Sjokkerende nok har 93% av helseorganisasjonene i USA møtt et datainnbrudd: Største brudd på 2019

Enten du besøkte et akuttmottak, måtte være på sykehuset i noen dager, eller bare hadde den årlige kontrollen din i 2019, det er en god sjanse for at du ble et offer for et datainngrep i helsevesenet uten selv å vite om det. En sjokkerende statistikk avslørte nylig at 93% av alle helseorganisasjoner i USA hadde hatt minst 1 datainnbrudd i løpet av de siste 5 årene. Dessverre måtte mange av disse organisasjonene håndtere flere brudd, som selvfølgelig satte pasientene i større fare. Realiteten er at det er umulig å stoppe slike brudd helt på dette tidspunktet fordi sykehus, klinikker, inkasso og lignende organisasjoner fremdeles ligger ganske bak når det gjelder virtuell sikkerhet; det er imidlertid håp om at vi får færre brudd i løpet av det neste tiåret. Foreløpig er alt vi kan gjøre å se på de største bruddene på helsevesenet i 2019 og forhåpentligvis lære noe av dem.

American Medical Collection Agency fikk et 8 måneder langt datainnbrudd

I mange tilfeller er datainnbrudd raske, og nettkriminelle tar ofte den informasjonen de er ute etter og forsvinner. Imidlertid er i noen tilfeller cyberkriminelle i stand til å sette opp leir i de overtrådte systemene, og deretter fortsette å tappe inn de dyrebare private dataene til uskyldige mennesker så lenge som mulig. Det var det som skjedde da cyberangrepere med hell brøt mot American Medical Collection Agency. AMCA ble rammet i august 2018 , og bruddet var effektivt i flere måneder til det ble oppdaget i mars 2019. Selskapet er ansvarlig for å håndtere millioner av pasienters journaler når det samler inn medisinske regninger og gjeld. I juni ble selskapet tvunget til å inngi konkurs etter at det ble truffet med flere søksmål etter bruddet. Dessverre endte 25 millioner pasienter tilknyttet BioReference, Carecentrix, Clinical Pathology, LabCorp, Quest og andre helseinstitusjoner med å få solgt sine personlige data på underjordiske fora. Som det viser seg, er dette kjølvannet av de fleste brudd på helsevesenet i 2019.

Tannforsikringsselskapet Dominion National rapporterte om et 9 år langt datainnbrudd i 2019

AMCA-datainnbruddet er kanskje det største av alle datainngrep i helsevesenet i 2019, men når vi ser på tidslinjen for et datainnbrudd, har det ingenting på Dominion National datainnbrudd. I følge en rapport fra healthitsecurity.com ble 2,96 millioner pasienters data satt i fare. Dette er et enormt antall, men den mest sjokkerende delen om hendelsen er at selskapets servere angivelig ble utsatt i 9 år før bruddet ble oppdaget. I april 2019 var det tydelig at personlig informasjon var lekket, og på grunn av dette ble to års tilbud om kreditt- og bedrageribeskyttelse tilbudt gratis. Unødvendig å si hører vi ikke ofte om nyere datainnbrudd som kan dateres tilbake til 2010. I utgangspunktet spredte dette bruddet seg gjennom hele tiåret, og det er en imponerende prestasjon for nettkriminelle. Samtidig må man lure på hvor mye selskapet investerte i beskyttelsen av pasientenes data hvis sensitiv informasjon ble stående utsatt i så lang tid.

Inmediata Health krysset også 1 million bruddrekorder

Som du ser, viser vi de verste bruddene på helsevesenet i 2019 etter antall poster som ble brutt i henhold til rapporter. Det ble rapportert i mai at datainnbruddet i Inmediata Health berørte 1,56 millioner pasienter etter at noen medisinske og personlige opplysninger om dem ble stående utsatt, og det er det siste bruddet som traff 1 million-merket i 2019. Cyber-angripere klarte å få hendene på pasientenes informasjon på grunn av konfigurasjonsfeilen på et nettsted som er satt opp av selskapet. Denne feilen tillot søkemotorer å indeksere sider som ble brukt av Inmediata og få tilgang til pasientenes fulle navn, adresser, fødselsdatoer og lignende privat informasjon. Når det er sagt, på tidspunktet for rapporten, var det ukjent om noen hadde kopiert de utsatte dataene eller ikke. Dessverre er det ikke alt. Da selskapet oppdaget hendelsen i januar 2019, ble det kompromitterte nettstedet tatt ned, og de berørte pasientene begynte å motta brev der de informerte om et potensielt datainnbrudd. Sjokkerende rapporterte pasienter at de mottok brev adressert til andre pasienter, noe som ytterligere kompromitterte deres privatliv.

