Miliony pacjentów dotknięte falą naruszeń danych w amerykańskiej ochronie zdrowia - Security Bez Tabu

Miliony pacjentów dotknięte falą naruszeń danych w amerykańskiej ochronie zdrowia

Cybersecurity news

Wprowadzenie do problemu / definicja

Sektor ochrony zdrowia od lat pozostaje jednym z głównych celów cyberprzestępców. Naruszenia danych w placówkach medycznych są szczególnie groźne, ponieważ obejmują nie tylko podstawowe dane osobowe, lecz także informacje medyczne, ubezpieczeniowe, finansowe, a czasem również dane biometryczne i poświadczenia dostępu.

Najnowsza seria zgłoszeń z USA pokazuje, że skala takich incydentów nadal rośnie. W kilku przypadkach liczba osób dotkniętych naruszeniem sięga setek tysięcy, a nawet milionów, co potwierdza, że branża healthcare pozostaje obszarem wysokiego ryzyka.

W skrócie

Do amerykańskiego federalnego rejestru naruszeń danych w ochronie zdrowia dopisano kilka dużych incydentów obejmujących organizacje medyczne. Największy przypadek dotyczy New York City Health and Hospitals Corporation i obejmuje około 1,8 mln osób.

  • Największe naruszenie objęło ok. 1,8 mln osób.
  • Wśród poszkodowanych podmiotów znalazły się również Erie Family Health Centers, Florida Physician Specialists, Coastal Carolina Health Care oraz Western Orthopaedics.
  • W jednym z incydentów pojawiły się istotne rozbieżności dotyczące liczby osób objętych wyciekiem.
  • Część ataków miała charakter długotrwały i obejmowała dostęp utrzymywany przez tygodnie lub miesiące.

Kontekst / historia

W Stanach Zjednoczonych duże naruszenia danych medycznych są raportowane do rejestru prowadzonego przez Department of Health and Human Services. Rejestr ten jest ważnym źródłem informacji o skali problemu, ale publikowane dane często pojawiają się z opóźnieniem względem momentu wykrycia incydentu.

To oznacza, że organizacje najpierw identyfikują obecność intruza, następnie prowadzą analizę kryminalistyczną i dopiero po ustaleniu zakresu zdarzenia publikują szczegóły. W praktyce prowadzi to do sytuacji, w której opinia publiczna poznaje pełną skalę naruszenia dopiero po wielu tygodniach lub miesiącach.

W opisywanych przypadkach część incydentów została ujawniona wcześniej, ale dopiero później doprecyzowano liczbę osób poszkodowanych oraz zakres przejętych danych. To typowy schemat dla sektora medycznego, gdzie analiza wpływu incydentu bywa złożona i czasochłonna.

Analiza techniczna

Największy incydent dotyczył New York City Health and Hospitals Corporation. Organizacja poinformowała, że nieautoryzowany dostęp wykryto 2 lutego 2026 r., a śledztwo wykazało obecność sprawców w środowisku od listopada 2025 r. do lutego 2026 r. przez zewnętrznego dostawcę. Taki scenariusz wskazuje na ryzyko związane z łańcuchem dostaw oraz zależność bezpieczeństwa organizacji od poziomu ochrony partnerów.

Zakres przejętych danych był bardzo szeroki. W zależności od incydentu obejmował m.in. imiona i nazwiska, numery telefonów, adresy e-mail, numery Social Security, dane z dokumentów tożsamości, informacje finansowe, dane ubezpieczeniowe, dane medyczne, a czasem także dane biometryczne oraz dane logowania do kont online.

Erie Family Health Centers wskazało na dostęp do sieci trwający od 10 grudnia 2025 r. do końca stycznia 2026 r. Z kolei Florida Physician Specialists informowało o dwudniowym dostępie intruzów do sieci w listopadzie 2025 r. Mniejsze, lecz nadal znaczące incydenty zgłosiły również Coastal Carolina Health Care i Western Orthopaedics, gdzie liczba osób objętych naruszeniem sięgała około 110 tys. w każdym przypadku.

Na szczególną uwagę zasługuje również przypadek Nacogdoches Memorial Hospital. W rejestrze pojawiła się liczba 2,5 mln osób, choć wcześniej informowano o około 250 tys. poszkodowanych. Tego typu rozbieżności mogą oznaczać korektę danych po rozszerzonej analizie, błąd raportowy albo problemy z klasyfikacją rekordów.

