Витік даних 1,8 млн записів NYC Health серед нових інцидентів у реєстрі HHS

Витік даних 1,8 млн записів NYC Health серед нових інцидентів у реєстрі HHS

Трекер витоків даних Міністерства охорони здоров'я та соціальних служб США додав до публічного журналу кілька значних порушень безпеки медичних даних, найбільше з яких торкнулося 1,8 мільйона осіб, пов'язаних із Корпорацією охорони здоров'я та лікарень міста Нью-Йорк. Окремий інцидент у медичних центрах Erie Family Health Centers скомпрометував особисті, медичні та фінансові записи ще 570 000 осіб. Разом ці інциденти підкреслюють стійкі та зростаючі ризики для конфіденційності внаслідок витоків медичних даних, з якими стикаються мільйони американців щоразу, коли звертаються до медичного закладу.

Що розкриває трекер витоків HHS про ці інциденти

Портал витоків HHS, що ведеться відповідно до Правила про повідомлення про порушення HIPAA, функціонує як публічний реєстр значних інцидентів із медичними даними, що торкаються 500 і більше осіб. Коли з'являються нові записи, це свідчить про те, що постраждалі організації виконали свої обов'язкові вимоги щодо звітності — іноді через місяці після початкового порушення.

Запис Корпорації охорони здоров'я та лікарень міста Нью-Йорк примітний з двох причин: його масштаб та походження. Витік стався не внаслідок прямої атаки на системи лікарні, а через компрометацію стороннього постачальника. Erie Family Health Centers — федерально кваліфікований медичний центр, що обслуговує малозабезпечені спільноти в Іллінойсі, — повідомив, що його витік оголив особливо чутливу комбінацію типів даних, зокрема особисті ідентифікатори, медичну інформацію та фінансові деталі. Ця тріада робить жертв особливо вразливими до кількох видів шахрайства одночасно.

Чому медичні записи небезпечніші, ніж більшість викрадених даних

Викрадений номер кредитної картки — це неприємно, але його можна заблокувати за лічені хвилини. Викрадений медичний запис — зовсім інша справа. Медичні дані містять інформацію, яку неможливо змінити: дати народження, номери соціального страхування, номери страхових полісів, історії діагнозів і записи про рецепти. На підпільних ринках повні медичні профілі регулярно коштують значно дорожче, ніж стандартні фінансові облікові дані.

Небезпека посилюється тим, що крадіжка медичної ідентичності часто залишається непоміченою місяцями або роками. Злодій, який використовує викрадені страхові дані для отримання рецептів або подання шахрайських претензій, як правило, не залишає жодних негайних слідів на банківському рахунку жертви. До того часу, коли шахрайство виявляється через відмову у страховому відшкодуванні або несподіваний медичний рахунок, збитки вже є значними і їх важко усунути.

Медичні записи також створюють підґрунтя для цільового фішингу. Зловмисник, який знає ім'я вашого лікаря, ваші нещодавні діагнози та вашого страховика, може складати переконливі повідомлення, що обходять скептицизм, який більшість людей застосовує до типових шахрайських електронних листів.

Як сторонні постачальники стали найслабшою ланкою в захисті конфіденційності пацієнтів

Витік даних NYC Health вписується в закономірність, яка домінує в інцидентах із безпекою в охороні здоров'я вже кілька років. Лікарні та медичні системи покладаються на щільні екосистеми постачальників програмного забезпечення, процесорів виставлення рахунків, телемедичних платформ, інструментів для запису на прийом та компаній з аналітики даних. Кожна з цих третіх сторін отримує доступ до даних пацієнтів для виконання своїх договірних функцій і являє собою додаткову поверхню для атак, яку сама медична організація не контролює повністю.

Регуляторні рамки вимагають від охоплених суб'єктів підписувати Угоди про ділове партнерство з постачальниками, встановлюючи зобов'язання щодо захисту даних. Однак ці угоди автоматично не означають однаковий рівень безпеки. Великий академічний медичний центр може мати зрілу програму безпеки, тоді як постачальник програмного забезпечення для запису на прийом, яким він користується, може діяти з набагато меншим контролем.

