Παραβίαση των ιδιωτικών πληροφοριών υγείας το 2022: Οι παραβιάσεις δεδομένων υγείας θέτουν σε κίνδυνο τις προσωπικές πληροφορίες εκατομμυρίων ανθρώπων. Η Drata χρησιμοποίησε δεδομένα του Office for Civil Rights για να βρει τις τέσσερις πιο συνηθισμένες παραβιάσεις το 2022. Όταν οι εγκληματίες του κυβερνοχώρου θέλουν έναν προσοδοφόρο στόχο, πολλοί κυνηγούν τα δεδομένα υγειονομικής περίθαλψης. Η υγειονομική περίθαλψη είναι ο πιο στοχευμένος τομέας για τους εγκληματίες του κυβερνοχώρου που επιδιώκουν να κλέψουν και να πουλήσουν τις προσωπικές πληροφορίες των Αμερικανών. Οι επιθέσεις σε αυτόν τον τομέα έχουν διπλασιαστεί από το 2016 και αρχίζουν να έχουν όλο και πιο σοβαρές συνέπειες για την ιδιωτικότητα και τα αποτελέσματα των ασθενών.
Σύμφωνα με το Center for Internet Security, οι εγκληματίες έχουν κίνητρο να κλέψουν δεδομένα που σχετίζονται με την υγεία, επειδή οι άνθρωποι δεν μπορούν να αλλάξουν το ιατρικό τους ιστορικό. Οι εγκληματίες χρησιμοποιούν τις πληροφορίες για να δημιουργήσουν απάτες που στοχεύουν σε άτομα ή να προβούν σε δόλιες ασφαλιστικές απαιτήσεις. Η Drata χρησιμοποίησε εκθέσεις σχετικά με παραβιάσεις δεδομένων υγείας από το Γραφείο Πολιτικών Δικαιωμάτων του Υπουργείου Υγείας και Ανθρωπίνων Υπηρεσιών για να βρει τους τέσσερις πιο κοινούς ενόχους το 2022. Η ανάλυση περιλαμβάνει παραβιάσεις μη ασφαλών προστατευόμενων πληροφοριών υγείας που αφορούν 500 ή περισσότερα άτομα και περιορίζεται σε εκείνες που υποβλήθηκαν στον Υπουργό Υγείας και Ανθρωπίνων Υπηρεσιών εντός του ημερολογιακού έτους 2022. Οι παραβιάσεις προέρχονται από διάφορες τοποθεσίες, συμπεριλαμβανομένων των ηλεκτρονικών μηνυμάτων, των διακομιστών, των φορητών ηλεκτρονικών συσκευών, του χαρτιού και του φιλμ. Λίγες παραβιάσεις προήλθαν από ακατάλληλη απόρριψη ιατρικών φακέλων – μόλις τέσσερις παραβιάσεις το 2022 εμπίπτουν σε αυτή την κατηγορία. Το 2022 σημειώθηκαν περισσότερες από 700 παραβιάσεις δεδομένων υγείας στις Ηνωμένες Πολιτείες, οι οποίες επηρέασαν περισσότερα από 52 εκατομμύρια άτομα. Από αυτές, μόνο 1 στις 5 έχει επιλυθεί, με την αντιμετώπιση των αιτιών της παραβίασης ή την παροχή βοήθειας στα θύματά της για την προστασία τους ή και τα δύο. Οι περισσότερες παραβιάσεις παραμένουν υπό διερεύνηση.
1. Περιστατικό hacking/IT
– Αριθμός παραβιάσεων: 564 (19% επιλύθηκε, 81% υπό διερεύνηση)
– Άτομα που επηρεάστηκαν: 44,2 εκατομμύρια
– Συνηθέστερες τοποθεσίες παραβιασμένων πληροφοριών: ηλεκτρονικό ταχυδρομείο
Η ηλεκτρονική τήρηση αρχείων είναι σχετικά νέα στον κλάδο της υγειονομικής περίθαλψης. Το 2008, μόλις το 9% των νοσοκομείων και το 17% των ιατρών γραφείου χρησιμοποιούσαν πιστοποιημένο σύστημα ηλεκτρονικών φακέλων υγείας. Αλλά μέχρι το 2021, το 96% των νοσοκομείων και το 78% των ιατρών γραφείου θα τα χρησιμοποιούν, σύμφωνα με το Γραφείο του Εθνικού Συντονιστή για την Τεχνολογία Πληροφοριών Υγείας. Επειδή ο κλάδος έχει λιγότερη εμπειρία στην προστασία των ηλεκτρονικών δεδομένων, οι εταιρείες του έχουν επίσης λιγότερη εμπειρία με την κυβερνοασφάλεια, πράγμα που σημαίνει ότι οι εγκληματίες είχαν ευκολότερο χρόνο να παραβιάζουν διακομιστές και μηνύματα ηλεκτρονικού ταχυδρομείου για να κλέβουν πληροφορίες. Μια τέτοια επίθεση σημειώθηκε τον Απρίλιο του 2022, όταν η OneTouchPoint, ένας πάροχος υπηρεσιών αλληλογραφίας και εκτύπωσης για οργανισμούς υγειονομικής περίθαλψης με έδρα το Ουισκόνσιν, ανακάλυψε μια επίθεση ransomware που άφησε κρυπτογραφημένα αρχεία στους διακομιστές της. Τα συστήματα που παραβιάστηκαν περιείχαν προσωπικές πληροφορίες υγείας, όπως ονόματα, διευθύνσεις, ημερομηνίες γέννησης, οικογενειακό ιστορικό, φάρμακα και συγκεκριμένες υπηρεσίες υγείας που ανήκαν σε περισσότερα από 2,6 εκατομμύρια άτομα που εξετάστηκαν από τουλάχιστον 34 οργανισμούς, συμπεριλαμβανομένων των Humana, Kaiser Permanente και πολλών θυγατρικών της Blue Cross Blue Shield.