HIPAA-analytikere avslørte noen sjokkerende statistikker

HIPAA, eller Health Insurance Portability and Accountability Act, ble opprettet i 1996, og den håndheves av det amerikanske departementet for helse og menneskelige tjenester (HHS). Analytikerne på hipaajournal.com fortsetter å informere pasienter i USA om personvernproblemene som dukker opp, og mens vi fortsatt venter på desember-rapporten, avslører rapporten om dataovertredelse fra november ganske mange interessante detaljer. I følge det var oktober 2019 den verste måneden for brudd på helsevesenet på rekord. Videre ble 600.877 helseposter registrert, avslørt eller stjålet i november. Dessuten er det nå klart at 2019 ikke vil være det verste året for helsetilsyn i løpet av de siste 5 årene. I 2015 ble et sjokkerende antall på 114.306.776 poster brutt. Fra januar til november 2019 ble 38.978.154 poster brutt. Dette kan se ut som en betydelig nedgang, men når vi ser på antall misligholdte poster i 2016, 2017 og 2018, kan vi se at vi vil ha henholdsvis 2,3, 7,7 og 3,2 ganger mer brutt rekorder i 2019.

I november 2019 så vi brudd på data som rammer Ivy Rehab Network, Solara Medical Supplies, Saint Francis Medical Center, Southeastern Minnesota Oral & Maxillofacial Surgery, Elizabeth Family Health, Brooklyn Hospital Center, Utah Valley Eye Center, Loudoun Medical Group Comprehensive Sleep Care Center, Choice Cancer Care og Arizona Dental Insurance Services. I følge HIPAA skjedde de fleste brudd på grunn av hackinghendelser, færre ble muliggjort av uautorisert tilgang, og andre ble tilrettelagt av tyveri. I de fleste tilfeller ble datainnbrudd iverksatt ved hjelp av phishing-e-poster. Andre ble utført ved hjelp av stjålne enheter, ransomware, tyveri utført av ansatte, postfeil og kontorinnbrudd.

Bør vi slutte å stole på helsepersonell?

Fra et virtuelt sikkerhetssynspunkt kan det være tryggere å finne en ulisensiert “lege”, som kan utføre kontroller uten å samle inn personlig informasjon. Hvis du bryr deg om helsen din, er det verste du kan gjøre å stole på ulisensierte som praktiserer medisin. Til syvende og sist, selv om helseorganisasjoner i USA - og overalt ellers i verden - for den saks skyld ofte blir rammet av skadelig programvare og datainnbrudd, betyr ikke det nødvendigvis at personopplysningene dine er i ferd med å bli utsatt, stjålet og solgt. For det første muliggjør ikke alle datainnbrudd tilgang til private pasienters informasjon. For det andre kan ikke alle informasjonslekkasjer skade deg personlig. Når det er sagt, kan brudd på helsevesenet også være alvorlige, og nettkriminelle kan bruke informasjon om private pasienter for å fremstille medisinresepter eller betale for sine egne medisinske regninger. Dette kan påvirke ofrenes forsikringssatser og til og med sende dem inn i gjeld.

Du kan fortsette å lese her for å lære hvordan du beskytter medisinsk informasjon. Hovedpoenget er at du må være proaktiv når det gjelder din egen virtuelle sikkerhet, og det første du trenger å gjøre er å finne ut hvordan helseorganisasjonen du jobber med er utstyrt for å beskytte deg. Hvis du ikke stoler på helsepersonellet, kan det være på tide at du finner noen som vil gi deg bedre tjenester. Når det er sagt, faller ikke ansvaret for din egen sikkerhet bare på skuldrene til en helsepersonell. Du må også være forsiktig. Hvis du for eksempel avslører privat medisinsk informasjon på nettet, kan noen prøve å utpresse deg. Noen leverandører krever at pasienter oppretter online-profiler, og hvis du bruker svake passord for å logge på, kan det neste datainnbruddet være på deg. Hvis du ikke har noen anelse om hvordan du oppretter og administrerer sterke passord, sjekk ut denne artikkelen . Forhåpentligvis vil vi se en nedgang i brudd på privat informasjon i fremtiden, men foreløpig alt vi kan gjøre er å gjøre vårt beste.