ViaQuest Psikiyatrik Veri İhlali 6.420 Hastanın PII ve PHI Bilgilerini Açığa Çıkardı

ViaQuest Psikiyatrik Veri İhlali 6.420 Hastanın PII ve PHI Bilgilerini Açığa Çıkardı

ViaQuest Psychiatric & Behavioral Solutions, en az 6.420 mevcut ve eski hasta ile personelin etkilendiği bir veri ihlalini açıkladı. Olay, hem kişisel olarak tanımlanabilir bilgileri (PII) hem de korunan sağlık bilgilerini (PHI) açığa çıkararak binlerce kişiyi kimlik hırsızlığı, ayrımcılık ve mali dolandırıcılık riskleriyle karşı karşıya bıraktı. Davranışsal sağlık hizmeti almış herkes için bu ihlal, sağlık verisi ihlaline karşı gizlilik korumasının artık isteğe bağlı olmadığını hatırlatan çarpıcı bir uyarıdır.

ViaQuest İhlalinde Neler Açığa Çıktı ve Kimler Etkilendi

ViaQuest Psychiatric & Behavioral Solutions'da doğrulanan ihlal, iki kategoride tehlikeye giren veriyi kapsıyor: genellikle isimler, adresler, doğum tarihleri ve Sosyal Güvenlik numaralarını içeren PII ile teşhisler, tedavi kayıtları, ilaçlar ve randevu geçmişini kapsayan PHI. Her iki türün tek bir ihlalde bir araya gelmesi özellikle tehlikelidir.

Etkilenen kişiler arasında hem mevcut hem de eski hastaların yanı sıra personel üyeleri de bulunuyor; bu da maruziyetin yalnızca aktif olarak bakım alanlarla sınırlı olmadığı anlamına geliyor. Yıllar önce tedavi görmüş eski hastaların kayıtları hâlâ risk altında olabilir. Personel üyeleri ise kimlik bilgisi hırsızlığı veya istihdam detaylarını kullanan hedefli kimlik avı saldırıları gibi kendi riskleriyle karşı karşıyadır.

Bu olay, sağlık sektörü genelinde görülen bir örüntüyü takip ediyor. 716.000 hastanın tıbbi verilerini açığa çıkaran OpenLoop Health ihlali, tele-sağlık ve davranışsal sağlık platformlarının, hassas kayıtları paraya çevirmek isteyen siber suçlular için nasıl başlıca hedefler haline geldiğinin yüksek profilli bir örneğidir.

Psikiyatrik ve Davranışsal Sağlık Kayıtları Neden Özellikle Hassastır

Tüm sağlık kayıtları aynı ağırlığı taşımaz. Psikiyatrik ve davranışsal sağlık verileri, çeşitli nedenlerle benzersiz derecede yüksek riskli bir kategoride yer alır.

Birincisi, bu tür bilgiler son derece kişiseldir. Ruh sağlığı durumları, madde kullanım tedavisi veya psikiyatrik teşhislerle ilgili kayıtlar, açığa çıktığı takdirde istihdam olanaklarını, çocuk velayeti kararlarını, sigorta uygunluğunu ve kişisel ilişkileri etkileyebilir. Çalınan bir kredi kartı numarasının aksine, psikiyatrik geçmişinizi iptal edemezsiniz.

İkincisi, davranışsal sağlık kayıtları genellikle standart HIPAA kurallarının ötesinde ek yasal korumalar taşır. Birçok eyalette, madde kullanım bozukluğu kayıtları, ifşa için daha sıkı onay gerektiren federal bir düzenleme olan 42 CFR Kısım 2 kapsamına girer. Bu kayıtlar ihlal edildiğinde, yasal ve kişisel sonuçlar tipik bir sağlık verisi ifşasından çok daha karmaşık olabilir.

Üçüncüsü, kötü niyetli aktörler bu verilerin sağladığı kozu bilir. Psikiyatrik kayıtlar, zaten zorlu kişisel koşullarla başa çıkmaya çalışan hassas durumdaki bireyleri istismar etmek için tasarlanmış hedefli şantaj, sigorta dolandırıcılığı ve sosyal mühendislik saldırıları için kullanılabilir.

Korumasız Sağlık Portalı Erişimi Hastaları Nasıl Riske Atar

Kayıtlara erişmek, randevu almak ve sağlayıcılarla iletişim kurmak için kullanılan hasta odaklı web siteleri ve uygulamalar olan sağlık portalları hızla yaygınlaştı. Kolaylık çoğu zaman güvenliğin önüne geçti. Hastalar bu portallara kafelerde, kütüphanelerde veya havalimanlarında güvenli olmayan halka açık Wi-Fi ağları üzerinden eriştiğinde, oturum verilerini, giriş kimlik bilgilerini ve tarama davranışlarını olası müdahaleye maruz bırakırlar.