Warto też zauważyć, że żaden z opisanych incydentów nie został publicznie przypisany konkretnej grupie cyberprzestępczej. Nie zmniejsza to jednak ryzyka, ponieważ brak jawnego przypisania może oznaczać cichą monetyzację danych lub model działania niezwiązany z klasycznym ransomware.

Konsekwencje / ryzyko

Skutki takich naruszeń dla pacjentów są długofalowe. Ujawnione dane mogą zostać wykorzystane do kradzieży tożsamości, wyłudzeń finansowych, nadużyć ubezpieczeniowych, spear phishingu oraz przejmowania kont. W przypadku danych medycznych problem jest jeszcze poważniejszy, ponieważ historii leczenia, diagnoz czy informacji o zabiegach nie da się po prostu zmienić.

Dla organizacji medycznych oznacza to wysokie koszty dochodzenia powłamaniowego, obsługi prawnej, notyfikacji, wsparcia dla ofiar oraz presję regulacyjną. Dodatkowo naruszenia związane z dostawcami zewnętrznymi wymuszają przegląd umów, kontroli dostępu i procesów nadzoru nad partnerami.

Szczególnie niebezpieczne są przypadki, w których atakujący pozyskują jednocześnie dane osobowe, medyczne i poświadczenia. Taki zestaw zwiększa ryzyko dalszej eskalacji ataku, oszustw wieloetapowych oraz wtórnych kampanii wymierzonych zarówno w pacjentów, jak i pracowników placówek.

Rekomendacje

Organizacje z sektora healthcare powinny potraktować tę serię incydentów jako wyraźne ostrzeżenie. Kluczowe znaczenie ma wzmocnienie zabezpieczeń technicznych, ale również poprawa zarządzania ryzykiem stron trzecich i widoczności działań realizowanych przez partnerów.

  • Wdrożenie silnego MFA dla dostępu zdalnego, kont uprzywilejowanych i integracji zewnętrznych.
  • Przegląd relacji z dostawcami oraz formalna ocena ryzyka stron trzecich.
  • Segmentacja sieci i ograniczanie dostępu do systemów przetwarzających dane medyczne.
  • Monitorowanie tożsamości, ruchu lateralnego i nietypowych wzorców dostępu do danych.
  • Regularne testy detekcji oraz ćwiczenia planów reagowania na incydenty.
  • Szyfrowanie danych w spoczynku i w tranzycie oraz kontrola eksportu danych.
  • Rotacja poświadczeń i przegląd uprawnień po incydentach lub zmianach po stronie dostawców.
  • Centralizacja logów i korelacja zdarzeń w SOC lub w modelu MDR.

Równie ważne są procedury organizacyjne. Podmioty medyczne powinny posiadać gotowe procesy ustalania zakresu naruszenia, walidacji liczby rekordów, klasyfikacji danych i przygotowania komunikacji do pacjentów oraz regulatorów.

Podsumowanie

Najnowsze zgłoszenia z amerykańskiego sektora ochrony zdrowia potwierdzają, że naruszenia danych medycznych nadal osiągają bardzo dużą skalę. Szczególnie niepokojące są przypadki długotrwałego dostępu do środowiska oraz incydenty powiązane z dostawcami zewnętrznymi.

Dla branży healthcare to kolejny sygnał, że skuteczna ochrona danych pacjentów wymaga nie tylko klasycznych narzędzi bezpieczeństwa, ale także dojrzałego zarządzania tożsamością, partnerami biznesowymi i szybkim reagowaniem na incydenty.

Źródła

  1. SecurityWeek — https://www.securityweek.com/millions-impacted-across-several-us-healthcare-data-breaches/
  2. HHS OCR Breach Portal — https://ocrportal.hhs.gov/ocr/breach/breach_report.jsf
  3. NYC Health + Hospitals Data Breach Notice — https://www.nychealthandhospitals.org/data-breach/
  4. Erie Family Health Centers Data Incident Notice — https://www.eriefamilyhealth.org/notice-of-data-security-incident
  5. Florida Physician Specialists Incident Notice — https://floridaphysicians.com/notice-of-data-security-incident/