Perché gli hacker vogliono le tue informazioni sanitarie. Le cartelle cliniche contengono informazioni personali che possono esporre i pazienti a rischi finanziari e medici. Le violazioni dei dati nelle organizzazioni sanitarie sono diventate comuni negli ultimi anni. Ma cosa vogliono gli hacker dalle tue informazioni sanitarie?
Di solito, gli hacker si introducono nelle reti dei provider in cerca di un riscatto, facendo cose come bloccare il provider dai suoi sistemi informatici o minacciare di pubblicare i suoi dati online. Ma cercano anche i dati dei pazienti.
Le cartelle cliniche contengono informazioni personali che gli hacker sono sempre ansiosi di impossessarsi, come indirizzi e numeri di carte di credito. Ma le cartelle contengono anche una serie di informazioni private sui pazienti, che vanno dai numeri delle polizze assicurative alle condizioni mediche ai farmaci, dati che consentono ai truffatori di truffare le compagnie assicurative e Medicare e Medicaid, esponendo i pazienti a un rischio finanziario e medico elevato.
“Forniscono agli hacker un quadro completo per commettere frodi assicurative, furti di identità o altre attività dannose in futuro”, afferma John Riggi, consulente nazionale per la sicurezza informatica e i rischi presso l’American Hospital Association, un’organizzazione di categoria che rappresenta il 90% degli ospedali negli Stati Uniti.
Inoltre, il furto di cartelle cliniche può avere un impatto più duraturo sulle vittime rispetto alle normali frodi finanziarie o al furto di identità, perché le informazioni in tali cartelle sono più difficili da rilevare e più difficili da correggere quando vengono utilizzate in modo improprio.
“Se la tua carta di credito viene compromessa, la tua banca ti avviserà, la annullerà e te ne invierà una nuova”, afferma Geetha Thamilarasu, professore associato di informatica e sistemi software presso la School of STEM presso l’Università di Washington Bothell. “Ma le tue cartelle cliniche hanno una lunga durata. Possono essere utilizzate in modo improprio senza essere rilevate per lunghi periodi di tempo, perché è più difficile identificare attività dannose. Ciò le rende molto preziose”.
Rubato e venduto
Secondo l’Ufficio per i diritti civili del Dipartimento della salute e dei servizi umani degli Stati Uniti, nel 2023 sono stati segnalati 725 incidenti di violazione dei dati che hanno esposto 500 o più cartelle cliniche, rispetto ai 720 del 2022. A febbraio, Change Healthcare ha segnalato un gigantesco hack che potrebbe aver colpito fino a un terzo della popolazione statunitense, secondo Andrew Witty, amministratore delegato della società madre UnitedHealth UNH -2,10% di diminuzione; triangolo rosso rivolto verso il basso.
Una volta rubata una cartella clinica, spesso finisce per essere venduta sul dark web, gli angoli nascosti di Internet dove avvengono transazioni illecite. Una cartella clinica individuale può essere venduta per $ 500 a $ 1.000, afferma Thamilarasu, rispetto ai $ 1 o $ 2 che i numeri di previdenza sociale fruttano.
Con le informazioni personali identificabili e le cartelle cliniche di un paziente, “un malintenzionato può accedere all’account di un individuo, falsificare la sua identità e quindi monetizzare tali informazioni in vari modi”, afferma Rahul Telang, professore di sistemi informativi presso l’Heinz College della Carnegie Mellon University.
I criminali potrebbero, ad esempio, presentare domanda per prestazioni assicurative e rimborsi da assicuratori privati o Medicaid e Medicare, afferma Telang, e far inviare quegli assegni al nuovo indirizzo. Possono anche far sì che il sistema generi prescrizioni illecite per dispositivi sanitari o sostanze controllate, che hanno entrambi un alto valore di rivendita, afferma.
Queste frodi potrebbero richiedere mesi o anni per essere scoperte dal paziente medio e dall’assicuratore, e potrebbero portare a una serie di problemi. Gli assicuratori potrebbero aumentare i premi delle persone in base a precedenti attacchi informatici che causano alle compagnie assicurative costi ingenti per la correzione.
Questo tipo di truffa potrebbe non solo danneggiare le persone finanziariamente, ma anche causare ulteriori grattacapi in futuro. Alle vittime di furto di identità medica potrebbe essere negata la copertura in futuro perché i loro dati mostrano che hanno una condizione che in realtà non hanno.
Oppure potrebbe essere detto loro che hanno raggiunto il limite dei benefici. Correggere le informazioni false è difficile, poiché gli operatori sanitari e gli assicuratori hanno spesso sistemi contorti per modificare i dati, e questi sistemi per lo più non “parlano” tra loro.
I criminali potrebbero anche usare i dati dei pazienti per fingere di essere operatori sanitari e lasciare i pazienti in debito con denaro. Ad esempio, i truffatori potrebbero spacciarsi per un fornitore e fatturare alle compagnie assicurative dispositivi costosi e altri servizi medici rimborsabili, afferma Thamilarasu. Quindi le franchigie o i co-pagamenti per servizi mai resi arrivano ai pazienti, che potrebbero non riconoscerli come fraudolenti.