İşte bu noktada şifreleme ve sanal özel ağlar (VPN) doğrudan önem kazanır. Bir VPN, cihazınız ile internet arasındaki bağlantıyı şifreleyerek üçüncü bir tarafın aktarım halindeki verileri ele geçirmesini önemli ölçüde zorlaştırır. Bir VPN, sağlık kuruluşunun kendi sunucularındaki bir ihlali engelleyemese de, özellikle paylaşımlı veya güvenli olmayan bağlantılarda kimlik bilgilerinizin ve oturum etkinliğinizin ağ düzeyinde toplanmasını engeller.

VPN kullanımının ötesinde, hastalar kullandıkları her portalda HTTPS şifrelemesine dikkat etmeli, sunulan her yerde çok faktörlü kimlik doğrulamayı etkinleştirmeli ve sağlık platformları ile diğer hesaplar arasında şifreleri tekrar kullanmaktan kaçınmalıdır. Saldırganların bir ihlalden sızan kullanıcı adı ve şifre çiftlerini diğer hizmetlere erişmek için kullandığı kimlik bilgisi doldurma, tek bir olayın birden fazla ihlale dönüşmesinin en yaygın yollarından biridir. 130.000 kişiyi etkileyen Beacon Mutual fidye yazılımı ihlali gibi olaylar, tehlikeye giren kimlik bilgilerinin bir organizasyon genelinde ne kadar hızlı yayılabileceğini göstermektedir.

Hastaların ve Personelin Sağlık Verilerini Korumak İçin Şimdi Atabileceği Adımlar

ViaQuest ihlalinden etkilenmiş olabileceğinizi düşünüyorsanız veya genel sağlık verisi ihlal gizlilik koruması duruşunuzu güçlendirmek istiyorsanız, aşağıdaki adımları derhal atmaya değer.

İhlal bildirimlerini dikkatlice inceleyin. ViaQuest'in, HIPAA'nın İhlal Bildirim Kuralı uyarınca etkilenen bireyleri yazılı olarak bilgilendirmesi gerekmektedir. Tam olarak hangi verilerin dahil olduğunu anlamak için bu bildirimleri iyice okuyun.

Kredi dondurma işlemi başlatın. Bu ihlalin bir parçası olarak PII açığa çıktığı için, üç büyük kredi bürosunda kredinizi dondurun. Bu, sizin açık yetkiniz olmadan adınıza yeni kredi hatları açılmasını engeller.

Sağlık sigortası hesabınızı izleyin. Tanımadığınız taleplere dikkat edin; bunlar tıbbi kimlik hırsızlığına işaret edebilir. Tanıdık gelmeyen bir şey görürseniz derhal sigortacınızla iletişime geçin.

Sağlık portallarına erişirken VPN kullanın. Bağlantınızı şifrelemek, özellikle sağlık hesaplarınızı yönetmek için sık sık halka açık veya paylaşımlı ağlar kullanıyorsanız, temel bir önlemdir.

Şifreleri güncelleyin ve çok faktörlü kimlik doğrulamayı etkinleştirin. ViaQuest ile ilgili hizmetlerle kimlik bilgilerini paylaşan tüm hesaplarda şifreleri değiştirin ve mümkün olan her yerde MFA'yı etkinleştirin.

Kayıtlarınızın bir kopyasını talep edin. HIPAA kapsamında, sağlık kayıtlarınıza erişme hakkına sahipsiniz. Bunları incelemek, yetkisiz değişiklikleri veya ifşaları tespit etmenize yardımcı olabilir.

Bu Sizin İçin Ne Anlama Geliyor

ViaQuest ihlali, yüz binlerce kişiyi etkileyen olaylarla karşılaştırıldığında küçük görünebilir, ancak psikiyatrik ve davranışsal sağlık verilerinin hassasiyeti, etkilenen birey başına kişisel etkinin orantısız derecede yüksek olabileceği anlamına gelir. Sağlık kuruluşları hayatlarımızla ilgili en mahrem bilgilerin bazılarını elinde tutar ve bu sektördeki ihlaller nadiren tek bir zarar noktasıyla sınırlı kalır.

Sağlık hizmeti sağlayıcıları hizmetleri çevrimiçi ortama taşımaya devam ederken, hastalar iletim sırasında kendilerini korumak için daha fazla sorumluluk taşır. Hasta portallarına erişirken VPN kullanmak, güçlü ve benzersiz kimlik bilgileri seçmek ve sağlık bilgilerinizi yem olarak kullanan kimlik avı girişimlerine karşı tetikte olmak, herhangi bir kuruluşun kendi tarafında ne yaptığından veya yapmadığından bağımsız olarak maruziyetinizi azaltan pratik alışkanlıklardır.

Bu hafta kullandığınız her sağlık portalındaki güvenlik ayarlarını gözden geçirmek için birkaç dakika ayırın. Bu çaba, kimlik hırsızlığından veya en özel sağlık geçmişinizin ifşasından kurtulmanın maliyetiyle karşılaştırıldığında küçüktür.