根据美国卫生与公共服务部(HHS)民权办公室(OCR)披露的安全事件数据显示,过去一年医疗保健行业发生规模以上(500+条)数据泄露事件的数量创下了历史新高。
涉及500条及以上记录的上报医疗保健数据泄露事件多达642起,较上年增长25%。
规模最大的泄露事件影响超1000万条记录,有63起事件泄露超过10万条记录。
黑客/IT事件占数据泄露事件总量的67%,泄露的记录总量则占比92%。
自2009年10月以来,外泄的医疗保健记录总量已达2.6678亿条,量级上已占当前美国人口总数八成以上。
2020年美国所有医疗保健机构总共报告了642起规模以上数据泄露事件,涉及机构包括医疗保健服务商、医疗保健计划管理方、医疗保健结算公司以及其他业务伙伴。稍微换算下,平均每天上报1.76起,较破纪录的2019年多出25%。
过去一年上报的数据泄露事件数量是2015年的2倍以上,是2010年的3倍以上。
从泄露的医疗保健记录总量来看,2020年排名第三。全年共有29,298,012条医疗记录意外流出,这一数字比2019年减少了29.71%。自2009年10月以来,医疗保健行业总计上报3705起涉及记录高于500条的数据泄露事件,外泄的医疗保健记录总量则为2.6678亿条。
2020年规模最大的医疗保健数据泄露事件,是针对云服务供应商Blackbaud的勒索攻击。黑客并未公开获取获取或锁定的医疗记录数量,但Blackbaud服务的100多家医疗保健客户因此受到影响,至少10家有数百万条记录遭遇破坏。由于各受影响实体分别上报了事件,因此此次攻击未被列入OCR违规门户。
在部署勒索软件之前,黑客窃取到大量关于客户筹款及捐赠者身份的数据库,其中包括姓名、联系方式、出生日期以及某些临床信息。受到影响的实体则包括Trinity Health(330万条记录)、Inova Health System(100万条记录)以及Northern Light Health Foundation(65万7392条记录)。
总部位于佛罗里达州的商业合作伙伴MEDNAX Services有限公司是一家专为各下辖医师执业小组提供收入周期管理等服务的供应商。2020年,MEDNAX遭遇全年规模最大的钓鱼攻击。黑客借此成功访问了Office 365环境,可能已经掌握1670份个人ePHI,具体包括社保号码、驾照号码以及健康保险与财务信息。
Magellan Health同样因网络钓鱼邮件引发上百万记录泄露,最后又以勒索软件攻击收场。此次违规事件影响到其他多家关联实体,患者信息可能因此外流。
Dental Care Alliance是一家牙科支持组织,覆盖全美20个州的320多家附属牙科诊所。由于系统遭受黑客攻击,超过100万人的牙科诊疗记录遭到窃取。
2020年,HIPAA覆盖的各实体及业务伙伴共上报63起安全事件,涉及的医疗记录数量超过10万条。
黑客与其他IT事件在2020年的医疗保健数据泄露报告中占最大比例。这一年中,有429起上报事件与黑客/IT事件相关,占全部泄露事件的66.82%,涉及的泄露记录数量占比更高达91.99%。黑客与IT事件包括安全漏洞利用与网络钓鱼、恶意软件以及勒索软件攻击。最近几个月来,勒索软件攻击的发生频率仍在逐步提升。
Check Point发布的最新报告显示,去年10月针对医疗保健服务商的勒索软件攻击增长了71%。而在2020年的最后两个月中,医疗保健网络攻击进一步增长45%。此外,这一年内影响最大、破坏力最强的攻击活动普遍与勒索软件有关。在大多数情况下,医疗保健机构的系统将瘫痪数周,并给患者服务带来严重影响。
在2020年的新冠疫情冲击下,医疗保健行业长期成为勒索攻击的重灾区。根据Emsisoft公布的数据,2020年美国至少有560家医疗机构受到勒索软件攻击的影响,相关攻击事件共80起。
