اطلاعات بیمارستان شما نقض شده است و شما را بیمار می کند: اکنون چه باید کرد

شما نامه فرم را با ترس اسکن می کنید: بله، دوباره اتفاق افتاد. اطلاعات بیمارستان شما به خطر افتاده است. نامه ممکن است مشخص کند که چه چیزی مورد هدف قرار گرفته است (شماره امنیت اجتماعی، نام، آدرس، ایمیل)، اما همیشه با پیشنهاد یک سال رایگان در سیستم حفاظت از سرقت هویت و اطمینان از مهم بودن محرمانه بودن داده‌های شما به پایان می‌رسد.

به نظر می رسد بیمارستان ها هدفی هستند که برای ظالم ترین مهاجمان در نظر گرفته شده است. نه تنها این حملات آنلاین باعث نگرانی بیشتر بیمارانی می شود که ممکن است در حال حاضر با یک بحران بهداشتی مواجه شده باشند، بلکه این درست است که گاهی اوقات مجرمان سایبری اطلاعات بهداشتی دزدیده شده را برای باج نگه می دارند و به طور بالقوه درمان نجات دهنده را به تاخیر می اندازند.

مانند سایر حملات آنلاین، مجرمان سایبری به دنبال پول هستند و مبالغ زیادی برای مراقبت های بهداشتی سرمایه گذاری می شود.

مایکل برومر، معاون حل و فصل نقض اطلاعات جهانی و حفاظت از مصرف‌کننده در Credit Bureau می‌گوید: «یک زنجیره هویت در وب تاریک می‌تواند ارزش فروش مجدد آن را حدود 1000 دلار کند. “به همین دلیل است که هکرها (مراقبت های بهداشتی) و شرکت های بیمارستانی را هدف قرار می دهند.”

سرقت اطلاعات بیمارستانی در حال افزایش است

نقض داده ها در بیمارستان ها و به طور کلی تنظیمات مراقبت های بهداشتی به طور تصاعدی در حال رشد است. در میان مشتریان سازمانی Experian، مراقبت های بهداشتی 38 درصد از تخلفات ثبت شده در سال 2023 را به خود اختصاص داده است، و امسال حتی از این هم دورتر است.

برومر گفت: “محیط های بیمارستانی و پزشکی معمولا پراکنده هستند و ایمن کردن آنها بسیار دشوار است.” در زره و ابزارهای نفوذ در آن تعداد زیادی بریدگی وجود دارد، اگرچه بیشتر سوراخ ها ناشی از خطای انسانی است.

چشم انداز تهدید با گذشت زمان بهبود نمی یابد. و مجرمان سایبری حتی از پیشرفت های جدید در هوش مصنوعی استفاده می کنند.

برومر گفت: همه ما می دانیم که هکرها یک قدم جلوتر هستند. آنها از هوش مصنوعی بسیار بهتر از مدافعان استفاده می کنند.

اطلاعات شخصی، حتی عکس های خصوصی، قابل سرقت است

حملات باج‌افزاری – زمانی که مهاجمان دسترسی کاربران کامپیوتر به سیستم را مسدود می‌کنند یا تهدید می‌کنند که اطلاعات خصوصی را تا زمانی که به نحوی پرداخت نشوند، منتشر می‌کنند – تیتر خبرها را دراماتیک می‌کند. یک حمله باج‌افزاری در سال 2017 باعث شد رایانه‌ها از کار بیفتند و فعالیت‌ها در تعدادی از مؤسسات تحت مدیریت خدمات بهداشت ملی بریتانیا متوقف شود. همانطور که نیویورک تایمز اشاره می کند، پزشکان نمی توانستند به شرح حال بیمار دسترسی پیدا کنند، کارکنان کلینیک اورولوژی قادر به کار نبودند و بیماران اتاق اورژانس دور می شدند.

فوریه گذشته، یک حمله باج افزاری واحد فناوری Change Healthcare گروه UnitedHealth را که بخشی از بزرگترین سیستم پرداخت مراقبت های بهداشتی کشور است، تعطیل کرد. این حمله توانایی UnitedHealth را برای رسیدگی به مطالبات بیمه، ارسال درخواست‌های نسخه و موارد دیگر مختل کرد. UnitedHealth فاش کرد که اطلاعات شخصی بیماران به خطر افتاده و به مجرمان سایبری مستقر در روسیه باج داده شده است.

از اوایل ژوئن، مصرف‌کنندگان و ارائه‌دهندگان آسیب‌دیده حداقل 49 شکایت علیه UnitedHealth مطرح کرده بودند و ادعا می‌کردند که این شرکت در ایمن‌سازی اطلاعات بیماران و حفظ جریان پرداخت‌ها شکست خورده است.

