ViaQuest Psychiatric: витік даних викрив PII та PHI 6 420 пацієнтів

ViaQuest Psychiatric: витік даних викрив PII та PHI 6 420 пацієнтів

Компанія ViaQuest Psychiatric & Behavioral Solutions повідомила про витік даних, що зачепив щонайменше 6 420 теперішніх і колишніх пацієнтів та співробітників. Інцидент викрив як персонально ідентифікаційну інформацію (PII), так і захищену медичну інформацію (PHI), що підвищило для тисяч людей ризик крадіжки особистих даних, дискримінації та фінансового шахрайства. Для всіх, хто звертався за послугами у сфері психічного здоров'я, цей витік є різким нагадуванням про те, що захист конфіденційності медичних даних більше не є опціональним.

Що викрив витік ViaQuest і кого це торкнулося

Підтверджений витік у компанії ViaQuest Psychiatric & Behavioral Solutions охопив подвійну категорію скомпрометованих даних: PII, яка зазвичай включає імена, адреси, дати народження та номери соціального страхування, поряд із PHI, що охоплює діагнози, записи про лікування, медикаменти та історію прийомів. Поєднання обох типів в одному витоку є особливо небезпечним.

Постраждалі особи включають як теперішніх, так і колишніх пацієнтів, а також співробітників, тобто витік не обмежується тими, хто зараз отримує допомогу. Колишні пацієнти, які зверталися за лікуванням роками раніше, все ще можуть виявити свої записи під загрозою. Співробітники стикаються з власними ризиками, зокрема викраденням облікових даних або цільовим фішингом із використанням їхніх службових даних.

Цей інцидент слідує шаблону, що спостерігається в усьому секторі охорони здоров'я. Витік даних OpenLoop Health, що викрив медичні дані 716 000 пацієнтів, є гучним прикладом того, як платформи телемедицини та психічного здоров'я стали основними цілями для кіберзлочинців, які прагнуть монетизувати конфіденційні записи.

Чому психіатричні та поведінкові медичні записи є особливо чутливими

Не всі медичні записи мають однакову вагу. Дані психіатричного та поведінкового здоров'я належать до унікально високоризикової категорії з кількох причин.

По-перше, цей тип інформації є глибоко особистим. Записи, пов'язані зі станами психічного здоров'я, лікуванням розладів, пов'язаних із вживанням психоактивних речовин, або психіатричними діагнозами, у разі викриття можуть вплинути на перспективи працевлаштування, визначення опіки над дітьми, страхове право та особисті стосунки. На відміну від викраденого номера кредитної картки, ви не можете просто скасувати свою психіатричну історію.

По-друге, записи про поведінкове здоров'я часто мають додаткові правові захисти, окрім стандартних правил HIPAA. У багатьох штатах записи про лікування розладів, пов'язаних із вживанням психоактивних речовин, підпадають під дію 42 CFR Part 2 — федерального регулювання, яке вимагає суворішої згоди на розкриття. Коли ці записи потрапляють у витік, правові та особисті наслідки можуть бути значно складнішими, ніж при типовому викритті медичних даних.

По-третє, зловмисники знають, який вплив надають ці дані. Психіатричні записи можуть використовуватися для цілеспрямованого вимагання, страхового шахрайства та атак соціальної інженерії, розроблених для експлуатації вразливих осіб, які вже можуть перебувати у складних особистих обставинах.

Як незахищений доступ до медичних порталів наражає пацієнтів на небезпеку

Медичні портали — вебсайти та застосунки для пацієнтів, які використовуються для доступу до записів, планування прийомів і комунікації з постачальниками послуг, — стрімко поширилися. Зручність часто випереджала безпеку. Коли пацієнти отримують доступ до цих порталів через незахищені публічні мережі Wi-Fi — у кав'ярнях, бібліотеках чи аеропортах, — вони наражають свої сесійні дані, облікові дані для входу та поведінку під час перегляду на потенційне перехоплення.

