Скільки людей постраждало від витоку даних NYC Health and Hospitals?

Щонайменше 1,8 мільйона осіб мали свої дані викрадені в результаті витоку, що робить його одним із найбільших витоків даних у публічних лікарнях в історії Нью-Йорка.

Які типи даних були викрадені під час витоку?

Викрадені дані включали персональні ідентифікаційні дані (PII), захищену медичну інформацію (PHI) та біометричні дані, зокрема відбитки пальців.

Як зловмисники отримали доступ до мережі NYC Health and Hospitals?

Витік був відстежений до стороннього постачальника, тобто сама NYCHH не була безпосередньо зламана в традиційному розумінні.

Чому викрадення даних відбитків пальців вважається особливо серйозним?

Відбитки пальців не можна скинути або замінити, як паролі чи номери карток, а це означає, що після викрадення викриття є постійним і потенційно незворотним для жертв.

Як довго зловмисники мали доступ до мережі?

Зловмисники підтримували доступ протягом тривалого часу до виявлення — такий тип вторгнення відомий як «breach з великим часом перебування», що дозволило їм викрасти великі обсяги даних.

Витік даних NYC Health and Hospitals розкрив 1,8 млн відбитків пальців

Витік даних NYC Health and Hospitals розкрив 1,8 млн відбитків пальців і медичних записів

Нью-Йоркська міська система охорони здоров'я та лікарень (NYCHH) розкрила один із найбільших витоків даних у публічних лікарнях в історії міста. Багатомісячний злом мережі, відстежений до стороннього постачальника, призвів до викрадення чутливої особистої, медичної та біометричної інформації щонайменше 1,8 мільйона осіб. Серед викрадених даних були відбитки пальців — деталь, яка перетворює цей інцидент із серйозного порушення конфіденційності на потенційно незворотне для постраждалих.

Цей витік є разючим нагадуванням про те, чому питання конфіденційності біометричних даних у сфері охорони здоров'я заслуговує набагато більшої уваги, ніж зазвичай отримує. Медичні записи вже належать до найчутливіших категорій персональних даних, але включення відбитків пальців значно підвищує ставки.

Що було викрадено і як довго зловмисники мали доступ

Згідно з розкритою інформацією, зловмисники підтримували доступ до мережі протягом тривалого часу до виявлення. Такий тривалий злом, який іноді називають «breach з великим часом перебування», є особливо руйнівним, оскільки надає зловмисникам можливість картографувати системи, викрадати великі обсяги даних і заметати сліди.

Викрадена інформація, за повідомленнями, включає поєднання персональних ідентифікаційних даних (PII), захищеної медичної інформації (PHI) та біометричних даних. Саме остання категорія вирізняє цей інцидент серед десятків витоків у сфері охорони здоров'я, що реєструються щороку. Відбитки пальців не мають терміну дії. Їх не можна скинути. Як тільки ваші дані відбитків пальців опиняються в руках зловмисника, це викриття є постійним.

Чому біометричні дані, як-от відбитки пальців, є особливо небезпечними після витоку

Більшості жертв витоків даних радять змінити паролі, заморозити кредитну історію або стежити за фінансовими рахунками. Ці кроки мають реальну цінність. Але жоден із них не застосовується, коли викраденими даними є відбитки пальців.

Біометрична автентифікація працює саме тому, що ці ознаки є унікальними та стабільними. Відбитки пальців, геометрія обличчя, малюнки райдужної оболонки ока та подібні ідентифікатори дедалі частіше використовуються для розблокування пристроїв, авторизації платежів, підтвердження медичної особистості та контролю доступу до захищених об'єктів. Ті самі властивості, що роблять їх корисними як засоби автентифікації, також роблять їх викрадення катастрофічним. Ви не можете видати собі новий відбиток пальця так, як банк видає новий номер картки.

Якщо викрадені шаблони відбитків пальців використовуватимуться для підробки біометричних систем, жертви можуть не мати надійного способу виявити або зупинити несанкціонований доступ. Це не теоретичний ризик. Оскільки біометрична автентифікація стає дедалі поширенішою в медичних закладах, цінність викрадених біометричних шаблонів для досвідчених зловмисників відповідно зростає.

