自2009年以来,美国的医疗机构遭受了近5,000起数据泄露事件,影响了超过3.42亿条医疗记录。
研究人员团队分析了2009年至2022年6月的数据,以找出美国哪些州遭受的医疗违规最多,以及每年有多少记录受到影响。研究人员团队还深入研究了2021年1月至2022年6月的数据泄露事件,以找出这些数据泄露事件的最大原因以及受影响最严重的医疗保健组织。
研究涵盖了导致医疗设施瘫痪的违规行为,其中许多导致个人医疗数据被利用,危及患者的健康,在某些情况下甚至危及生命。违规通常会导致医疗保健系统离线,这意味着医务人员无法获得关键信息。威胁者还可以访问社会安全号码、健康保险信息、处方信息、病史,甚至与医疗账单相关的财务数据。
自2009年以来,仅2020年就占所有违规行为的近五分之一,有803起违规行为和4660万条记录受到影响。2021年小幅下降了11%(从803起违规事件降至711起)。到目前为止,2022年仅记录了151起违规行为,近800万条记录受到影响——与往年相比,这一数字要少得多。然而,由于许多违规事件发生几个月后才报告,这些数字很可能在未来几个月内上升。
主要发现:
从2009年到2022年6月,记录了4,746起医疗事故
342,017,215条个人记录因这些违规行为而受到影响
2020年是医疗事故最多的一年,报告了803起(第二高的是2021年,有711起)
2015年受影响的记录数量最多,总计超过1.12亿条
在2021年和2022年(到目前为止),专科诊所(专门从事某一医学领域的诊所,例如心脏病学或放射学等)占数据泄露最多(15%),共有130个被泄露实体,但医院网络占被泄露记录最多的记录,共有880万条记录受到影响(占受影响记录总数的16%)
在2021年和2022年(到目前为止),黑客攻击是最常见的违规类型,占违规行为的40%(862起中的353起)
所有50个州都必须向美国卫生与公众服务部(HHS)报告医疗违规行为,如果个别违规事件影响了500多条记录(较少的可能根据年度报告提交),则需要提交个人违规记录。由于该工具仅列出影响500名或更多患者的违规行为,因此我们的数据可能低估了问题的真实规模。
自2009年以来美国医疗数据泄露和记录受影响最严重的5个州
如果查看美国各州的数据泄露事件数量,可以看到迄今为止加利福尼亚州的数据泄露事件最多,占4,746起数据泄露事件中的474起(约10%)。
德克萨斯(383)、佛罗里达(288)、纽约(287)和伊利诺伊(217)是其他四个受灾最严重的州。然而,由于所有这些都属于美国人口最多的一些州,这也许并不令人意外。
当谈到受影响的记录数量时,随着印第安纳州进入榜首,情况略有变化。
印第安纳州记录的受影响记录数量最多,有近8720万条记录(超过所有泄露记录的25%)。这明显高于受影响的2500万条记录的第二名纽约。然而,印第安纳州的高数据主要源于Anthem,Inc.的一次违规行为(2015年报告),当时有7880万条记录受到影响。
紧随纽约的州是佛罗里达州(2310万)、加利福尼亚州(1900万)和德克萨斯州(1630万)。
南达科他州报告的数字最低,自2009年以来仅报告了8起数据泄露事件,36,900份医疗记录被泄露。但是,重要的是要注意,发生在医疗机构的数据泄露可能会影响其他州的居民,特别是如果该组织位于多个州。
在查看每个州人口中每100,000人受影响的医疗记录数量时,该图表确实发生了相当大的变化,但印第安纳州除外。印第安纳州名列前茅,每100,000人中有128万条记录受到影响。然而,如上所述,这是由于Anthem,Inc.的违规行为,这也会影响到州界以外的居民。
明尼苏达州以235,259条记录,每100,000人中的违规记录数量位居第二。其次是华盛顿(每10万人受影响210,632条记录)、田纳西州(每10万人受影响210,371条记录)和爱荷华州(每10万人受影响175,848条记录)。
除上述情况外,还有八个州(MT、PR、NC、NY、NM、VA、AZ和FL)每100,000人中有超过100,000条记录。
南达科他州报告每10万人中只有4,121条记录受到影响。爱达荷州(每10万人中9,825人)和密西西比州(每10万人中9,843人)是仅有的另外两个州,每10万人的记录数少于10,000条。
自2009年以来受影响记录最多的前5大医疗数据泄露事件
受影响记录数量排名前五的最大医疗数据泄露事件如下:
AnthemInc.=7880万条记录受影响:OCR于2015年报告称,此次数据泄露是美国历史上最大的健康数据泄露事件。一名员工打开了一封恶意鱼叉式网络钓鱼电子邮件,这反过来导致AnthemInc.的IT系统被访问,近7900万人的数据被提取。Anthem同意向OCR支付1600万美元,以解决潜在的违规行为。
Optum360,LLC=1,150万条记录受影响:黑客在2018年8月至2019年3月期间访问了美国医疗收集机构1,150万实验室患者的私人个人和财务信息。那些逾期实验室服务账单的人在违规行为中受到影响。