未授权访问/披露事件占全年违规事件的22.27%,涉及的泄露记录占比则为2.69%。此类事件包括内部人员恶意访问医疗记录、医护人员窥探病患信息、将PHI意外泄露给未授权个人、以及因人为错误导致患者数据外泄等。
医疗保健行业正越来越多地使用加密及云服务存储数据,这一实践能够显著控制因丢失/盗窃事件引发的数据泄露问题。此外,网络钓鱼攻击仍是医疗保健数据泄露事件的一大重要诱因,通常也代表着多段式攻击的第一步。在后续阶段,攻击方可能会部署恶意软件或勒索软件。
根据报告,2020年电子邮件账户违规事件的发生率已经高于每两天1起,但针对网络服务器的入侵活动频率还要更高。网络服务器中往往存储有大量患者数据,因此成为黑客与勒索软件团伙的主要指向目标。
尽管大多数医疗保健数据泄露事件涉及的是受到保护的电子病历信息,但2020年也有相当一部分泄露事件影响到病历的纸质/胶片副本。这些副本往往被未授权个人接触、丢失或未能以安全方式得到妥善处置。
以下饼状图所示,为HIPAA覆盖下各实体的数据泄露事件细分情况。这些实体在2020年内皆遭受到涉及记录数量超过500条的重大事件影响。
其中,医疗保健服务商成为受害者主体,共上报497起事件。业务伙伴上报73起事件;但需要注意的是,相当一部分业务伙伴的数据泄露事件是由与之合作的实体所上报。这一年内,共有258起违规事件与业务伙伴相关,占所有违规事件的40.19%。医疗计划管理方上报了70起违规事件,医疗保健结算公司则上报2起违规事件。
2020年,怀俄明州、佛蒙特州以及南达科他州的居民们非常幸运,没有遭遇任何医疗保健数据泄露事件。但除此之外的所有其他州,外加哥伦比亚特区,全部上报有数据泄露事件。
加利福尼亚州成为受影响最严重的州,总计上报51起事件。其次是佛罗里达州与得克萨斯州,各上报44起事件。纽约州有43起,宾夕法尼亚州则为39起。
从执法方面来看,2020年对HIPAA来说无疑是繁忙的一年。作为HIPAA合规工作的主要执法机构,HHS民权办公室共发起19项最终做出经济处罚决定的HIPAA合规性调查。这也是民权办公室自开始执行HIPAA合规性要求以来,做出处罚决定最多的一年。19起调查总罚款数额达到1355万4900美元。
没错,从启动调查到实际征收罚款往往需要几年时间。2020年内最大的执法行动甚至可以追溯到2015年之前。但2020年罚款总额的大幅增长,主要源自民权办公室于2019年年底发起的HIPAA执法运动,旨在解决HIPAA病历查阅权规定执行不畅的问题。
到2020年,HIPAA共与医疗服务商达成11项和解协议,显著缓和了服务方无法及时获取个人病历的问题。
除民权办公室之外,州检察长同样有权对有违HIPAA监管要求的实体施以惩处。目前,各州检察总长还建立起广泛共识,即多州共同集中资源处理有违HIPAA规则的法律诉讼。2020年内出现了两起与HIPAA涵盖实体/业务伙伴相关的多州诉讼。
首先是健康保险公司Anthem案。此案源于2015年,泄露数据为7880万条。为了惩处一系列有违HIPAA及各州法律的行为,该公司需要支付4820万美元罚款。
CHSPSC是一家位于田纳西州的管理公司,负责为其各下辖医院运营企业以及Community Health Systems的多家分支机构提供服务。由于存在违反HIPAA要求的行为,该公司同样在多州诉讼中支付500万美元罚金。此案源自2014年上报的数据泄露事件,期间黑客窃取到612万1158位患者的ePHI。
![2020美国医疗行业泄露数据超2900万条,黑客攻击成主要威胁]( "2020美国医疗行业泄露数据超2900万条,黑客攻击成主要威胁")
![2020美国医疗行业泄露数据超2900万条,黑客攻击成主要威胁]( "2020美国医疗行业泄露数据超2900万条,黑客攻击成主要威胁")
本文始发于微信公众号(互联网安全内参):2020美国医疗行业泄露数据超2900万条,黑客攻击成主要威胁
评论