《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 2020美國醫(yī)療行業(yè)泄露數(shù)據(jù)超2900萬條,,黑客攻擊成主要威脅

2020美國醫(yī)療行業(yè)泄露數(shù)據(jù)超2900萬條,黑客攻擊成主要威脅

2021-01-29
來源:互聯(lián)網(wǎng)安全內(nèi)參

  根據(jù)美國衛(wèi)生與公共服務(wù)部(HHS)民權(quán)辦公室(OCR)披露的安全事件數(shù)據(jù)顯示,,過去一年醫(yī)療保健行業(yè)發(fā)生規(guī)模以上(500+條)數(shù)據(jù)泄露事件的數(shù)量創(chuàng)下了歷史新高,。

   2020年數(shù)據(jù)洞察

  涉及500條及以上記錄的上報(bào)醫(yī)療保健數(shù)據(jù)泄露事件多達(dá)642起,較上年增長(zhǎng)25%,。

  泄露的醫(yī)療記錄總計(jì)超過2900萬條,。

  規(guī)模最大的泄露事件影響超1000萬條記錄,有63起事件泄露超過10萬條記錄,。

  黑客/IT事件占數(shù)據(jù)泄露事件總量的67%,,泄露的記錄總量則占比92%。

  自2009年10月以來,,外泄的醫(yī)療保健記錄總量已達(dá)2.6678億條,,量級(jí)上已占當(dāng)前美國人口總數(shù)八成以上。

  2020年美國所有醫(yī)療保健機(jī)構(gòu)總共報(bào)告了642起規(guī)模以上數(shù)據(jù)泄露事件,,涉及機(jī)構(gòu)包括醫(yī)療保健服務(wù)商,、醫(yī)療保健計(jì)劃管理方、醫(yī)療保健結(jié)算公司以及其他業(yè)務(wù)伙伴,。稍微換算下,,平均每天上報(bào)1.76起,較破紀(jì)錄的2019年多出25%,。

  過去一年上報(bào)的數(shù)據(jù)泄露事件數(shù)量是2015年的2倍以上,,是2010年的3倍以上。

  2.png

  從泄露的醫(yī)療保健記錄總量來看,,2020年排名第三,。全年共有29,298,012條醫(yī)療記錄意外流出,這一數(shù)字比2019年減少了29.71%,。自2009年10月以來,,醫(yī)療保健行業(yè)總計(jì)上報(bào)3705起涉及記錄高于500條的數(shù)據(jù)泄露事件,外泄的醫(yī)療保健記錄總量則為2.6678億條,。

  3.png

  2020年規(guī)模最大的醫(yī)療保健數(shù)據(jù)泄露事件

  2020年規(guī)模最大的醫(yī)療保健數(shù)據(jù)泄露事件,,是針對(duì)云服務(wù)供應(yīng)商Blackbaud的勒索攻擊,。黑客并未公開獲取獲取或鎖定的醫(yī)療記錄數(shù)量,,但Blackbaud服務(wù)的100多家醫(yī)療保健客戶因此受到影響,至少10家有數(shù)百萬條記錄遭遇破壞,。由于各受影響實(shí)體分別上報(bào)了事件,,因此此次攻擊未被列入OCR違規(guī)門戶,。

  在部署勒索軟件之前,黑客竊取到大量關(guān)于客戶籌款及捐贈(zèng)者身份的數(shù)據(jù)庫,,其中包括姓名,、聯(lián)系方式、出生日期以及某些臨床信息,。受到影響的實(shí)體則包括Trinity Health(330萬條記錄),、Inova Health System(100萬條記錄)以及Northern Light Health Foundation(65萬7392條記錄)。

  總部位于佛羅里達(dá)州的商業(yè)合作伙伴MEDNAX Services有限公司是一家專為各下轄醫(yī)師執(zhí)業(yè)小組提供收入周期管理等服務(wù)的供應(yīng)商,。2020年,,MEDNAX遭遇全年規(guī)模最大的釣魚攻擊。黑客借此成功訪問了Office 365環(huán)境,,可能已經(jīng)掌握1670份個(gè)人ePHI,,具體包括社保號(hào)碼、駕照號(hào)碼以及健康保險(xiǎn)與財(cái)務(wù)信息,。

  Magellan Health同樣因網(wǎng)絡(luò)釣魚郵件引發(fā)上百萬記錄泄露,,最后又以勒索軟件攻擊收?qǐng)觥4舜芜`規(guī)事件影響到其他多家關(guān)聯(lián)實(shí)體,,患者信息可能因此外流,。

