Zgodnie z informacją z kwietnia dane wrażliwe „znacznej części” Amerykanów mogły zostać wykradzione w wyniku naruszenia bezpieczeństwa organu Change Healthcare, czyli jednej ze spółek publicznej służby zdrowia.
Atak na Change Healthcare, która przetwarza około 50% amerykańskich kartotek medycznych, był jednym z największych ataków ransomware na amerykańską opiekę zdrowotną i spowodował powszechne zakłócenia w płatnościach dla lekarzy i placówek służby zdrowia.
1 maja 2024 r. podczas zeznawania przed senacką komisją ds. finansów na Kapitolu dyrektor generalny UnitedHealth Andrew Witty oszacował, iż atak naraził dane jednej trzeciej obywateli USA.
Nie przesadzał. Wczoraj Change Healthcare zgłosiło liczbę 100 000 000 poszkodowanych osób na portalu naruszenia bezpieczeństwa Departamentu Zdrowia i Opieki Społecznej USA (HHS).
Biuro Praw Obywatelskich (OCR) w HHS potwierdziło, iż nadało priorytet sprawie i wszczęło dochodzenie w sprawie Change Healthcare i UnitedHealth Group, skupiając się na tym, czy doszło do naruszenia chronionych informacji medycznych (PHI), oraz na przestrzeganiu przez podmioty przepisów HIPAA. OCR zrobiło to ze względu na bezprecedensowy wpływ cyberataku na opiekę nad pacjentem i prywatność, która, jak wiemy, w USA jest bardzo istotna.
19 lipca 2024 r. Change Healthcare złożyło raport do OCR o naruszeniu, w którym zidentyfikowano 500 osób jako „przybliżoną liczbę osób dotkniętych”. Jest to minimalna liczba poszkodowanych skutkująca opublikowaniem naruszenia w HHS Breach Portal i prawdopodobnie została podana, ponieważ Change Healthcare musiało dopiero ustalić rzeczywistą liczbę dotkniętych użytkowników.
P.o. dyrektora Biura Praw Obywatelskich w Departamencie Zdrowia i Opieki Społecznej USA Melanie Fontes Rainer poinformowała, iż około 140 milionów osób zostało dotkniętych dużymi naruszeniami w 2023 r., w porównaniu z 51 milionami w 2022 r. A 2024 r. wygląda jeszcze gorzej: „W tym roku, w związku z naruszeniem bezpieczeństwa Change i naruszeniem bezpieczeństwa Ascension, spodziewamy się, iż liczba ta potencjalnie się podwoi lub wzrośnie”.
Osoby dotknięte problemem mogą odwiedzić specjalną stronę internetową changecybersupport.com, aby uzyskać więcej informacji lub zadzwonić pod numer 1-866-262-5342, by skorzystać z bezpłatnego monitoringu kredytowego i ochrony przed kradzieżą tożsamości. Takie działania powinny być standardem zapewnianym przez rząd przy tak ogromnych wyciekach. To się chwali.
Przy okazji warto przypomnieć, co należy zrobić, jeżeli podejrzewamy, iż padliśmy ofiarą wycieku bądź naruszenia naszych danych wrażliwych/osobowych:
- Sprawdź porady podmiotu, z którego dane wyciekły. Każde naruszenie jest inne, więc dowiedz się u źródła, co się stało, i postępuj zgodnie z wszelkimi konkretnymi poradami, które oferuje.
- Zmień hasła. Warto zmienić hasła do najbardziej wrażliwych usług, jak banki czy konta email.
- Zastrzeż numer PESEL. To warto zrobić zawsze, jeżeli obawiamy się kradzieży tożsamości.
- Unieważnij dowód osobisty oraz karty bankowe. jeżeli podejrzewamy najgorsze, warto wyrobić nowe dokumenty.
- Uważaj na fałszywe kontakty. Złodzieje mogą próbować się skontaktować, podszywając się pod sprzedawcę czy osobę z rodziny. Czasem będą chcieli wyłudzić dodatkowy składnik, którego brakuje im do zalogowania się do banku czy poczty.