امتناع از پرداخت باج ممکن است تصمیم درستی به نظر برسد تا حملات بعدی را تشویق نکنید. اما مجرمان سایبری ممکن است بلوف نکنند. نیویورک تایمز به یک حمله باج‌افزار وحشتناک علیه شبکه بهداشتی Lehigh Valley در پنسیلوانیا اشاره کرد که گمان می‌رود توسط همان مهاجمان آنلاینی انجام شده است که به Change Healthcare حمله کردند. هنگامی که شبکه بهداشت دره لیهی از پرداخت باج امتناع کرد، مهاجمان عکس های برهنه ای را که به سرقت برده بودند در اینترنت منتشر کردند که نشان می داد بیماران تحت درمان سرطان سینه هستند. سپس یکی از قربانیان از شبکه بهداشت شکایت کرد.

خوشبختانه، حملات باج افزار هنوز به اندازه سایر انواع حملات رایج نیستند. گزارشی از ژورنال HIPAA که اخبار مربوط به قانون قابل حمل و پاسخگویی بیمه سلامت را پوشش می دهد، نشان می دهد که نزدیک به 80 درصد از نقض اطلاعات در سال 2023 شامل باج افزار نبوده است.

اطلاعات حیاتی سلامت ممکن است تغییر کند

همانطور که ممکن است تصور کنید، نقض داده های مراقبت های بهداشتی اطلاعات حساس تری را نسبت به سایر نقض ها در معرض خطر قرار می دهد.

لاورنس پینگری، معاون فناوری‌ها و گرایش‌های نوظهور در شرکت تحقیقاتی و مشاوره‌ای گارتنر، می‌گوید: «به طور کلی، هر چیزی که به پزشک بگویید یا تحت درمان قرار می‌گیرید ممکن است مورد استفاده یا سوءاستفاده قرار گیرد.

اطلاعات قابل شناسایی شخصی مانند شماره تامین اجتماعی، تاریخ تولد و اطلاعات کارت اعتباری را می توان در صورت نقض، چه در فروشگاه بزرگ و چه با کارفرما، بازیابی کرد. تفاوت با نقض اطلاعات بهداشتی این است که اطلاعات دزدیده شده می تواند شامل کل پرونده پزشکی شما، جزئیات تشخیص، داروها و مکالمات خصوصی با پزشکان شما باشد. و مهاجمان بیمارستان می‌توانند با اصلاح داده‌های نمودار دردسر بیشتری ایجاد کنند: اگر گروه خون، آلرژی یا سایر داده‌های حیاتی فرد را تغییر دهند چه اتفاقی می‌افتد؟

هنگامی که سوابق پزشکی شما در وب تاریک فروخته می شود، مولفه سرقت هویت ممکن است شبیه چیزی باشد که در سایر موارد نقض داده پیدا می کنید. یک مهاجم آنلاین می‌تواند اطلاعات کافی برای باز کردن کارت‌های اعتباری جدید به نام شما یا ارائه ادعاهای نادرست با Medicare داشته باشد.

Pingree از این هم فراتر می رود و اشاره می کند که مجرمان سایبری می توانند از داده های شخصی شما برای بهبود اعتبار سایر حملات هدفمند مانند فیشینگ استفاده کنند.

چرا بیمارستان ها اهداف آسانی هستند؟

سیستم های بیمارستانی موجودیت های پیچیده ای با چند بردار خطر امنیت سایبری هستند. اغلب، این خطر متوجه یکی از بسیاری از فروشندگان و ارائه دهندگان خدمات شخص ثالث است که در عملکرد زیرساخت بیمارستان بزرگتر نقش دارند.

این همان چیزی است که در طول حمله سایبری باج افزار Change Healthcare رخ داد. پیچیدگی نقض مراقبت‌های بهداشتی بر تأثیرات آن تأثیر می‌گذارد و هم سازمان مراقبت‌های بهداشتی و هم بیماران آن به طور بالقوه تحت تأثیر قرار می‌گیرند.

برومر گفت: «حملات سایبری عواقبی برای مراقبت از بیمار دارد.

مانند همه چیزهای امنیت سایبری، داده های بیمارستان شما از ضعیف ترین حلقه در زنجیره فناوری بیمارستان در معرض خطر است و این زنجیره شامل تمام فروشندگان و شرکت هایی است که با بیمارستان کار می کنند.

پینگری گفت: «پیچیدگی شرکت های بزرگ یک مشکل بسیار بزرگ است.

شرکت های بزرگ سیستم های متنوع و قدیمی دارند، به این معنی که به روز نگه داشتن فناوری می تواند بسیار دشوار باشد. Pingree افزود: «(این) به این سادگی نیست که شما یا من فقط دکمه به‌روزرسانی را در ویندوز فشار می‌دهیم. به همین دلیل است که شما در نهایت با سیستم هایی مواجه می شوید که آمادگی کمتری برای مقابله با یک مهاجم یا تهدیدات مدرن دارند.

پس از نقض اطلاعات بیمارستان چه باید کرد؟

سیستم‌های بهداشتی بیمارستانی تابع قوانین HIPAA هستند که سازمان‌ها را ملزم می‌کند تا ظرف 60 روز پس از کشف تخلف، بیماران را مطلع کنند. HIPAA همچنین تأکید می‌کند که سازمان نوع اطلاعات مربوط به نقض، اقداماتی که باید برای محافظت از خود انجام دهید و آنچه سازمان برای محافظت از شما در برابر نقض‌های بعدی انجام می‌دهد را افشا می‌کند. در مورد تخلفات مربوط به بیش از 500 پرونده، سازمان ها باید هم به وزارت بهداشت و خدمات انسانی و هم به رسانه ها اطلاع دهند.