“I cattivi hanno capito che se mantengono la fatturazione al di sotto di un certo importo in dollari, possono passare inosservati per un bel po’ di tempo”, afferma Riggi.
Gli hacker sono anche noti per usare cartelle cliniche rubate per creare convincenti e-mail di spear phishing o telefonate o video chiamate, fingendosi legittimi operatori sanitari che chiedono ai pazienti di pagare una bolletta, di rivelare la propria password o di fornire ulteriori dati personali, affermano gli esperti. “Questa è un’area in cui l’intelligenza artificiale può moltiplicare rapidamente il numero di persone colpite dai cattivi e quanto possano essere subdoli quei messaggi mirati”, afferma Telang.
Un uso meno comune delle cartelle cliniche hackerate è il ricatto, afferma Riggi. Gli hacker potrebbero minacciare di rilasciare le cartelle cliniche di una persona a un datore di lavoro o al mondo intero se non pagano un riscatto. “Non vuoi che un’altra persona sappia se hai problemi di salute mentale o se sei incinta”, afferma Thamilarasu. “Non vuoi che quei dati siano là fuori”.
Nella maggior parte dei casi, i singoli pazienti non devono preoccuparsi che i truffatori vendano le loro cartelle cliniche rubate ad assicuratori o a venditori. L’Health Insurance Portability and Accountability Act consente ai broker di dati di acquistare e vendere determinate informazioni sanitarie dei pazienti, a condizione che le caratteristiche identificative dei pazienti siano rese anonime e rimangano segrete. Naturalmente, i dati dei criminali non soddisferanno tali linee guida.
“Le compagnie di assicurazione si troverebbero in molti guai legali”, afferma Riggi dell’AHA, “e i venditori possono trovare informazioni sui tuoi interessi e sulle tue pratiche di acquisto legalmente in base ai dati disponibili al pubblico e alla cronologia delle ricerche”.
Rimani vigile
Per prevenire le frodi, i pazienti dovrebbero adottare le stesse precauzioni con le loro informazioni mediche che prenderebbero con qualsiasi dato online sensibile. Dovrebbero usare l’autenticazione a più fattori per accedere alle cartelle cliniche, ad esempio, e non dovrebbero mai cliccare su link sospetti.
Le persone dovrebbero anche tenere d’occhio le loro fatture mediche con la stessa attenzione che avrebbero per le fatture delle carte di credito. La Federal Trade Commission afferma che le persone dovrebbero prestare attenzione ai segnali di avvertimento come ricevere fatture per servizi medici che non hanno ricevuto o essere informate dai loro piani sanitari che hanno raggiunto i limiti dei loro benefici.
Sebbene la vigilanza individuale sia importante, le riforme sistemiche sono fondamentali per affrontare le cause profonde delle violazioni dell’assistenza sanitaria, afferma Parham Eftekhari, fondatore e presidente dell’Institute for Critical Infrastructure Technology, un think tank senza scopo di lucro e apartitico.
Molte organizzazioni sanitarie utilizzano partner terzi, il che significa che le cartelle cliniche dei pazienti non vengono archiviate solo in ospedale, ma potenzialmente con decine di altri fornitori di servizi, afferma Eftekhari.
“Ciò offre maggiori possibilità che i dati vengano rubati a causa di lavoratori non malintenzionati con scarsa o nessuna formazione, o a causa di attività criminali. Ciò significa anche che gli ospedali si affidano alle misure di sicurezza dei loro partner, sulle quali hanno meno controllo”, afferma.
Oltre l’85% delle cartelle cliniche viene rubato da terze parti e da fornitori non ospedalieri, secondo l’analisi di Riggi.
Anche i legislatori hanno un ruolo da svolgere. Standard più rigorosi applicati all’intero settore sanitario, compresi i fornitori terzi, potrebbero motivare le organizzazioni sanitarie a investire in misure preventive anziché rispondere in modo reattivo dopo che si è verificata una violazione, afferma Eftekari.
“I legislatori devono anche garantire che le leggi volte a migliorare la sicurezza dei dati non aggiungano inavvertitamente complessità per quanto riguarda violazioni e minacce quando si tratta di condivisione di informazioni tra settore pubblico e privato”, afferma.
Inoltre, aggiunge Riggi, non tutti gli ospedali, come quelli che servono aree rurali e a basso reddito, hanno le risorse per conformarsi a normative sempre più severe. Per risolvere il problema pervasivo dell’hacking saranno necessarie soluzioni creative.
Ci sono alcuni segnali che le cose stanno migliorando. Per mantenere la fiducia dei clienti, negli ultimi anni gli ospedali hanno cercato duramente di bloccare le loro reti. “Gli ospedali hanno rafforzato i loro sistemi per rendere più difficile l’infiltrazione di soggetti esterni”, afferma Telang.
Possono farlo segmentando le reti, crittografando, abilitando l’autenticazione multifattoriale e implementando altre strategie di prevenzione della perdita di dati. “Stanno assumendo più personale IT, spendendo più soldi e formando tutto il personale”, afferma Telang. “E la situazione è migliorata”.
Lascia un commento