การรั่วไหลของข้อมูล

การละเมิดข้อมูลของ NYC Health and Hospitals เปิดเผยลายนิ้วมือ 1.8 ล้านรายการ

19 พฤษภาคม 2569อ่าน 5 นาที

By เดวิด นากามูระ — พื้นฐานด้านเครื่องมือรักษาความปลอดภัยและการพัฒนา full-stack

การละเมิดข้อมูลของ NYC Health and Hospitals เปิดเผยลายนิ้วมือ 1.8 ล้านรายการ

การละเมิดข้อมูลของ NYC Health and Hospitals เปิดเผยลายนิ้วมือและเวชระเบียน 1.8 ล้านรายการ

New York City Health and Hospitals (NYCHH) ได้เปิดเผยการละเมิดข้อมูลของโรงพยาบาลรัฐครั้งใหญ่ที่สุดครั้งหนึ่งในประวัติศาสตร์ของเมือง การบุกรุกเครือข่ายที่ดำเนินมาหลายเดือน ซึ่งสืบย้อนไปยังผู้ให้บริการภายนอก ส่งผลให้ข้อมูลส่วนตัว ข้อมูลทางการแพทย์ และข้อมูลไบโอเมตริกซ์อันละเอียดอ่อนของบุคคลอย่างน้อย 1.8 ล้านคนถูกขโมยไป ในบรรดาข้อมูลที่ถูกขโมยนั้นมีลายนิ้วมือรวมอยู่ด้วย ซึ่งรายละเอียดนี้ทำให้เหตุการณ์นี้ไม่ใช่แค่การละเมิดความเป็นส่วนตัวที่ร้ายแรง แต่อาจกลายเป็นความเสียหายที่ย้อนกลับไม่ได้สำหรับผู้ที่ได้รับผลกระทบ

การละเมิดข้อมูลครั้งนี้เตือนให้เราตระหนักอย่างชัดเจนว่าเหตุใดความเป็นส่วนตัวด้านไบโอเมตริกซ์จากการละเมิดข้อมูลทางการแพทย์จึงสมควรได้รับความสนใจมากกว่าที่เคยได้รับ เวชระเบียนถือเป็นข้อมูลส่วนตัวที่ละเอียดอ่อนที่สุดประเภทหนึ่งอยู่แล้ว แต่การที่ลายนิ้วมือถูกรวมอยู่ด้วยยิ่งเพิ่มความเสี่ยงขึ้นไปอีกมาก

ข้อมูลอะไรถูกขโมยและแฮกเกอร์มีเวลาเข้าถึงนานแค่ไหน

จากการเปิดเผยข้อมูล ผู้โจมตีสามารถเข้าถึงเครือข่ายได้เป็นระยะเวลานานก่อนที่จะถูกตรวจพบ การบุกรุกในลักษณะนี้ที่บางครั้งเรียกว่าการละเมิดแบบ "dwell time" นั้นสร้างความเสียหายอย่างยิ่ง เพราะให้โอกาสผู้โจมตีในการทำแผนที่ระบบ ขโมยข้อมูลจำนวนมาก และลบร่องรอยของตนเอง

ข้อมูลที่ถูกขโมยรายงานว่าประกอบด้วยข้อมูลที่สามารถระบุตัวตนได้ (PII) ข้อมูลสุขภาพที่ได้รับการคุ้มครอง (PHI) และข้อมูลไบโอเมตริกซ์ ซึ่งหมวดหมู่สุดท้ายนี้คือสิ่งที่ทำให้เหตุการณ์นี้แตกต่างจากการละเมิดข้อมูลด้านสุขภาพหลายสิบครั้งที่รายงานในแต่ละปี ลายนิ้วมือไม่มีวันหมดอายุ และไม่สามารถรีเซ็ตได้ เมื่อข้อมูลลายนิ้วมือของคุณตกอยู่ในมือของผู้ประสงค์ร้าย การเปิดเผยนั้นจะคงอยู่ถาวร