  Dental Care Alliance是一家牙科支持組織,覆蓋全美20個(gè)州的320多家附屬牙科診所,。由于系統(tǒng)遭受黑客攻擊,,超過100萬人的牙科診療記錄遭到竊取。

  2020年,,HIPAA覆蓋的各實(shí)體及業(yè)務(wù)伙伴共上報(bào)63起安全事件,,涉及的醫(yī)療記錄數(shù)量超過10萬條。

6.png

  2020年醫(yī)療保健數(shù)據(jù)泄露事件原因分析

  黑客與其他IT事件在2020年的醫(yī)療保健數(shù)據(jù)泄露報(bào)告中占最大比例,。這一年中,,有429起上報(bào)事件與黑客/IT事件相關(guān),占全部泄露事件的66.82%,,涉及的泄露記錄數(shù)量占比更高達(dá)91.99%,。黑客與IT事件包括安全漏洞利用與網(wǎng)絡(luò)釣魚、惡意軟件以及勒索軟件攻擊,。最近幾個(gè)月來,,勒索軟件攻擊的發(fā)生頻率仍在逐步提升。

8.png

  Check Point發(fā)布的最新報(bào)告顯示,,去年10月針對(duì)醫(yī)療保健服務(wù)商的勒索軟件攻擊增長(zhǎng)了71%,。而在2020年的最后兩個(gè)月中,醫(yī)療保健網(wǎng)絡(luò)攻擊進(jìn)一步增長(zhǎng)45%。此外,,這一年內(nèi)影響最大,、破壞力最強(qiáng)的攻擊活動(dòng)普遍與勒索軟件有關(guān)。在大多數(shù)情況下,,醫(yī)療保健機(jī)構(gòu)的系統(tǒng)將癱瘓數(shù)周,,并給患者服務(wù)帶來嚴(yán)重影響。

  在2020年的新冠疫情沖擊下,,醫(yī)療保健行業(yè)長(zhǎng)期成為勒索攻擊的重災(zāi)區(qū),。根據(jù)Emsisoft公布的數(shù)據(jù),2020年美國至少有560家醫(yī)療機(jī)構(gòu)受到勒索軟件攻擊的影響,,相關(guān)攻擊事件共80起,。

  未授權(quán)訪問/披露事件占全年違規(guī)事件的22.27%,涉及的泄露記錄占比則為2.69%,。此類事件包括內(nèi)部人員惡意訪問醫(yī)療記錄,、醫(yī)護(hù)人員窺探病患信息、將PHI意外泄露給未授權(quán)個(gè)人,、以及因人為錯(cuò)誤導(dǎo)致患者數(shù)據(jù)外泄等,。

9.png

  受影響醫(yī)療信息的存儲(chǔ)位置

  醫(yī)療保健行業(yè)正越來越多地使用加密及云服務(wù)存儲(chǔ)數(shù)據(jù),這一實(shí)踐能夠顯著控制因丟失/盜竊事件引發(fā)的數(shù)據(jù)泄露問題,。此外,,網(wǎng)絡(luò)釣魚攻擊仍是醫(yī)療保健數(shù)據(jù)泄露事件的一大重要誘因,通常也代表著多段式攻擊的第一步,。在后續(xù)階段,,攻擊方可能會(huì)部署惡意軟件或勒索軟件。

  根據(jù)報(bào)告,,2020年電子郵件賬戶違規(guī)事件的發(fā)生率已經(jīng)高于每?jī)商?起,,但針對(duì)網(wǎng)絡(luò)服務(wù)器的入侵活動(dòng)頻率還要更高。網(wǎng)絡(luò)服務(wù)器中往往存儲(chǔ)有大量患者數(shù)據(jù),,因此成為黑客與勒索軟件團(tuán)伙的主要指向目標(biāo),。

  盡管大多數(shù)醫(yī)療保健數(shù)據(jù)泄露事件涉及的是受到保護(hù)的電子病歷信息,但2020年也有相當(dāng)一部分泄露事件影響到病歷的紙質(zhì)/膠片副本,。這些副本往往被未授權(quán)個(gè)人接觸,、丟失或未能以安全方式得到妥善處置。

  2020年哪些實(shí)體遭遇的數(shù)據(jù)泄露事件最多,?