Ця динаміка не є унікальною для охорони здоров'я. Вразливості на рівні серверів у різних галузях регулярно оголюють дані, що зберігаються у постачальників, а не в основних організаціях, яким довіряють пацієнти або клієнти. Розуміння того, що ваші дані поширюються далеко за межі кабінету вашого лікаря, є критично важливою частиною управління власними ризиками для конфіденційності. Ви можете дізнатися більше про те, як вразливості на рівні інфраструктури впливають на дані у великому масштабі, у матеріалі про експлойт обходу автентифікації cPanel, що вразив десятки тисяч серверів, який ілюструє, як єдина вада у широко використовуваному програмному забезпеченні може одночасно поширитися на тисячі організацій.

Практичні кроки для захисту конфіденційності пацієнтів при взаємодії з постачальниками онлайн

Хоча окремі пацієнти не можуть перевіряти відносини свого постачальника з постачальниками послуг, існують конкретні кроки, що зменшують ризики та підвищують вашу здатність раннього виявлення шахрайства.

По-перше, регулярно запитуйте копію своїх медичних записів. Їх перегляд дозволяє виявити незнайомі процедури, рецепти або імена постачальників, що можуть свідчити про те, що хтось скористався вашою ідентичністю для отримання медичної допомоги. Відповідно до HIPAA, ви маєте право на доступ до своїх записів, і більшість постачальників зобов'язані виконати запити протягом 30 днів.

По-друге, зверніться до свого медичного страховика та попросіть зведення пояснень до виплат за минулий рік. Будь-які претензії, які ви не впізнаєте, потребують негайного уточнення. Багато страховиків тепер пропонують безкоштовні сповіщення про моніторинг незвичайної активності за претензіями.

По-третє, розгляньте можливість заморозки кредиту в усіх трьох основних бюро. Крадіжка медичної ідентичності часто призводить до рахунків у колекторів і шахрайських кредитних ліній, а заморозка запобігає відкриттю нових рахунків на ваше ім'я без вашої явної згоди.

По-четверте, використовуйте унікальні надійні паролі для будь-яких облікових записів на порталах пацієнтів, наприклад тих, що використовуються для перегляду результатів аналізів або запису на прийом. Ці портали містять надзвичайно чутливі записи, проте їх часто захищають лише слабкі облікові дані, які пацієнти повторно використовують в інших сервісах. Використання спеціальної електронної адреси для медичних облікових записів також обмежує наслідки у разі компрометації одного з ваших інших облікових записів.

Нарешті, стежте за ширшим регуляторним і законодавчим середовищем, що визначає порядок обробки ваших даних. Нещодавнє законодавство на рівні штатів у сфері цифрової конфіденційності, зокрема закон Юти SB 73 про верифікацію віку, відображає зростаючу обізнаність законодавців про те, що потоки онлайн-даних потребують більш жорстких обмежень. Спостереження за розвитком цих норм може допомогти вам зрозуміти, які засоби захисту вашої інформації існують, а які — ні.

Що це означає для вас

Додавання цих витоків до трекера HHS є нагадуванням про те, що ризики для конфіденційності внаслідок витоків медичних даних не є гіпотетичними. Лише в цих двох інцидентах були оголені чутливі записи мільйонів людей, а трекер щорічно реєструє сотні інцидентів.

Ваші найефективніші інструменти — це моніторинг, раннє виявлення та обмеження зайвого обміну даними там, де це можливо. Запитуйте своїх постачальників, які сторонні постачальники отримують ваші дані і з якою метою. Регулярно переглядайте свої записи та страхові виписки. І ставтеся до облікових даних вашого порталу пацієнта так само серйозно, як до ваших фінансових рахунків. Ці кроки не завадять компрометації постачальника, але значно підвищать ваші шанси виявити шахрайство до того, як воно завдасть тривалої шкоди.