في الآونة الأخيرة ، أبلغت Ascension Michigan المرضى أن فردًا غير مصرح له كان قادرًا على الوصول إلى نظام السجل الصحي الإلكتروني للشركة ، مما أدى إلى اختراق معلومات التعريف الشخصية (PII). اكتشف Ascension Michigan "نشاطًا مشبوهًا" في السجل الصحي الإلكتروني للمنظمة (EHR) ، وفي 30 نوفمبر ، كشف تحقيق نظام المستشفى أن فردًا غير مصرح له قد تمكن من الوصول بشكل غير لائق إلى بيانات المريض.

وقع خرق السجل الصحي الإلكتروني بين 15 أكتوبر / تشرين الأول 2015 و 8 سبتمبر / أيلول 2021 ، بحسب إشعار Ascension Michigan بحادث يتضمن معلومات المريض. إلى مراجعة مستشفى بيكر، تم الكشف عن بيانات تخص 27,177 مريضا.

على الرغم من أن المعلومات التي تم الوصول إليها قد لا تكون متسقة عبر جميع المرضى ، فإن المنظمة الصحية تشير إلى أن بعض عناصر البيانات المتأثرة يمكن أن تشمل:

1. الاسم بالكامل
2. تاريخ الميلاد
3. عناوين)
4. عناوين البريد الإلكتروني)
5. أرقام الهواتف)
6. معلومات التأمين الصحي
7. رقم معرف التأمين الصحي والناقل ،
8. مواعيد الخدمات
9. تشخيص
10. المعلومات المتعلقة بالعلاج
11. رقم الحماية الاجتماعية

• وزارة الصحة والخدمات الإنسانية الأمريكية مكتب الحقوق المدنية تحقق حاليًا في خرق البيانات.

ما هو Ascension Michigan؟

Ascension Michigan، Inc. ، هي شركة مقرها في إيست لانسينغ ، ميشيغان. نظام مستشفى موسع ، يضم الكيان نظام سانت جون بروفيدنس الصحي السابق (مع 18,000 موظف و 2,033 سريرًا مرخصًا) ؛ نظام سانت جون الصحي ؛ والعديد من المستشفيات ومنشآت الرعاية الصحية الأخرى.

الشركة هي شركة تابعة لـ Ascension Health ومقرها سانت لويس ، وهو نظام رعاية صحية كاثوليكي وطني تأسست في 1999. في عام تأسيسها ، أدارت المنظمة مستشفيات ومرافق رعاية في 15 ولاية ومقاطعة كولومبيا ووظفت 87,000 موظف. اليوم، صحة الصعود لديها أكثر من 26,000 موقع رعاية في 19 ولاية ومقاطعة كولومبيا - 142 مستشفى وأكثر من 40 من مرافق رعاية كبار السن. توظف الشركة 150,000 موظف وتدير أكثر من 28,000 سرير.

في عام 2001 ، أسست Ascension Health شركة Ascension Health Ventures للاستثمار في الأجهزة والتكنولوجيا الطبية والرعاية الصحية.

في عام 2014 ، أنشأت المنظمة Ascension Senior Living. مع أكثر من 30 منشأة في 11 ولاية (ومقاطعة كولومبيا) ، فهي واحدة من أكبر مقدمي خدمات المعيشة غير الربحيين في البلاد. في نفس العام ، أنشأ Ascension Ascension At Home ، والذي يقدم خدمات ما بعد الحادة مثل رعاية المسنين والعلاج بالتسريب والرعاية المنزلية.

مرافق Ascension Michigan

وفقًا لموقع Ascension Michigan الإلكتروني ، فإن ذراع Ascension Health في ميتشجان يعمل في حوالي 16 "موقعًا للرعاية" ، بما في ذلك:

1. مستشفى Ascension Borgess Allegan
2. مستشفى أسنسيون بورجيس
3. مستشفى أسنسيون بورجيس لي
4. مستشفى أسنسيون بورجيس بيب
5. مركز أسنسيون برايتون للتعافي
6. مستشفى أسنسيون جينيسيس
7. مستشفى Ascension Macomb-Oakland ، حرم Madison Heights الجامعي
8. مستشفى Ascension Macomb-Oakland ، حرم Warren
9. مستشفى أسنسيون بروفيدنس ، حرم نوفي الجامعي
10. مستشفى أسنسيون بروفيدنس ، حرم ساوثفيلد
11. مستشفى أسنسيون بروفيدنس روتشستر
12. مستشفى منطقة نهر أسنسيون
13. مستشفى أسنسيون سانت جون
14. مستشفى اسنسيون سانت جوزيف
15. مستشفى أسنسيون سانت ماري
16. مستشفى أسنسيون ستانديش

ماذا يحدث بعد خرق البيانات؟

على الرغم من أي تدابير بعد الحادث اتخذتها Ascension Michigan أو استمرت في تنفيذها ، فإن العجلات نحو سرقة الهوية تتحرك بالفعل.

