว่าช่องโหว่เพียงจุดเดียวในซอฟต์แวร์ที่ใช้ร่วมกันอย่างแพร่หลายสามารถส่งผลกระทบเป็นลูกโซ่ต่อองค์กรหลายพันแห่งพร้อมกันได้อย่างไร
ขั้นตอนการปกป้องความเป็นส่วนตัวเชิงปฏิบัติสำหรับผู้ป่วยที่ใช้บริการผู้ให้บริการออนไลน์
แม้ว่าผู้ป่วยแต่ละรายจะไม่สามารถตรวจสอบความสัมพันธ์กับผู้ให้บริการภายนอกของผู้ให้บริการสุขภาพได้ แต่มีขั้นตอนที่เป็นรูปธรรมที่ช่วยลดความเสี่ยงและเพิ่มความสามารถในการตรวจจับการฉ้อโกงได้ตั้งแต่เนิ่นๆ
ประการแรก ขอสำเนาเวชระเบียนของคุณเป็นระยะ การตรวจสอบช่วยให้คุณสังเกตเห็นขั้นตอน ยา หรือชื่อผู้ให้บริการที่ไม่คุ้นเคย ซึ่งอาจบ่งชี้ว่ามีผู้ใช้ข้อมูลประจำตัวของคุณเพื่อรับการรักษา ภายใต้ HIPAA คุณมีสิทธิ์เข้าถึงเวชระเบียนของคุณ และผู้ให้บริการส่วนใหญ่ต้องดำเนินการตามคำขอภายใน 30 วัน
ประการที่สอง ติดต่อบริษัทประกันสุขภาพของคุณและขอสรุปใบแสดงผลประโยชน์สำหรับปีที่ผ่านมา การเคลมใดๆ ที่คุณไม่รู้จักควรได้รับการติดตามทันที บริษัทประกันหลายแห่งในปัจจุบันเสนอการแจ้งเตือนการตรวจสอบฟรีสำหรับกิจกรรมการเคลมที่ผิดปกติ
ประการที่สาม พิจารณาการตรึงเครดิตกับสำนักงานสินเชื่อหลักทั้งสามแห่ง การโจรกรรมข้อมูลประจำตัวทางการแพทย์มักนำไปสู่บัญชีหนี้สูญและวงเงินเครดิตปลอม และการตรึงจะป้องกันไม่ให้มีการเปิดบัญชีใหม่ในชื่อของคุณโดยไม่ได้รับการอนุมัติจากคุณอย่างชัดแจ้ง
ประการที่สี่ ใช้รหัสผ่านที่ไม่ซ้ำกันและแข็งแกร่งสำหรับบัญชีพอร์ทัลผู้ป่วยใดๆ เช่น บัญชีที่ใช้ดูผลการตรวจหรือนัดหมาย พอร์ทัลเหล่านี้เก็บข้อมูลที่มีความละเอียดอ่อนสูง แต่มักได้รับการป้องกันด้วยข้อมูลรับรองที่อ่อนแอที่ผู้ป่วยใช้ซ้ำในบริการอื่นๆ การใช้ที่อยู่อีเมลเฉพาะสำหรับบัญชีด้านสุขภาพยังช่วยจำกัดความเสียหายหากบัญชีอื่นของคุณถูกโจมตี
สุดท้าย ติดตามสภาพแวดล้อมด้านกฎระเบียบและกฎหมายในวงกว้างที่กำหนดวิธีการจัดการข้อมูลของคุณ กฎหมายระดับรัฐล่าสุดที่มุ่งเป้าไปที่ความเป็นส่วนตัวดิจิทัล เช่น กฎหมาย SB 73 ของรัฐยูทาห์เกี่ยวกับการยืนยันอายุ สะท้อนให้เห็นถึงความตระหนักที่เพิ่มขึ้นในหมู่ผู้บัญญัติกฎหมายว่าการไหลเวียนของข้อมูลออนไลน์ต้องการมาตรการป้องกันที่แข็งแกร่งกว่าเดิม การติดตามวิวัฒนาการของนโยบายเหล่านี้ช่วยให้คุณเข้าใจว่ามีการคุ้มครองใดบ้างสำหรับข้อมูลของคุณ และอะไรที่ยังไม่มี
สิ่งนี้หมายความว่าอะไรสำหรับคุณ
การเพิ่มการละเมิดเหล่านี้ลงในระบบติดตามของ HHS เป็นการเตือนใจว่าความเสี่ยงด้านความเป็นส่วนตัวจากการละเมิดข้อมูลด้านสุขภาพไม่ใช่เรื่องสมมติ บุคคลหลายล้านคนมีข้อมูลละเอียดอ่อนถูกเปิดเผยในเพียงสองเหตุการณ์นี้เท่านั้น และระบบติดตามบันทึกเหตุการณ์หลายร้อยรายการต่อปี
เครื่องมือที่มีประสิทธิภาพที่สุดของคุณคือการตรวจสอบ การตรวจจับแต่เนิ่นๆ และการจำกัดการแชร์ข้อมูลที่ไม่จำเป็นทุกที่ที่ทำได้ ถามผู้ให้บริการของคุณว่าผู้ให้บริการภายนอกรายใดได้รับข้อมูลของคุณและเพื่อวัตถุประสงค์ใด ตรวจสอบเวชระเบียนและใบแสดงรายการประกันสุขภาพของคุณเป็นประจำ และดูแลข้อมูลรับรองพอร์ทัลผู้ป่วยของคุณด้วยความจริงจังเช่นเดียวกับที่คุณดูแลบัญชีทางการเงิน ขั้นตอนเหล่านี้ไม่สามารถป้องกันไม่ให้ผู้ให้บริการถูกโจมตีได้ แต่ช่วยเพิ่มโอกาสในการตรวจจับการฉ้อโกงก่อนที่จะก่อให้เกิดความเสียหายถาวรได้อย่างมีนัยสำคัญ
