Отчет OCR за 2023 год выявил рекордные утечки данных в США

Обзор события

Управление по гражданским правам (OCR) при Министерстве здравоохранения и социальных служб США (HHS) представило Конгрессу свои годовые отчеты за 2023 календарный год. Эти отчеты рисуют тревожную картину соблюдения Закона о преемственности и подотчетности медицинского страхования (HIPAA) и утечек данных. Согласно отчету, 2023 год установил новый рекорд по количеству крупных утечек данных, затронувших более 500 человек. Всего было зарегистрировано 725 крупных утечек, в результате которых была раскрыта защищенная медицинская информация (PHI) почти 135 миллионов человек. Эта цифра представляет собой ошеломляющий рост на 141% числа пострадавших по сравнению с 2022 годом.

Утекшие данные и масштаб

Данные, скомпрометированные в результате утечек в сфере здравоохранения, включают в себя защищенную медицинскую информацию (PHI), которая является чрезвычайно конфиденциальной и личной. Эта информация, защищаемая в соответствии с HIPAA, включает частные сведения об истории болезни, диагнозах, лечении и страховой информации человека. Типы данных, раскрытых в результате утечек в 2023 году, обычно включают:

• Личная идентификационная информация: Полное имя, дата рождения, адрес, номер социального страхования.
• Медицинская информация: Диагнозы, записи о лечении, информация о рецептах, результаты лабораторных анализов и заметки врача.
• Информация о медицинском страховании: Номера полисов, номера групп и данные, связанные со страховыми случаями.
• Финансовая информация: Платежная информация, связанная с медицинскими услугами, а иногда и номера кредитных карт.

Масштаб этих утечек огромен. В отчете говорится о 725 крупных утечках; термин "крупная" используется для описания инцидентов, затронувших 500 и более человек. Однако самой тревожной статистикой является то, что общее число пострадавших достигло 134 834 163 человек. Это означает, что конфиденциальные медицинские данные значительной части населения США могли попасть в руки киберпреступников. Эта ситуация подчеркивает уязвимости в кибербезопасности сектора здравоохранения и растущие угрозы, с которыми он сталкивается.

Технический аспект атаки

В отчете OCR также подробно описаны основные причины утечек данных. Подавляющее большинство инцидентов в 2023 году было вызвано внешними кибератаками. Технически, основными факторами, стоящими за этими событиями, являются:

Хакерские атаки и ИТ-инциденты: Отчет показывает, что 80% из почти 135 миллионов человек, пострадавших в 2023 году, или около 108 миллионов человек, стали жертвами хакерских атак и ИТ-инцидентов. Эта категория включает активное проникновение киберпреступников в сети и системы медицинских организаций. Наиболее распространенные векторы атак включают атаки с использованием программ-вымогателей (ransomware), фишинговые кампании и эксплуатацию уязвимостей в программном обеспечении. При атаках с использованием программ-вымогателей злоумышленники шифруют данные в системах, делая их недоступными, а затем требуют выкуп за восстановление доступа или за то, чтобы не публиковать данные в сети.

Несанкционированный доступ и раскрытие: Второй по распространенности причиной является несанкционированный доступ или раскрытие информации. Инциденты этого типа часто являются внутренними. Например, сотрудник, просматривающий записи пациентов, к которым у него нет доступа, или случайная отправка конфиденциальных данных не тому получателю по электронной почте. Хотя такие инциденты происходят чаще, они обычно затрагивают меньшее количество людей по сравнению с крупномасштабными кибератаками.

В отчете указано, что сетевые серверы были наиболее частым местом утечки данных. Это свидетельствует о том, что злоумышленники нацелены на центральные системы, где хранятся все данные организации, а не на отдельные компьютеры. Это объясняет, как одна успешная атака может скомпрометировать данные миллионов людей. Актуальные новости об утечках данных часто освещают именно такие крупномасштабные атаки на серверы.

Кто пострадал

Лица, пострадавшие от утечек данных, описанных в этом отчете, — это пациенты, которые в 2023 году получали услуги от различных поставщиков медицинских услуг, планов медицинского страхования или их деловых партнеров в США. Проще говоря, миллионы людей, живущих в США, которые получали медицинскую помощь, были застрахованы или пользовались какими-либо медицинскими услугами, потенциально пострадали. Жертвы — это не клиенты одной больницы или страховой компании, а пациенты и члены 725 различных организаций по всей стране. Таким образом, воздействие является широкомасштабным и не ограничивается конкретным географическим регионом или демографической группой.

Что вам следует делать

Трудно точно знать, были ли ваши данные скомпрометированы в одной из этих утечек. Согласно правилам HIPAA, пострадавшие лица должны быть уведомлены соответствующим медицинским учреждением. Однако в качестве общей меры предосторожности всем рекомендуется предпринять следующие шаги:

• Контролируйте выписки по счетам: Регулярно проверяйте выписки по своим банковским и кредитным картам, чтобы немедленно выявлять любые подозрительные транзакции.
• Проверяйте свои документы от страховой компании: Внимательно изучайте документы с разъяснением льгот (EOB) от вашей медицинской страховой компании. Заявки на медицинские услуги, которые вы не получали, могут быть признаком кражи медицинской личности.
• Остерегайтесь фишинговых атак: Киберпреступники могут использовать украденную личную информацию для отправки вам целевых фишинговых писем. Не переходите по ссылкам в подозрительных электронных письмах, запрашивающих личную информацию или пароли.
• Следите за своими кредитными отчетами: Регулярно проверяйте свои кредитные отчеты в трех основных кредитных бюро (Equifax, Experian, TransUnion) на предмет незнакомых счетов, открытых на ваше имя. Рассмотрите возможность установки заморозки кредитной истории при необходимости.

Заявление организации

В данном случае "организацией" является регуляторный и правоприменительный орган — Управление по гражданским правам (OCR). В своем отчете OCR прозрачно изложило ситуацию и предоставило информацию о своей деятельности по обеспечению соблюдения HIPAA. OCR заявило, что в 2023 году получило 34 747 новых жалоб, связанных с нарушениями HIPAA, и разрешило в общей сложности 34 879 жалоб, включая перенесенные с предыдущих лет. 98% этих жалоб были разрешены путем добровольного соблюдения требований организациями, без необходимости формального расследования.

Кроме того, в 2023 году OCR провело 19 правоприменительных действий в отношении HIPAA, в результате которых были наложены финансовые штрафы на общую сумму 4 176 500 долларов. В отчете также упоминается, что в соответствии с Законом HITECH часть этих собранных штрафов планируется в будущем распределить среди жертв утечек данных, хотя этот механизм еще не полностью реализован. Отчет OCR направлен на то, чтобы подчеркнуть серьезность ситуации, а также продемонстрировать, что его механизмы надзора и правоприменения действуют.

Kaynak

https://www.hipaajournal.com/ocr-reports-congress-hipaa-compliance-data-breaches-2023/