يزداد خطر سرقة الهوية في أي وقت يفضح فيه خرق أمني معلومات تحديد الهوية الشخصية. نظرًا لأن الأمر قد يستغرق سنوات قبل أن يدرك الضحية أن هويته قد سُرقت ، فإن إساءة استخدام هويته قد أضر بالفعل بتصنيفه الائتماني وسمعته.

يمكن لصوص البيانات الاحتفاظ بمعلومات تحديد الهوية الشخصية المسروقة لمدة عام - أو أكثر - قبل استخدام المعلومات لارتكاب سرقة الهوية ، وفقًا لـ مكتب محاسبة الحكومة الأمريكية. بمجرد استخدام البيانات عبر الإنترنت أو بيعها ، قد تستمر الآثار الضارة من الاستخدام المستمر إلى أجل غير مسمى. يمكن لمعلومات التعريف الشخصية أن تعيش لعدة سنوات في "السوق الإلكترونية السوداء" باعتبارها سلعة مطلوبة بشدة.

تشكل عناصر الوقت هذه تحديًا في تحديد النطاق الكامل للضرر الذي يعاني منه شخص ما عند سرقة بياناته الشخصية في خرق للبيانات. في عام 2012 ، تمكن المتسللون من الوصول إلى كلمات مرور مستخدمي LinkedIn. لقد مرت أربع سنوات قبل أن ينشر المجرمون مجموعات البريد الإلكتروني وكلمات المرور المسروقة.

ماذا يمكن أن يعني هذا لمرضى الصعود ميتشيغان

يمكن أن يعاني مرضى Ascension Michigan الذين تم الوصول إلى معلومات التعريف الشخصية الخاصة بهم بشكل جيد للغاية نفس النوع من التأخير في إساءة استخدام بياناتهم. قد يؤدي هذا التأخير إلى تعكير المسار ويؤدي إلى إلحاق ضرر أكبر بالضحايا. عندما تصل البيانات الشخصية للضحية إلى السوق ، يبدأ العمل الحقيقي لإصلاح الائتمان والسمعة التالفة. في المتوسط ​​، يستغرق الأمر حوالي 200 ساعة عمل وفترة زمنية تصل إلى ستة أشهر للتعافي ، وفقًا لـ اكسبريان.

يمكن لبعض الضحايا الذين تم استخدام بياناتهم المسروقة لتقديم ضرائب ، أو تلقي المبالغ المستردة ، أو فتح حسابات مالية ، أو الاقتراض ، أو الحصول على الخدمات الطبية ، أو غيرها من التطبيقات الأكثر تعقيدًا ، قضاء سنوات في إيقاف الاحتيال وعكس الأضرار. طوال الوقت ، يعيش هؤلاء الأفراد في حالة من القلق من معرفة أن معلومات تحديد الهوية الشخصية الخاصة بهم تطفو في الفضاء السيبراني ، معرضة لسوء الاستخدام ، دون أي وسيلة لمعرفة الثمن الذي سيتعين عليهم دفعه في يوم من الأيام مقابل هذا الانتهاك الشخصي.

ما يجب أن تعرفه عن سرقة الهوية

وفقًا لمكتب إحصاءات العدل ' المسح الوطني لضحايا الجرائم (NCVS)، تحدث ثلاث حالات لسرقة الهوية عند وقوع أي من الحوادث الثلاثة:

1. يوجد استخدام غير مصرح به أو محاولة استخدام حساب موجود.
2. يوجد استخدام غير مصرح به أو محاولة استخدام للمعلومات الشخصية لفتح حساب جديد.
3. هناك إساءة استخدام للمعلومات الشخصية لغرض احتيالي.

تؤثر هذه الجرائم على أشخاص أكثر مما قد تدركه. في الواقع ، في عام 2018 ، أفاد تسعة بالمائة من الأشخاص الذين يبلغون من العمر 16 عامًا أو أكثر بأنهم تعرضوا لسرقة الهوية ، وفقًا لـ NCVS ' ملحق سرقة الهوية (إنه). عانى تسعون في المائة من ضحايا سرقة الهوية من آثار إساءة استخدام أو محاولة إساءة استخدام حساب مصرفي أو بطاقة ائتمان واحدة على الأقل ، وفقًا لتقارير ITS. في عام 2018 ، كلفت سرقة الهوية الأمريكيين ما مجموعه 15.1 مليار دولار.

ماذا يفعل لصوص الهوية بمعلومات تحديد الهوية الشخصية المسروقة؟

و2021 لجنة التجارة الفيدرالية (FTC) حدد التقرير الطرق المتعددة التي يستخدم بها المجرمون البيانات الشخصية التي يستولون عليها في خرق البيانات. النتائج الخمس الأولى في الصورة أدناه.

