如何应对数字化转型健康信息被盗问题

由于健康数据继续成为黑客的青睐目标，以下是如何最大限度地减少泄露对你自己的健康记录造成的影响

数字化转型正在帮助全球医疗服务提供商提高成本效益，同时提高患者护理标准。但医疗记录数字化也带来了一些重大的网络风险。一旦您的数据存储在可通过互联网访问的 IT 系统中，它可能会意外泄露，或被恶意第三方甚至内部人员访问。

医疗数据是我们与组织共享的最敏感信息之一。这就是为什么 GDPR 将其列为“特殊类别”的原因——这意味着需要额外的保护。但没有一家组织能够 100% 防泄露。这意味着，了解在数据被泄露时该怎么做比以往任何时候都更加重要——以尽量减少影响。

最坏的情况

根据政府数据，2023 年前 10 个月，美国有超过 8800 万人的医疗数据被泄露。 如果将不受患者隐私法 HIPAA 监管的组织考虑在内，这个数字可能会更高。

近年来最值得注意的事件包括：

• Change Healthcare于 2024 年 2 月遭受了严重的勒索软件攻击。这家美国医疗保健提供商不仅遭遇了严重的运营中断，其攻击者 (Black Cat/ALPHV) 还声称在攻击期间窃取了 6TB 的数据。尽管该勒索软件组织在 Change Healthcare 支付了据称 2200 万美元的赎金后不久就关闭了，但负责此次攻击的勒索软件关联公司试图再次勒索该公司，威胁要将数据出售给出价最高的人。
• 心理健康初创公司 Cerebral 意外泄露了310 万人的敏感医疗信息。该公司去年承认，三年来，它一直通过配置错误的营销技术向“第三方平台”和“分包商”分享客户和用户数据。

这有什么危险？

可能存在风险的医疗数据包括：

• 医疗保险单号或类似号码
• 个人身份信息 (PII)，包括社会安全号码、家庭和电子邮件地址以及出生日期
• 关键医疗、保险和金融账户的密码
• 病史，包括治疗和处方
• 账单和付款信息，包括信用卡、借记卡和银行账户详细信息

威胁者可能会利用这些信息来刷爆您的信用卡账单、开通新的信用额度、访问和盗用您的银行账户，或冒充您获取昂贵的医疗服务和处方药。在美国，医疗记录甚至可能被用来提交虚假的纳税申报表以获取退税。如果您希望保密治疗或诊断的敏感信息，恶意行为者甚至可能会试图勒索您。

数据泄露后应采取的 8 个步骤

如果您发现自己处于最坏的情况，保持冷静很重要。系统地完成以下工作：

1. 查看通知

仔细阅读电子邮件，寻找任何可能存在诈骗的迹象。明显的迹象包括拼写和语法错误以及紧急要求您提供个人信息，也许会要求您“确认”您的详细信息。此外，当您将鼠标悬停在“发件人”地址上时，请注意发件人的电子邮件地址与合法公司不符，以及鼓励您关注的嵌入式可点击链接或要求您下载的附件。

2. 弄清楚到底发生了什么

下一个关键步骤是了解您的风险暴露。到底哪些信息被泄露了？该事件是意外数据泄露，还是恶意第三方访问并窃取了您的数据？可能访问了哪些类型的信息？是否加密？如果您的提供商尚未充分回答这些问题，请致电他们以获取采取下一步行动所需的信息。如果仍然不清楚，那么请做好最坏的打算。

3. 监控你的账户

如果恶意行为者访问了您的 PII 和医疗信息，他们可能会将其出售给欺诈者或尝试自己使用。无论哪种方式，监控可疑活动都是值得的，例如您未接受的医疗费用账单，或通知您已达到保险福利限额。如果财务信息被泄露，请密切关注银行账户和信用卡交易。许多组织提供免费的信用监控，当您的信用报告有任何可能表明欺诈的更新或更改时，它会通知您。

4. 报告可疑活动

毫无疑问，您应立即向相关提供商报告任何可疑活动或账单错误。最好以书面形式报告，并通过电子邮件/电话通知您的保险公司/提供商。

5.冻结你的信用卡和信用卡

根据被盗个人信息的不同，您可能需要激活信用冻结。这意味着债权人无法访问您的信用报告，因此无法批准以您的名义开设任何新的信用账户。这将防止威胁者以您的名义欠债。还可以考虑冻结和/或发行新银行卡。这通常可以通过您的银行应用程序轻松完成。

6. 更改密码

如果您的登录信息在入侵事件中被泄露，那么相关提供商应该自动重置它们。但如果没有，那么手动重置可能还是值得的——为了安心。这将阻止账户接管企图——特别是如果您通过双因素身份验证增强了安全性。

7.保持警惕

如果诈骗者掌握了您的个人和医疗信息，他们可能会尝试将其用于后续的网络钓鱼攻击。这些攻击可能通过电子邮件、短信甚至电话发起。其目的是利用窃取的信息为索取更多个人信息（如财务信息）增加合法性。保持警惕。如果威胁者试图通过威胁披露敏感的医疗信息来勒索您，请立即联系警方。

8.考虑采取法律行动

如果您的数据因医疗服务提供者的疏忽而泄露，您可能会获得某种形式的赔偿。这将取决于司法管辖区和相关的当地数据保护/隐私法，但法律专家应该能够建议是否可以提起个人或集体诉讼。

看不到尽头

鉴于医疗记录在网络犯罪地下世界中的价格是信用卡信息的20 倍，网络犯罪分子不太可 能在短期内停止针对医疗保健组织。他们通过勒索软件强行索要数百万美元的能力只会使该行业成为更具吸引力的目标。这就是为什么你需要做好最坏的准备，并确切知道如何做才能将对你的心理健康、隐私和财务的损害降到最低。