Проблема сторонніх постачальників у сфері безпеки охорони здоров'я

Структурна значущість цього витоку полягає в його походженні: сторонній постачальник. Сама NYCHH не була безпосередньо зламана в традиційному розумінні. Зловмисники скомпрометували постачальника, який мав доступ до мережі лікарняної системи, і використали цю точку опори для доступу до даних пацієнтів.

Це дедалі поширеніша схема атак у різних галузях, але вона особливо виражена в охороні здоров'я. Лікарні та системи громадської охорони здоров'я спираються на розгалужені мережі зовнішніх підрядників, постачальників програмного забезпечення, розрахункових служб і постачальників обладнання. Кожне з'єднання є потенційною точкою входу. Безпека всієї системи є такою ж надійною, як і її найслабша ланка серед постачальників.

Виклик для великих установ, таких як NYCHH, полягає в тому, що вони не завжди можуть контролювати практики безпеки кожної третьої сторони, з якою співпрацюють. Те, що вони можуть контролювати, — це порядок перевірки постачальників, який доступ до даних вони надають і чи зашифровані чутливі дані таким чином, щоб зробити їх марними навіть у разі перехоплення. У цьому випадку злом тривав місяцями без виявлення, що свідчить про те, що моніторинг мережевої активності сторонніх постачальників, можливо, не був достатньо надійним для раннього виявлення вторгнення.

Медичні організації, які обробляють біометричні дані, зокрема, повинні захищати цю інформацію за допомогою найвищого рівня шифрування та засобів контролю доступу, враховуючи, що її компрометація не має засобів виправлення.

Як особи можуть краще захистити свою медичну та біометричну конфіденційність

Для 1,8 мільйона людей, постраждалих від цього витоку, негайні кроки обмежені, але важливі. Якщо NYCHH надсилає сповіщення про витік, уважно читайте їх — зверніть особливу увагу на вказівки щодо того, які дані були залучені та чи пропонуються послуги моніторингу кредитної історії або захисту особистості.

Загалом кожен, хто взаємодіє із системами охорони здоров'я, повинен думати про свою цифрову гігієну в ширшому контексті, що виходить за межі лікарні. Коли ви користуєтеся пацієнтськими порталами, медичними додатками або телемедичними послугами в публічних або спільних мережах, ваша медична активність у браузері та дані для входу можуть бути розкриті. Використання надійного VPN при доступі до медичних облікових записів через публічний Wi-Fi додає значущий рівень шифрування до вашого з'єднання, знижуючи ризик перехоплення облікових даних.

Розуміння того, як працює біометрична автентифікація і чому її викрадення є незворотним, також є корисним контекстом для оцінки того, яким сервісам ви довіряєте ці ідентифікатори. Коли платформа запитує відбиток пальця або скан обличчя, варто запитати, як ці дані зберігаються, чи зберігаються вони як необроблений шаблон або перетворюються на зашифрований хеш, і якою є історія витоків у постачальника.

Що це означає для вас

Якщо ви отримували допомогу в Нью-Йоркській міській системі охорони здоров'я та лікарень і ще не отримали сповіщення про витік, уважно стежте за поштою та електронною поштою. Розгляньте можливість заморозити кредитну історію у великих бюро як запобіжний захід, оскільки крадіжка медичної особистості часто передбачає шахрайські страхові претензії та виставлення рахунків на ім'я жертви.

Для всіх інших цей витік є сигналом для аудиту біометричних даних, якими ви ділитесь із медичними постачальниками та додатками. Зручність біометричної автентифікації є реальною, але такою ж є і постійність її викриття. Вибір сервісів, які мінімізують збереження біометричних даних, і забезпечення захисту вашої онлайн-медичної активності за допомогою інструментів шифрування в ненадійних мережах — це практичні кроки, доступні прямо зараз.

Конфіденційність біометричних даних при витоках медичної інформації — це не абстрактне питання політики. Для 1,8 мільйона нью-йоркців це тепер прожита реальність без очевидного вирішення. Найкраща відповідь — залишатися поінформованим, діяти згідно з офіційними вказівками NYCHH і формувати звички, які максимально обмежують майбутнє викриття.