المصدر لجنة التجارة الفيدرالية (FTC)

في محاولة لنقل الاتجاه المتزايد وتأثير سرقة الهوية بشكل أكثر وضوحًا ، استخدمت لجنة التجارة الفيدرالية البيانات اعتبارًا من ديسمبر 2021 (تم التحديث في فبراير 2022) لإنشاء ما يلي مخططا بيانيا للمعلومات. إنه يمثل المعلومات التي تم جمعها من التقارير من الأشخاص الذين اتصلوا بمركز اتصال FTC أو انتقلوا عبر الإنترنت للإبلاغ عن حوادث سرقة الهوية.

لا ينبغي أن يكون مفاجئًا أن عدد حوادث سرقة الهوية في تزايد مستمر. نشر مركز أبحاث سرقة الهوية (ITRC) تقريره تقرير خرق البيانات السنوي، مع البيانات التي تظهر تفاقم الجريمة في عام 2021. كان هذا عامًا قياسيًا لخروقات البيانات ، مع 1,862 حادث قرصنة. ويمثل هذا زيادة بنسبة 68 في المائة عن العام السابق وزيادة بنسبة 23 في المائة عن الرقم القياسي السابق البالغ 1,506 خرقاً للبيانات. أفاد مركز تكنولوجيا المعلومات والاتصالات أن هذه الحوادث أثرت على 294 مليون فرد.

فهم معلومات التعريف الشخصية (PII)

عندما يتحدث شخص ما عن معلومات تحديد الهوية الشخصية ، فإنهم يتحدثون عن مجموعة من أنواع البيانات التي يمكن أن يستخدمها الشخص لاستنتاج هوية شخص آخر. بحسب ال وزارة العمل الأمريكية (DOL) ، يمكن تصنيف هذا النوع من المعلومات إلى فئتين.

البيانات التي تحدد هوية الشخص بشكل مباشر

تتضمن أمثلة أنواع البيانات التي يمكن استخدامها بمفردها لتحديد هوية الفرد ما يلي:

1. الاسم
2. رقم الحماية الاجتماعية
3. العنوان
4. البريد الإلكتروني
5. رقم الهاتف
6. رموز أو أرقام تعريف أخرى

البيانات التي يتم دمجها مع البيانات الأخرى لتحديد هوية الشخص

الأنواع الأخرى من المعلومات الشخصية لا تحدد هوية الشخص بشكل فريد. بدلاً من ذلك ، فهي عبارة عن واصفات تُستخدم مع واصفات وأنواع بيانات أخرى لتحديد الأفراد. الامثله تشمل:

1. تاريخ الميلاد
2. سباق
3. مؤشر جغرافي
4. النوع

المستندات (الإلكترونية أو الورقية أو غيرها من أشكال الوسائط) التي تسمح بالاتصال بفرد (ماديًا أو عبر الإنترنت) تشكل أيضًا معلومات تحديد الهوية الشخصية ، وفقًا لوزارة العمل.

معلومات تحديد الهوية الشخصية لها قيمة نقدية

إن إدراك أن PII لها قيمة نقدية حقيقية ليس بالأمر الجديد. في عام 2009 ، قام العلماء في مجلة ريتشموند للقانون والتكنولوجيا نشر ورقة ، اتجاه خصوصية الشركة: "قيمة" معلومات التعريف الشخصية ("PII") تساوي "قيمة" الأصول الماليةالتي سلطت الضوء على هذه العملة الناشئة.

وفقًا لمؤلفي الورقة ، أصبحت شركة Corporate America تعتمد بشكل متزايد على الاستخدام الإلكتروني وقد أعادت PII تشكيلها باعتبارها "سلعة تتاجر بها الشركات وتبيعها. كتب مؤلفو الورقة: "معلومات التعريف الشخصية ، التي تحصل عليها الشركات بتكلفة قليلة ، لها قيمة قابلة للقياس الكمي تصل بسرعة إلى مستوى مشابه لقيمة الأصول المالية التقليدية".

ليس لديك فكرة عما تستحقه

سابق لجنة التجارة الاتحادية أضافت مفوضة ("FTC") ، باميلا جونز هاربور ، ملاحظاتها الخاصة إلى ظهور معلومات التعريف الشخصية كشكل جديد من أشكال العملة ، مع مجموعات بيانات أكبر مثل تلك التي ترعاها Ascension Michigan والتي تقدم أكبر إمكانات ربح. قال المرفأ:

يجب معاملة المعلومات الحساسة والمميزة للهوية الشخصية للمستهلك مثل معاملة البنوك لأموال المستهلك. تحتفظ البنوك بأموالنا في حساب توفير أو حساب جاري ... لكن الأموال ملكنا…. لدينا مطالبات معينة وحقوق توقع في المال ، على الرغم من أنه ليس في أيدينا ماديًا وأن كيانًا آخر "يمتلكه".

