Sự cố rò rỉ dữ liệu của ViaQuest Psychiatric làm lộ PII và PHI của 6.420 bệnh nhân

Sự cố rò rỉ dữ liệu của ViaQuest Psychiatric làm lộ PII và PHI của 6.420 bệnh nhân

ViaQuest Psychiatric & Behavioral Solutions đã tiết lộ một sự cố rò rỉ dữ liệu ảnh hưởng đến ít nhất 6.420 bệnh nhân và nhân viên hiện tại và trước đây. Vụ việc đã làm lộ cả thông tin nhận dạng cá nhân (PII) và thông tin y tế được bảo vệ (PHI), khiến hàng nghìn người đối mặt với nguy cơ cao hơn về đánh cắp danh tính, phân biệt đối xử và gian lận tài chính. Đối với bất kỳ ai từng tìm đến các dịch vụ sức khỏe hành vi, sự cố này là lời nhắc nhở rõ ràng rằng bảo vệ quyền riêng tư dữ liệu y tế trước các sự cố rò rỉ không còn là điều có thể bỏ qua.

Dữ liệu bị lộ trong sự cố ViaQuest và những người bị ảnh hưởng

Sự cố rò rỉ đã được xác nhận tại ViaQuest Psychiatric & Behavioral Solutions liên quan đến hai loại dữ liệu bị xâm phạm: PII, thường bao gồm tên, địa chỉ, ngày sinh và số An sinh Xã hội, cùng với PHI, bao gồm chẩn đoán, hồ sơ điều trị, thuốc men và lịch sử cuộc hẹn. Sự kết hợp cả hai loại trong cùng một sự cố đặc biệt nguy hiểm.

Những người bị ảnh hưởng bao gồm cả bệnh nhân và nhân viên hiện tại và trước đây, nghĩa là phạm vi lộ dữ liệu không chỉ giới hạn ở những người đang điều trị. Những bệnh nhân cũ đã tìm cách điều trị từ nhiều năm trước vẫn có thể thấy hồ sơ của mình bị xâm phạm. Các nhân viên cũng đối mặt với những rủi ro riêng, bao gồm đánh cắp thông tin xác thực hoặc lừa đảo trực tuyến có chủ đích bằng cách sử dụng chi tiết việc làm của họ.

Sự cố này tiếp tục một xu hướng đã thấy trong toàn ngành chăm sóc sức khỏe. Sự cố rò rỉ dữ liệu của OpenLoop Health làm lộ dữ liệu y tế của 716.000 bệnh nhân là một ví dụ nổi bật về cách các nền tảng y tế từ xa và sức khỏe hành vi đã trở thành mục tiêu hàng đầu của tội phạm mạng muốn kiếm tiền từ các hồ sơ nhạy cảm.

Vì sao hồ sơ tâm thần và sức khỏe hành vi đặc biệt nhạy cảm

Không phải mọi hồ sơ y tế đều có mức độ nhạy cảm như nhau. Dữ liệu tâm thần và sức khỏe hành vi nằm trong nhóm có rủi ro cao đặc biệt vì nhiều lý do.

Thứ nhất, loại thông tin này mang tính cá nhân sâu sắc. Hồ sơ liên quan đến tình trạng sức khỏe tâm thần, điều trị sử dụng chất gây nghiện hoặc chẩn đoán tâm thần có thể ảnh hưởng đến triển vọng việc làm, quyết định quyền nuôi con, điều kiện hưởng bảo hiểm và các mối quan hệ cá nhân nếu bị lộ. Không giống như số thẻ tín dụng bị đánh cắp, bạn không thể đơn giản hủy bỏ lịch sử tâm thần của mình.

Thứ hai, hồ sơ sức khỏe hành vi thường mang thêm các biện pháp bảo vệ pháp lý ngoài các quy tắc HIPAA tiêu chuẩn. Ở nhiều tiểu bang, hồ sơ rối loạn sử dụng chất gây nghiện thuộc phạm vi điều chỉnh của 42 CFR Part 2, một quy định liên bang yêu cầu sự đồng ý chặt chẽ hơn để tiết lộ. Khi những hồ sơ này bị xâm phạm, hậu quả pháp lý và cá nhân có thể phức tạp hơn đáng kể so với một sự cố lộ dữ liệu y tế thông thường.

Thứ ba, các tác nhân xấu biết rõ lợi thế mà dữ liệu này mang lại. Hồ sơ tâm thần có thể được sử dụng để tống tiền có chủ đích, gian lận bảo hiểm và các cuộc tấn công kỹ thuật xã hội được thiết kế để khai thác những cá nhân dễ bị tổn thương, những người có thể đang quản lý các hoàn cảnh cá nhân khó khăn.

Việc truy cập cổng thông tin y tế không được bảo vệ gây rủi ro cho bệnh nhân như thế nào

Các cổng thông tin y tế, những trang web và ứng dụng mà bệnh nhân dùng để truy cập hồ sơ, lên lịch hẹn và giao tiếp với nhà cung cấp, đã mở rộng nhanh chóng. Sự tiện lợi thường vượt xa tính bảo mật. Khi bệnh nhân truy cập các cổng này qua mạng Wi-Fi công cộng không bảo mật, tại quán cà phê, thư viện hoặc sân bay, họ khiến dữ liệu phiên làm việc, thông tin đăng nhập và hành vi duyệt web của mình có thể bị chặn lại.

