Витік даних Humana розкриває медичні відомості у шести штатах

Витік даних Humana розкриває конфіденційні медичні записи у шести штатах

Страховий гігант у сфері охорони здоров'я Humana повідомив про витік даних, що торкнувся клієнтів у Техасі, Флориді, Джорджії, Північній Кароліні, Огайо та Вірджинії. Скомпрометована інформація належить до найбільш чутливих даних, які можуть бути розкриті: номери соціального страхування, записи медичних рахунків і страхових претензій, дати надання послуг та імена лікарів. Цей інцидент вже спричинив колективний позов, і наслідки, вірогідно, лише починаються.

Для постраждалих клієнтів це більше ніж незручність. Поєднання номерів соціального страхування та детальних медичних записів формує профіль, який можна використовувати для крадіжки особистих даних, медичного шахрайства та фінансових афер ще роками після первинного розкриття інформації.

Як стався витік

Згідно з оприлюдненими відомостями, витік стався не внаслідок прямої атаки на основні системи Humana. Натомість зловмисники отримали доступ до даних клієнтів через вразливість у програмному забезпеченні одного з постачальників. Це дедалі поширеніший вектор атак: замість прямого удару по великій, добре захищеній організації, зловмисники знаходять слабшу ланку в ланцюжку постачання.

У колективному позові, поданому у відповідь на витік, стверджується, що Humana не забезпечила належного шифрування або захисту персональних даних пацієнтів. Якщо це відповідає дійсності, означає, що дані були потенційно доступні у формі, яку зловмисники могли безпосередньо читати й використовувати, а не у зашифрованому вигляді, що унеможливив би їх застосування без ключа дешифрування.

Ця відмінність має принципове значення. Шифрування не є абсолютним захистом, але є вкрай важливим. Коли конфіденційні дані належним чином зашифровані, злам на рівні зберігання чи передачі не означає автоматично, що дані скомпрометовані. Коли шифрування відсутнє або є недостатнім, одна-єдина вразливість може розкрити мільйони записів у придатному для використання вигляді.

Які саме дані були розкриті

Обсяг скомпрометованої інформації заслуговує на ретельніший розгляд. Дані медичних рахунків і страхових претензій — це не просто запис про те, скільки людина заборгувала або сплатила. Вони містять відомості про діагнози, лікування та лікарів, які більшість людей вважає глибоко особистими. У поєднанні з номером соціального страхування ці дані можуть бути використані для:

• подання шахрайських податкових декларацій;
• відкриття нових кредитних ліній;
• подання фіктивних страхових претензій у сфері медицини;
• видавання себе за пацієнтів у медичних закладах.

Такий тип комбінованого розкриття даних у контексті крадіжки особистості іноді називають профілем «fullz», тобто зловмисник має достатньо інформації, щоб ефективно видавати себе за іншу людину в різних системах та установах.

Що це означає для вас

Якщо ви є клієнтом Humana, особливо в шести постраждалих штатах, першим кроком є перевірка того, чи отримали ви повідомлення про витік. Компанії, що зазнали витоку даних, як правило, зобов'язані повідомити постраждалих осіб, хоча терміни та повнота таких повідомлень можуть різнитися.

Не чекаючи офіційного зв'язку, варто вже зараз вжити конкретних заходів:

Заморозьте свій кредитний рейтинг. Звернення до трьох основних кредитних бюро (Equifax, Experian та TransUnion) із запитом на заморожування кредиту унеможливлює відкриття нових рахунків на ваше ім'я без вашої явної згоди. Ця послуга безкоштовна, є оборотною і вважається одним із найефективніших захисних заходів після витоку даних.

Відстежуйте свої медичні записи. Крадіжка медичної особистості може довго залишатися непоміченою. Регулярно переглядайте пояснення до виплат від свого страховика та час від часу запитуйте копію своїх медичних записів, щоб перевірити наявність незнайомих записів.

Будьте пильні щодо фішингових спроб. Зловмисники, які отримують персональні дані внаслідок витоків, часто вдаються до цілеспрямованих фішингових листів або телефонних дзвінків, використовуючи реальні деталі, щоб здаватися легітимними. Ставтеся скептично до небажаних звернень, що посилаються на вашу страховку або медичну історію.

Розгляньте послуги моніторингу особистості. Багато компаній пропонують моніторинг особистості, який сповіщає вас, коли ваші дані з'являються в нових кредитних запитах, базах даних брокерів даних або відомих сховищах витоків.

Загальна картина ризиків, пов'язаних із сторонніми постачальниками

Витік даних Humana нагадує: безпека ваших персональних даних визначається надійністю найслабшої системи, через яку вони проходять. Великі організації регулярно передають дані десяткам або навіть сотням постачальників, кожен із яких є потенційною точкою розкриття. Охорона здоров'я, страхування та фінансові установи обробляють одні з найчутливіших персональних даних, що існують, і регуляторні вимоги щодо цих даних, хоч і суттєві, очевидно, виявилися недостатніми для запобігання подібним інцидентам.

Як споживач, ви не можете контролювати те, як ваш страховик управляє відносинами зі своїми постачальниками. Те, що ви можете контролювати, — це швидкість реакції, коли щось іде не так, і кількість рівнів захисту, які ви створюєте навколо своїх рахунків та особистості.

Витік даних Humana — це серйозний інцидент, що потенційно торкнувся тисяч людей у шести штатах. Якщо ваші дані були розкриті, швидкі та методичні дії дають вам найкращий шанс обмежити шкоду. І незалежно від того, чи були ви безпосередньо постраждалим, цей випадок є корисним нагадуванням ставитися до своїх персональних даних як до ресурсу, що варто активно захищати, а не просто як до чогось, що пасивно знаходиться в руках установ, яким ви довіряєте.