وأشار المفوض أيضًا إلى أن معظم المستهلكين يفتقرون إلى فهم حقيقي للأحجام والأنواع المذهلة من البيانات الشخصية التي تجمعها الشركات. في المقابل ، لا يدرك المستهلكون قيمة معلومات تحديد الهوية الشخصية الخاصة بهم. نظرًا لأن الشركات أصبحت أكثر شفافية بشأن هذه القيمة - حيث تقدم بعض الشركات للعملاء خيار بيع بياناتهم للمعلنين وأطراف ثالثة أخرى - فقد تطور بشكل طبيعي سوق جديد لبيع وشراء معلومات تحديد الهوية الشخصية.

إرفاق قيم الدولار بأنواع البيانات

في عام 2017 ، وصل المتسللون إلى وكالة تقارير الائتمان الضخمة Equifax

مجلة PCتابع القصة وساعد القراء على فهم النتيجة المحتملة لهذا الخرق الهائل للبيانات. نشر المحررون مقالاً يسلط الضوء على قيمة هويات القراء على شبكة الويب المظلمة. وفقًا لمؤلفي المقالة ، فإن الأشخاص الحاصلين على درجات ائتمانية عالية يقدمون معلومات تحديد الهوية الشخصية الأكثر ربحًا. يمكن بيع أرقام الضمان الاجتماعي والأسماء الكاملة وتواريخ الميلاد مقابل 60 إلى 80 دولارًا.  

فريق مباحث السلامة للأمن السيبراني نشرت معلومات مماثلة في الآونة الأخيرة. حددت المجموعات عدة أشكال مميزة لمعلومات تحديد الهوية الشخصية المستخدمة في إنشاء هوية جديدة ، إلى جانب القيم الخاصة بكل منها:

1. جواز سفر: من $ 710
2. شهادة الميلاد: من $ 240
3. الهوية / رخصة القيادة: من $ 200
4. رقم / بطاقة الضمان الاجتماعي: $ $-2 5

قال محلل استخبارات مجلة PC يقول الكتاب أن هذه الأنواع من معلومات تحديد الهوية الشخصية تأتي عادةً إلى السوق نتيجة لجهود القرصنة على أجهزة الكمبيوتر. نظرًا لحجم المعلومات الشخصية التي تجمعها المدارس والمستشفيات ، أصبحت هذه الأنواع من المؤسسات مصادر مفضلة لهذه البيانات الشخصية.

ما هي خياراتك القانونية في حالة اختراق بياناتك؟

من منظور العدالة الجنائية ، يعمل المدعون الفيدراليون مع مكتب التحقيقات الفدراليأطلقت حملة الخدمة السرية للولايات المتحدةأطلقت حملة الولايات المتحدة خدمة التفتيش البريدي، وغيرها من وكالات التحقيق الفيدرالية لملاحقة قضايا الاحتيال وسرقة الهوية.

يمكن للضحايا أيضًا السعي لتحقيق العدالة والقتال لاسترداد خسائرهم المالية من خلال رفع دعاوى مدنية ضد الكيان المخترق الذي يضم معلومات تحديد الهوية الشخصية. يمكن أن يتخذ هذا السعي شكل دعوى قضائية جماعية.

الأساس القانوني للدعوى

إذا تلقيت إشعارًا بأنه قد يكون تم اختراق معلومات تحديد الهوية الشخصية الخاصة بك ، فقد يكون لك الحق في رفع دعوى قضائية لاسترداد الأضرار الناجمة عن فشل Ascension في الحفاظ على تدابير أمنية معقولة لحماية المعلومات الحساسة.

يمكن لمحامي الدعوى الجماعية أن يعملوا نيابة عن أعضاء الفصل لطلب التعويضات الفعلية والتعويضات الزجرية ، بما في ذلك الإعفاء الزجري العام والإعفاء التوضيحي ، بالإضافة إلى أشكال أخرى من الإغاثة حسبما تراه المحكمة مناسبًا.

ماذا تفعل إذا أدى خرق بيانات Ascension Michigan إلى كشف معلوماتك الشخصية

عندما يتم الكشف عن معلومات تحديد الهوية الشخصية الخاصة بك من خلال خرق البيانات ، فإنه يعرضك لخطر كبير يتمثل في سرقة الهوية - والتي يمكن أن تلحق الضرر بائتمانك واسمك وتتطلب جهدًا كبيرًا لإصلاحها.

إذا أرسل لك Ascension Michigan - أو أي كيان آخر - خطابًا لإعلامك بأن نظامهم قد تم اختراقه وتم الكشف عن معلومات تحديد الهوية الشخصية الخاصة بك ، ففكر في اللجوء إلى المشاركة في دعوى جماعية.