เหตุใดข้อมูลไบโอเมตริกซ์อย่างลายนิ้วมือจึงเป็นอันตรายอย่างยิ่งเมื่อถูกเปิดเผย

ผู้ที่ตกเป็นเหยื่อการละเมิดข้อมูลส่วนใหญ่มักได้รับคำแนะนำให้เปลี่ยนรหัสผ่าน อายัดเครดิต หรือติดตามบัญชีการเงิน คำแนะนำเหล่านั้นมีคุณค่าจริง แต่ไม่มีข้อใดเลยที่ใช้ได้เมื่อข้อมูลที่ถูกขโมยคือลายนิ้วมือ

การยืนยันตัวตนด้วยไบโอเมตริกซ์ ทำงานได้อย่างแม่นยำเพราะลักษณะเฉพาะเหล่านี้มีความเป็นเอกลักษณ์และคงที่ ลายนิ้วมือ รูปทรงใบหน้า รูปแบบม่านตา และตัวระบุที่คล้ายกันถูกนำมาใช้มากขึ้นเรื่อย ๆ เพื่อปลดล็อกอุปกรณ์ อนุมัติการชำระเงิน ยืนยันตัวตนทางการแพทย์ และควบคุมการเข้าถึงสถานที่ที่มีความปลอดภัยสูง คุณสมบัติเดียวกับที่ทำให้สิ่งเหล่านี้มีประโยชน์ในฐานะตัวยืนยันตัวตน ก็ทำให้การถูกขโมยมีผลลัพธ์หายนะเช่นกัน คุณไม่สามารถออกลายนิ้วมือใหม่ให้ตัวเองได้เหมือนที่ธนาคารออกหมายเลขบัตรใหม่

หากเทมเพลตลายนิ้วมือที่ถูกขโมยถูกนำไปใช้หลอกระบบไบโอเมตริกซ์ เหยื่ออาจไม่มีวิธีที่เชื่อถือได้ในการตรวจจับหรือหยุดการเข้าถึงโดยไม่ได้รับอนุญาต นี่ไม่ใช่ความเสี่ยงในเชิงทฤษฎี เมื่อการยืนยันตัวตนด้วยไบโอเมตริกซ์เริ่มใช้งานกันอย่างแพร่หลายมากขึ้นในสถานพยาบาล มูลค่าของเทมเพลตไบโอเมตริกซ์ที่ถูกขโมยสำหรับผู้โจมตีที่มีความซับซ้อนก็เพิ่มขึ้นตามไปด้วย

ปัญหาผู้ให้บริการภายนอกในด้านความปลอดภัยของระบบสุขภาพ

สิ่งที่ทำให้การละเมิดนี้มีนัยสำคัญเชิงโครงสร้างคือต้นตอของมัน นั่นคือผู้ให้บริการภายนอก NYCHH เองไม่ได้ถูกเจาะระบบโดยตรงในแบบดั้งเดิม ผู้โจมตีบุกรุกผู้ให้บริการที่มีสิทธิ์เข้าถึงเครือข่ายของโรงพยาบาล และใช้จุดยึดนั้นเพื่อเข้าถึงข้อมูลผู้ป่วย

นี่เป็นรูปแบบการโจมตีที่พบมากขึ้นเรื่อย ๆ ในหลายอุตสาหกรรม แต่เด่นชัดเป็นพิเศษในวงการสุขภาพ โรงพยาบาลและระบบสาธารณสุขพึ่งพาเครือข่ายของผู้รับเหมาภายนอก ผู้ให้บริการซอฟต์แวร์ บริการเรียกเก็บเงิน และผู้จำหน่ายอุปกรณ์จำนวนมาก การเชื่อมต่อแต่ละจุดคือช่องทางการโจมตีที่อาจเกิดขึ้น ความปลอดภัยโดยรวมของระบบจึงแข็งแกร่งได้เพียงเท่ากับผู้ให้บริการที่อ่อนแอที่สุดเท่านั้น