2. Μη εξουσιοδοτημένη πρόσβαση/αποκάλυψη
– Αριθμός παραβιάσεων: 115 (23% επιλύθηκε, 77% υπό διερεύνηση)
– Επηρεαζόμενα άτομα: 7,7 εκατομμύρια
– Συνηθέστερες τοποθεσίες παραβιασμένων πληροφοριών: διακομιστής δικτύου
Οι παραβιάσεις δεν συμβαίνουν πάντα όταν ένας κακός δράστης από το εξωτερικό μιας εταιρείας διεισδύει σε έναν διακομιστή. Οι εργαζόμενοι μπορούν επίσης να προβούν σε παραβιάσεις δεδομένων εάν αποκτήσουν πρόσβαση σε πληροφορίες που είναι αποθηκευμένες σε ηλεκτρονικούς φακέλους υγείας, ενώ δεν είναι μέρος της εργασίας τους να το κάνουν. Οι εταιρείες υγειονομικής περίθαλψης μπορούν επίσης να αποκαλύψουν κατά λάθος πληροφορίες ασθενών σε άλλες οντότητες.
Αυτό συνέβη με την Advocate Aurora Health, μια εταιρεία της περιοχής του Σικάγο που διαχειρίζεται 27 νοσοκομεία. Τον Οκτώβριο του 2022, η εταιρεία αποκάλυψε μια παραβίαση δεδομένων που συνέβη μέσω της χρήσης εικονοστοιχείων παρακολούθησης που παρείχαν η Google και η Meta, η μητρική εταιρεία του Facebook. Τα pixel υποτίθεται ότι θα βοηθούσαν την Advocate Aurora Health να κατανοήσει την αλληλεπίδραση των χρηστών με τους ιστότοπούς της, αλλά έστειλαν επίσης πληροφορίες υγείας -οι οποίες βάσει του νόμου θα έπρεπε να προστατεύονται- που ανήκαν σε 3 εκατομμύρια ασθενείς στο Facebook και τη Google.
3. Κλοπή
– Αριθμός παραβιάσεων: 22 (14% επιλύθηκε, 86% υπό διερεύνηση)
– Ατομα που επηρεάστηκαν: 462,035
– Συνηθέστερες τοποθεσίες παραβιασμένων πληροφοριών: χαρτί/φίλμ.
Οι γιατροί και άλλοι πάροχοι υγειονομικής περίθαλψης πρέπει να διατηρούν ιατρικά αρχεία σε αρχείο σε περίπτωση που χρειαστεί να υπερασπιστούν μια αγωγή για ιατρικό σφάλμα. Κάθε πολιτεία ορίζει το χρονικό διάστημα που απαιτείται, το οποίο είναι γενικά πέντε έως 10 έτη, αλλά υπάρχουν και κάποια ακραία, όπως τα 30 έτη που απαιτούνται για τα νοσοκομεία στη Μασαχουσέτη. Η αργή υιοθέτηση των ηλεκτρονικών φακέλων υγείας σημαίνει ότι πολλά αρχεία σε χαρτί και μικροφίλμ παραμένουν στην αποθήκη και μπορεί να είναι ευάλωτα σε κλοπή. Αυτό συνέβη στην περίπτωση του SAC Health System, το οποίο τον Μάρτιο του 2022 ανακάλυψε ότι κάποιος είχε διαρρήξει μία από τις εγκαταστάσεις αποθήκευσης εκτός του χώρου του. Η απώλεια περιελάμβανε έξι κουτιά με χάρτινα έγγραφα που μπορεί να περιείχαν προσωπικά στοιχεία των ασθενών και κωδικούς για τις διαγνώσεις υγείας τους. Σχεδόν 150.000 άτομα επηρεάστηκαν από αυτή την παραβίαση.
4. Απώλεια
– Αριθμός παραβιάσεων: (42% επιλύθηκε, 58% βρίσκεται υπό διερεύνηση)
– Επηρεαζόμενα άτομα: 20.306
– Συνηθέστερες τοποθεσίες παραβιασμένων πληροφοριών: φορητές ηλεκτρονικές συσκευές
Το ανθρώπινο λάθος μπορεί επίσης να ευθύνεται για ένα μέρος των παραβιάσεων δεδομένων όταν χάνονται πληροφορίες. Μερικές φορές αυτό συμβαίνει όταν οι πληροφορίες υγείας των ασθενών τοποθετούνται σε μια συσκευή αποθήκευσης USB ή σε άλλη εξωτερική συσκευή αποθήκευσης δεδομένων που χάνεται. Άλλες φορές, έγγραφα που αποστέλλονται δεν φτάνουν ποτέ στον προορισμό τους. Σε μια περίπτωση, ο πάροχος υγειονομικής περίθαλψης The Art and Science of Dermatology με έδρα τη Βιρτζίνια ανακάλυψε ότι ένας υπολογιστής έλειπε από τα γραφεία του και θα μπορούσε να έχει παραβιαστεί από μη εξουσιοδοτημένο χρήστη. Στην περίπτωση αυτή, οι πληροφορίες υγείας 4.500 ασθενών ήταν ευάλωτες σε κλοπή.