Саме тут шифрування та віртуальні приватні мережі (VPN) стають безпосередньо доречними. VPN шифрує з'єднання між вашим пристроєм та інтернетом, що значно ускладнює для третіх сторін перехоплення даних під час передачі. Хоча VPN не може запобігти витоку на власних серверах медичної організації, він захищає ваші облікові дані та сесійну активність від збору на мережевому рівні, особливо на спільних або незахищених з'єднаннях.

Окрім використання VPN, пацієнти повинні звертати увагу на HTTPS-шифрування на будь-якому порталі, який вони використовують, вмикати багатофакторну автентифікацію скрізь, де вона пропонується, та уникати повторного використання паролів на різних медичних платформах та інших облікових записах. Підбір облікових даних (credential stuffing), коли зловмисники використовують витік пар імен користувачів і паролів з одного витоку для доступу до інших сервісів, є одним із найпоширеніших способів, яким один інцидент переростає у множинні компрометації. Такі інциденти, як витік даних Beacon Mutual через програму-вимагача, що зачепив 130 000 осіб, показують, як швидко скомпрометовані облікові дані можуть масштабуватися в межах організації.

Кроки, які пацієнти та співробітники можуть вжити для захисту своїх медичних даних уже зараз

Якщо ви вважаєте, що могли постраждати від витоку ViaQuest, або якщо хочете посилити загальний рівень захисту конфіденційності медичних даних, варто негайно вжити наступних кроків.

Уважно перегляньте повідомлення про витік. ViaQuest зобов'язана згідно з Правилом HIPAA про повідомлення про витоки інформувати постраждалих осіб письмово. Уважно прочитайте ці повідомлення, щоб зрозуміти, які саме дані були задіяні.

Встановіть замороження кредиту. Оскільки PII була частиною цього витоку, заморозьте свій кредит у всіх трьох основних бюро. Це запобігає відкриттю нових кредитних ліній на ваше ім'я без вашої явної авторизації.

Моніторте свій рахунок медичного страхування. Слідкуйте за вимогами на оплату, які ви не впізнаєте, що може свідчити про крадіжку медичних особистих даних. Негайно зв'яжіться зі своїм страховиком, якщо щось виглядає незнайомим.

Використовуйте VPN під час доступу до медичних порталів. Шифрування з'єднання є базовою пересторогою, особливо якщо ви часто використовуєте публічні або спільні мережі для управління своїми медичними обліковими записами.

Оновіть паролі та ввімкніть багатофакторну автентифікацію. Змініть паролі на будь-якому обліковому записі, який використовував ті самі облікові дані, що й сервіси, пов'язані з ViaQuest, та активуйте MFA скрізь, де це можливо.

Запитайте копію своїх записів. Згідно з HIPAA, ви маєте право на доступ до своїх медичних записів. Їх перегляд може допомогти виявити будь-які несанкціоновані зміни або розкриття.

Що це означає для вас

Витік ViaQuest може здаватися невеликим порівняно з інцидентами, що зачіпають сотні тисяч людей, але чутливість психіатричних і поведінкових медичних даних означає, що особистий вплив на кожну постраждалу особу може бути непропорційно високим. Медичні організації зберігають одну з найінтимніших відомостей про наше життя, і витоки в цьому секторі рідко залишаються обмеженими однією точкою шкоди.

Оскільки постачальники медичних послуг продовжують переводити сервіси в онлайн, пацієнти несуть більше відповідальності за власний захист під час передачі даних. Використання VPN під час доступу до пацієнтських порталів, вибір надійних унікальних облікових даних та уважність до фішингових спроб, які використовують ваші медичні дані як приманку, — це практичні звички, які зменшують вашу вразливість незалежно від того, що будь-яка конкретна організація робить або не робить зі свого боку.

Приділіть кілька хвилин цього тижня перегляду налаштувань безпеки на кожному медичному порталі, яким ви користуєтеся. Зусилля є незначними порівняно з ціною відновлення після крадіжки особистих даних або викриття вашої найбільш конфіденційної медичної історії.