ความท้าทายสำหรับสถาบันขนาดใหญ่อย่าง NYCHH คือพวกเขาไม่สามารถควบคุมแนวปฏิบัติด้านความปลอดภัยของทุกบุคคลที่สามที่ตนทำงานด้วยได้เสมอไป สิ่งที่พวกเขาควบคุมได้คือวิธีการคัดกรองผู้ให้บริการ สิทธิ์การเข้าถึงข้อมูลที่พวกเขามอบให้ และการเข้ารหัสข้อมูลสำคัญในแบบที่ทำให้ข้อมูลนั้นไร้ประโยชน์แม้จะถูกดักจับ ในกรณีนี้ การละเมิดดำเนินต่อเนื่องนานหลายเดือนโดยไม่ถูกตรวจพบ ซึ่งชี้ให้เห็นว่าการตรวจสอบกิจกรรมเครือข่ายของผู้ให้บริการภายนอกอาจยังไม่เข้มแข็งพอที่จะตรวจจับการบุกรุกได้ตั้งแต่เนิ่น ๆ

องค์กรด้านสุขภาพที่จัดการข้อมูลไบโอเมตริกซ์โดยเฉพาะควรดูแลข้อมูลเหล่านั้นด้วยการเข้ารหัสและการควบคุมการเข้าถึงในระดับสูงสุดที่มีอยู่ เนื่องจากการถูกละเมิดนั้นไม่มีทางแก้ไขได้

บุคคลจะปกป้องความเป็นส่วนตัวด้านการแพทย์และไบโอเมตริกซ์ได้อย่างไร

สำหรับผู้ที่ได้รับผลกระทบ 1.8 ล้านคนจากการละเมิดนี้ ขั้นตอนเบื้องต้นมีจำกัด แต่มีความสำคัญ หาก NYCHH ส่งจดหมายแจ้งการละเมิด ให้อ่านอย่างละเอียดเพื่อรับคำแนะนำเฉพาะเจาะจงว่าข้อมูลใดที่ถูกเกี่ยวข้อง และมีการเสนอบริการตรวจสอบเครดิตหรือการคุ้มครองตัวตนหรือไม่

ในวงกว้างกว่านั้น ทุกคนที่ใช้บริการระบบสุขภาพควรคิดถึงสุขอนามัยดิจิทัลของตนในแบบที่เกินขอบเขตของโรงพยาบาล เมื่อคุณใช้พอร์ทัลผู้ป่วย แอปสุขภาพ หรือบริการสุขภาพทางไกลบนเครือข่ายสาธารณะหรือที่ใช้ร่วมกัน กิจกรรมการเรียกดูและการล็อกอินที่เกี่ยวข้องกับสุขภาพของคุณอาจถูกเปิดเผยได้ การใช้ VPN ที่น่าเชื่อถือเมื่อเข้าถึงบัญชีการแพทย์ผ่าน Wi-Fi สาธารณะช่วยเพิ่มชั้นการเข้ารหัสที่มีความหมายให้กับการเชื่อมต่อของคุณ ลดความเสี่ยงในการถูกดักจับข้อมูลประจำตัว

การเข้าใจว่า การยืนยันตัวตนด้วยไบโอเมตริกซ์ ทำงานอย่างไร และเหตุใดการถูกขโมยจึงย้อนกลับไม่ได้ ยังเป็นบริบทที่มีประโยชน์สำหรับการประเมินว่าคุณไว้วางใจบริการใดกับตัวระบุเหล่านั้น เมื่อแพลตฟอร์มขอลายนิ้วมือหรือการสแกนใบหน้า ควรถามว่าข้อมูลนั้นถูกจัดเก็บอย่างไร ว่าถูกเก็บเป็นเทมเพลตดิบหรือถูกแปลงเป็นแฮชที่เข้ารหัส และประวัติการละเมิดของผู้ให้บริการเป็นอย่างไร

สิ่งนี้หมายความว่าอะไรสำหรับคุณ

หากคุณเคยรับการรักษาผ่าน New York City Health and Hospitals และยังไม่ได้รับการแจ้งเตือนการละเมิด ให้ติดตามจดหมายทางไปรษณีย์และอีเมลอย่างใกล้ชิด พิจารณาการอายัดเครดิตกับสำนักงานหลักเป็นมาตรการป้องกัน เนื่องจากการโจรกรรมข้อมูลทางการแพทย์มักเกี่ยวข้องกับการเรียกร้องประกันและการเรียกเก็บเงินที่ฉ้อโกงในชื่อของเหยื่อ