Đây là lúc mã hóa và mạng riêng ảo (VPN) trở nên liên quan trực tiếp. VPN mã hóa kết nối giữa thiết bị của bạn và internet, khiến bên thứ ba khó có thể chặn dữ liệu đang truyền tải hơn nhiều. Mặc dù VPN không thể ngăn chặn sự cố rò rỉ tại chính máy chủ của tổ chức y tế, nhưng nó bảo vệ thông tin xác thực và hoạt động phiên của bạn khỏi bị thu thập ở cấp độ mạng, đặc biệt trên các kết nối dùng chung hoặc không bảo mật.

Ngoài việc sử dụng VPN, bệnh nhân nên tìm kiếm mã hóa HTTPS trên bất kỳ cổng thông tin nào họ sử dụng, bật xác thực đa yếu tố ở bất cứ đâu được cung cấp và tránh sử dụng lại mật khẩu trên các nền tảng y tế và các tài khoản khác. Tấn công nhồi thông tin xác thực, khi kẻ tấn công sử dụng các cặp tên đăng nhập và mật khẩu bị rò rỉ từ một sự cố để truy cập các dịch vụ khác, là một trong những cách phổ biến nhất khiến một sự cố đơn lẻ lan rộng thành nhiều xâm phạm. Các sự cố như sự cố tấn công mã độc tống tiền Beacon Mutual ảnh hưởng đến 130.000 cá nhân cho thấy các thông tin xác thực bị xâm phạm có thể lan rộng trong toàn tổ chức nhanh như thế nào.

Các bước bệnh nhân và nhân viên có thể thực hiện ngay để bảo vệ dữ liệu sức khỏe của mình

Nếu bạn tin rằng mình có thể bị ảnh hưởng bởi sự cố ViaQuest, hoặc nếu bạn muốn củng cố tình trạng bảo vệ quyền riêng tư dữ liệu y tế của mình trước các sự cố rò rỉ, những bước sau đây đáng để thực hiện ngay lập tức.

Xem xét thông báo sự cố cẩn thận. ViaQuest được yêu cầu theo Quy tắc Thông báo Sự cố của HIPAA phải thông báo cho các cá nhân bị ảnh hưởng bằng văn bản. Đọc kỹ các thông báo này để hiểu chính xác dữ liệu nào đã bị liên quan.

Đóng băng tín dụng. Vì PII là một phần của sự cố này, hãy đóng băng tín dụng của bạn với cả ba văn phòng tín dụng lớn. Điều này ngăn các hạn mức tín dụng mới được mở dưới tên bạn mà không có sự cho phép rõ ràng của bạn.

Giám sát tài khoản bảo hiểm y tế của bạn. Theo dõi các yêu cầu thanh toán mà bạn không nhận ra, có thể là dấu hiệu của hành vi đánh cắp danh tính y tế. Liên hệ với công ty bảo hiểm của bạn ngay lập tức nếu có điều gì không quen thuộc.

Sử dụng VPN khi truy cập các cổng thông tin y tế. Mã hóa kết nối của bạn là một biện pháp phòng ngừa cơ bản, đặc biệt nếu bạn thường xuyên sử dụng mạng công cộng hoặc mạng dùng chung để quản lý các tài khoản chăm sóc sức khỏe của mình.

Cập nhật mật khẩu và bật xác thực đa yếu tố. Thay đổi mật khẩu trên bất kỳ tài khoản nào dùng chung thông tin xác thực với các dịch vụ liên quan đến ViaQuest và kích hoạt MFA ở bất kỳ đâu có thể.

Yêu cầu bản sao hồ sơ của bạn. Theo HIPAA, bạn có quyền truy cập hồ sơ y tế của mình. Xem xét chúng có thể giúp bạn xác định bất kỳ sửa đổi hoặc tiết lộ trái phép nào.

Điều này có ý nghĩa gì với bạn

Sự cố ViaQuest có vẻ nhỏ so với các sự cố ảnh hưởng đến hàng trăm nghìn người, nhưng mức độ nhạy cảm của dữ liệu tâm thần và sức khỏe hành vi có nghĩa là tác động cá nhân đối với mỗi cá nhân bị ảnh hưởng có thể cao một cách không tương xứng. Các tổ chức chăm sóc sức khỏe nắm giữ một số thông tin riêng tư nhất về cuộc sống của chúng ta, và các sự cố rò rỉ trong lĩnh vực này hiếm khi chỉ dừng lại ở một điểm gây hại duy nhất.

Khi các nhà cung cấp dịch vụ y tế tiếp tục chuyển dịch vụ lên trực tuyến, bệnh nhân mang nhiều trách nhiệm hơn trong việc tự bảo vệ mình khi đang truyền tải dữ liệu. Sử dụng VPN khi truy cập cổng thông tin bệnh nhân, chọn thông tin xác thực mạnh và duy nhất, và cảnh giác với các nỗ lực lừa đảo sử dụng chi tiết chăm sóc sức khỏe của bạn làm mồi nhử là những thói quen thiết thực giúp giảm nguy cơ bị lộ dữ liệu của bạn bất kể bất kỳ tổ chức cụ thể nào làm gì hoặc không làm gì ở phía họ.

Hãy dành vài phút trong tuần này để xem xét các cài đặt bảo mật trên mọi cổng thông tin y tế mà bạn sử dụng. Nỗ lực này nhỏ bé so với chi phí để phục hồi sau đánh cắp danh tính hoặc việc lộ lịch sử sức khỏe riêng tư nhất của bạn.