  以下餅狀圖所示,,為HIPAA覆蓋下各實(shí)體的數(shù)據(jù)泄露事件細(xì)分情況。這些實(shí)體在2020年內(nèi)皆遭受到涉及記錄數(shù)量超過500條的重大事件影響,。

13.png

14.png

  其中,,醫(yī)療保健服務(wù)商成為受害者主體,,共上報(bào)497起事件。業(yè)務(wù)伙伴上報(bào)73起事件,;但需要注意的是,相當(dāng)一部分業(yè)務(wù)伙伴的數(shù)據(jù)泄露事件是由與之合作的實(shí)體所上報(bào),。這一年內(nèi),,共有258起違規(guī)事件與業(yè)務(wù)伙伴相關(guān),占所有違規(guī)事件的40.19%,。醫(yī)療計(jì)劃管理方上報(bào)了70起違規(guī)事件,,醫(yī)療保健結(jié)算公司則上報(bào)2起違規(guī)事件。

  2020年全美各州醫(yī)療保健數(shù)據(jù)泄露情況

  2020年,,懷俄明州,、佛蒙特州以及南達(dá)科他州的居民們非常幸運(yùn),沒有遭遇任何醫(yī)療保健數(shù)據(jù)泄露事件,。但除此之外的所有其他州,,外加哥倫比亞特區(qū),全部上報(bào)有數(shù)據(jù)泄露事件,。

  加利福尼亞州成為受影響最嚴(yán)重的州,,總計(jì)上報(bào)51起事件。其次是佛羅里達(dá)州與得克薩斯州,,各上報(bào)44起事件,。紐約州有43起,賓夕法尼亞州則為39起,。

16.png

  2020年HHS HIPAA執(zhí)法措施

  從執(zhí)法方面來看,,2020年對(duì)HIPAA來說無疑是繁忙的一年。作為HIPAA合規(guī)工作的主要執(zhí)法機(jī)構(gòu),,HHS民權(quán)辦公室共發(fā)起19項(xiàng)最終做出經(jīng)濟(jì)處罰決定的HIPAA合規(guī)性調(diào)查,。這也是民權(quán)辦公室自開始執(zhí)行HIPAA合規(guī)性要求以來,做出處罰決定最多的一年,。19起調(diào)查總罰款數(shù)額達(dá)到1355萬4900美元,。

  沒錯(cuò),從啟動(dòng)調(diào)查到實(shí)際征收罰款往往需要幾年時(shí)間,。2020年內(nèi)最大的執(zhí)法行動(dòng)甚至可以追溯到2015年之前,。但2020年罰款總額的大幅增長(zhǎng),主要源自民權(quán)辦公室于2019年年底發(fā)起的HIPAA執(zhí)法運(yùn)動(dòng),,旨在解決HIPAA病歷查閱權(quán)規(guī)定執(zhí)行不暢的問題,。

  到2020年,HIPAA共與醫(yī)療服務(wù)商達(dá)成11項(xiàng)和解協(xié)議,,顯著緩和了服務(wù)方無法及時(shí)獲取個(gè)人病歷的問題,。

  2020年各州檢察長(zhǎng)HIPAA執(zhí)法措施

  除民權(quán)辦公室之外,,州檢察長(zhǎng)同樣有權(quán)對(duì)有違HIPAA監(jiān)管要求的實(shí)體施以懲處。目前,,各州檢察總長(zhǎng)還建立起廣泛共識(shí),,即多州共同集中資源處理有違HIPAA規(guī)則的法律訴訟。2020年內(nèi)出現(xiàn)了兩起與HIPAA涵蓋實(shí)體/業(yè)務(wù)伙伴相關(guān)的多州訴訟,。

  首先是健康保險(xiǎn)公司Anthem案,。此案源于2015年,泄露數(shù)據(jù)為7880萬條,。為了懲處一系列有違HIPAA及各州法律的行為,,該公司需要支付4820萬美元罰款。

  CHSPSC是一家位于田納西州的管理公司,,負(fù)責(zé)為其各下轄醫(yī)院運(yùn)營企業(yè)以及Community Health Systems的多家分支機(jī)構(gòu)提供服務(wù),。由于存在違反HIPAA要求的行為,該公司同樣在多州訴訟中支付500萬美元罰金,。此案源自2014年上報(bào)的數(shù)據(jù)泄露事件,,期間黑客竊取到612萬1158位患者的ePHI。

  


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。