สำหรับทุกคน การละเมิดนี้เป็นสัญญาณให้ตรวจสอบข้อมูลไบโอเมตริกซ์ที่คุณแชร์กับผู้ให้บริการด้านสุขภาพและแอปต่าง ๆ ความสะดวกของการยืนยันตัวตนด้วยลายนิ้วมือนั้นมีอยู่จริง แต่ความถาวรของการเปิดเผยข้อมูลก็เช่นกัน การเลือกบริการที่ลดการเก็บข้อมูลไบโอเมตริกซ์ให้น้อยที่สุด และการดูแลให้กิจกรรมสุขภาพออนไลน์ของคุณได้รับการคุ้มครองด้วยเครื่องมือเข้ารหัสเมื่อใช้เครือข่ายที่ไม่น่าไว้วางใจ เป็นขั้นตอนปฏิบัติที่ทำได้ในตอนนี้เลย

ความเป็นส่วนตัวด้านไบโอเมตริกซ์จากการละเมิดข้อมูลทางการแพทย์ไม่ใช่ความกังวลด้านนโยบายเชิงนามธรรม สำหรับชาวนิวยอร์ก 1.8 ล้านคน มันกลายเป็นความเป็นจริงที่ดำเนินอยู่โดยไม่มีทางออกที่ชัดเจน การตอบสนองที่ดีที่สุดคือการติดตามข่าวสาร ปฏิบัติตามคำแนะนำอย่างเป็นทางการจาก NYCHH และสร้างนิสัยที่จำกัดการเปิดเผยข้อมูลในอนาคตให้มากที่สุดเท่าที่จะทำได้

// คำถามที่พบบ่อย

มีผู้ได้รับผลกระทบกี่คนจากการละเมิดข้อมูลของ NYC Health and Hospitals?

บุคคลอย่างน้อย 1.8 ล้านคนมีข้อมูลถูกขโมยในการละเมิดครั้งนี้ ทำให้เป็นหนึ่งในการละเมิดข้อมูลของโรงพยาบาลรัฐที่ใหญ่ที่สุดในประวัติศาสตร์ของนครนิวยอร์ก

ข้อมูลประเภทใดถูกขโมยในการละเมิดครั้งนี้?

ข้อมูลที่ถูกขโมยประกอบด้วยข้อมูลที่สามารถระบุตัวตนได้ (PII) ข้อมูลสุขภาพที่ได้รับการคุ้มครอง (PHI) และข้อมูลไบโอเมตริกซ์ โดยเฉพาะอย่างยิ่งลายนิ้วมือ

ผู้โจมตีเข้าถึงเครือข่ายของ NYC Health and Hospitals ได้อย่างไร?

การละเมิดนี้สืบย้อนไปยังผู้ให้บริการภายนอก หมายความว่า NYCHH เองไม่ได้ถูกเจาะระบบโดยตรงในแบบดั้งเดิม

เหตุใดการขโมยข้อมูลลายนิ้วมือจึงถือว่าร้ายแรงเป็นพิเศษ?

ลายนิ้วมือไม่สามารถรีเซ็ตหรือเปลี่ยนแปลงได้เหมือนรหัสผ่านหรือหมายเลขบัตร หมายความว่าเมื่อถูกขโมยแล้ว การเปิดเผยนั้นจะคงอยู่ถาวรและอาจย้อนกลับไม่ได้สำหรับเหยื่อ

ผู้โจมตีสามารถเข้าถึงเครือข่ายได้นานแค่ไหน?

ผู้โจมตีสามารถเข้าถึงได้เป็นระยะเวลานานก่อนที่จะถูกตรวจพบ ซึ่งเป็นประเภทของการบุกรุกที่เรียกว่าการละเมิดแบบ 'dwell time' ซึ่งทำให้พวกเขาสามารถขโมยข้อมูลจำนวนมากได้