پرونده Change Healthcare آنقدر بی‌سابقه بود که دفتر HHS برای حقوق مدنی علناً تأیید کرد که این نهاد مراقبت‌های بهداشتی آسیب‌دیده است و نه ارائه‌دهندگان منفرد، که باید مسئول اطلاع‌رسانی به بیمار باشد.

هنگامی که این اعلان نقض داده را دریافت می کنید، باید بیشتر مراقب باشید و سوابق مالی و بیمه خود را بیشتر بررسی کنید.

پینگری گفت: “من تمام نمی شوم و خیلی نمی ترسم زیرا داده های سلامتی من نقض شده است، اما شخصیت های ناخوشایند قطعا می توانند از آن استفاده کنند.”

سه زمینه بزرگ نگرانی پس از نقض، سرقت هویت، تقلب بیمه، و تغییر در سوابق سلامتی شماست.

اما من حتی در بیمارستان نبودم!

حتی اگر اخیراً در بیمارستان بستری نشده‌اید، اگر قبلاً در آنجا تحت درمان قرار گرفته‌اید یا عضو یکی از سیستم‌های بهداشتی بیمارستانی بوده‌اید، احتمالاً اطلاعات قابل شناسایی شخصی مرتبط با یک سیستم بهداشتی بیمارستانی دارید.

یک بیمارستان بزرگتر ممکن است مالک کلینیک یا مطب کوچکی باشد که شما برای مراقبت های پزشکی دیگر، حتی جزئی، استفاده می کنید، به این معنی که اطلاعات شما بخشی از سیستم کامپیوتری آن شده است و در برابر نقض های آن آسیب پذیر است.

برای محافظت از خود چه اقداماتی باید انجام دهید؟

گارسیا گفت: برای شروع، این مورد را مانند هر مورد دیگری از سرقت مالی یا هویت رفتار کنید: رمزهای عبور خود را تغییر دهید، با هر سه آژانس رتبه‌بندی اعتباری چک کنید تا یک هشدار کلاهبرداری در حساب شما ارسال شود، و اعتبار کارت خود را مسدود کنید.

پینگری این توصیه را به اشتراک می گذارد: او گفت: “کاری فوری که همه باید انجام دهند این است که اعتبار شما را مسدود کند، درست به عنوان بهترین اقدام.” شما باید این کار را به طور جداگانه با سه دفتر اعتباری انجام دهید: Experian، Equifax و TransUnion.

برومر Experian پیشنهادهای بیشتری را ارائه می دهد، مانند پاسخ ندادن به تماس های تلفنی عجیب و غریب یا کلیک کردن روی پیوندهای ایمیل یا پیام متنی. او گفت: “گزارش اعتباری خود را به طور مرتب برای هر چیز عجیب و غریب، مانند سوالات جدید یا چیزی که نمی شناسید، بررسی کنید.”

و برومر هشدار داد که در حالی که برخی از مطب های پزشک ممکن است هنوز آن را درخواست کنند، “شما هرگز ملزم به ارائه شماره تامین اجتماعی خود نیستید.” همچنین در صورت امکان از احراز هویت دو مرحله ای یا گزینه های بدون رمز عبور استفاده کنید. او توصیه می کند از یک مدیر رمز عبور برای کمک به مدیریت رمزهای عبور خود استفاده کنید. (به انتخاب های CNET برای بهترین مدیر رمز عبور در سال 2024 مراجعه کنید.)

گارسیا همچنین پیشنهاد کرد از پیشنهادهای نظارت بر اعتبار استفاده کنید و اگر چنین پیشنهادی از بیمارستان یا کلینیک دریافت نکرده اید، خودتان برای خدمات ثبت نام کنید. (به راهنمای CNET در مورد بهترین خدمات نظارت بر سرقت هویت و محافظت در سال 2024 مراجعه کنید.)

چه چیز دیگری باید مراقب باشید؟

از آنجایی که سوابق پزشکی شما به خطر افتاده است، موارد دیگری وجود دارد که باید فراتر از آن چیزی که در یک پرونده سرقت هویت استاندارد به دنبال آن هستید، مراقب باشید. فعالیت‌های مشکوک یا غیرمجاز را در حساب‌هایی که برای پرداخت هزینه مراقبت‌های بهداشتی خود استفاده می‌کردید، مانند کارت‌های اعتباری یا حساب پس‌انداز مراقبت‌های بهداشتی، نظارت کنید. و مراقب ادعاها و صورت‌حساب‌های پزشکی نادرست باشید، زیرا اکنون هدف اصلی تقلب بیمه هستید.

گارسیا همچنین به شما پیشنهاد داد که سوابق سلامتی خود را بررسی کنید.

وی گفت: “من از هیچ موردی مطلع نشده ام که تعداد زیادی از پرونده های بهداشتی مخدوش یا تغییر یافته باشد، اما با این وجود، باید همیشه بررسی شود.”