PremeraBlueCross=1100万条记录受影响:PremeraBlueCross在遭受数据泄露后被迫向OCR支付685万美元,黑客使用网络钓鱼电子邮件安装恶意软件,使他们能够访问其IT系统。从2014年5月到2015年1月,黑客进入系统并未引起注意。
美国实验室公司控股dbaLabCorp=1020万条记录受影响:2019年,LabCorp报告说,一名入侵者访问了它使用的第三方美国医疗收款机构的支付网站。该漏洞暴露了超过1020万人的个人、财务和医疗数据。LabCorp在违规后不久终止了与收款机构的业务关系。
ExcellusHealthPlan,Inc.=930万条记录受影响:从2013年12月到2015年5月,黑客未经授权访问ExcellusHealthPlanInc.的IT系统。安装了恶意软件,导致930万条个人数据记录被泄露。
排名靠前的医疗违规事件来自几年前。因此,尽管我们看到每年受影响的记录数量有所增加,但这是由于攻击量增加,而不是更大、频率更低的违规行为。例如,我们第一次看到2021年进入榜首的是20/20EyeCareNetwork,Inc.排名第16位。它报告了一起影响330万人的黑客事件。2021年只有一个其他违规行为(ForefrontDermatology违反240万条记录)进入前20名,而2022年的第一个条目(ShieldsHealthCareGroup,Inc.在2022年3月违反200万条记录)排在第22位。
医疗数据泄露最严重的年份
根据下表,2020年是医疗数据泄露事件最多的一年,共有803起。2021年的数据泄露事件也很高,达到711起,紧随其后的是2019年的520起。这表明在过去3整年中,医疗数据泄露事件呈指数级增长。
与所有其他年份相比,2015年报告的受影响记录数量异常多,有1.12亿条记录被泄露。然而,正如我们已经评论过的,这源于Anthem,Inc.的违规行为。
如果我们分析2009年至2018年间每年受影响的记录中位数,则每次违规受影响的记录中位数仍约为2,000条。从2018年到2019年,人数急剧增加(从2,284人增加到3,893人,增加了70%)。这种情况持续到2020年(从3,893人增长26%至4,916人)和从2020年至2021年(增长4%至5,122人)。
2021年最常见的医疗数据泄露类型是什么?
黑客被证明是最流行的入侵医疗组织的方法,在2021年的711起违规事件中占288起(41%)。第二大类别(不包括未知数)是勒索软件,记录了161起攻击(23%)。
违规定义:卡(借记卡/信用卡不通过黑客攻击,例如略读)、黑客(外部方或恶意软件)、Insd(内部人员-员工、第三方或客户)、Phys(纸质文件)、Port(便携式设备、例如笔记本电脑、记忆棒和硬盘驱动器)、Rans(勒索软件)、Stat(固定计算机)、Disc(意外披露,例如公开发布的敏感信息)、Unkn(未知)。虽然此处未单独列出网络钓鱼攻击,但它们可能是用于发起黑客攻击和勒索软件攻击的方法。
最不可能发生医疗违规的违规类型是使用信用卡或借记卡略读。这种方法仅在TGH紧急护理数据泄露事件中发生过一次,其中一名员工拍摄了患者的信用卡和驾照以窃取信息。
2021年受影响最大的医疗机构类型是什么?
为了查看哪个组织遭受的医疗数据泄露最多,我们将所有泄露分为23类医疗机构类型(请参阅定义方法)。
2021年遭受违规次数最多的组织类型是专科诊所,有106起医疗违规事件,影响了300万条记录。如前所述,专科诊所是专注于特定医疗保健领域的诊所,例如心脏病学或放射学。按违规数量计算,2021年其他受影响最严重的组织是:
ClinicNetworks(一个由多家诊所组成的组织,从多个地点提供一般医疗保健服务):87个违规实体影响了410万条记录
在记录数量方面,医院网络和诊所网络受到的影响最大,分别有680万和410万条记录受到影响。由于这两个都是医疗机构的“网络”,因此这并不令人意外,因为它们可能会有更多的记录存档。
到2022年为止,健康保险公司是受影响最严重的组织类型,有26个违规实体影响了120万条记录。专科诊所紧随其后,发生了24起违规事件,影响了近620,000条记录。医院网络和诊所网络再次受影响的记录最多(分别为200万和190万)。
2022年的医疗数据泄露情况如何?
在2022年的前六个月,报告了151起医疗数据泄露事件,影响了7,997,739条记录。虽然这些数字现在可能看起来很小,但未来几个月这些数字可能会上升。尽管如此,在我们的财务数据泄露和勒索软件报告中,我们注意到2022年有所下降。这可能是由于进行了更有针对性的攻击。我们可以从MCGHealth的数据泄露中看到这一点。今年6月10日,该软件公司披露其系统遭到未经授权的访问。到目前为止,至少有8个受MCGHealth违规影响的组织挺身而出,并提交了影响近800,000条记录的违规报告。
方法
为了尽可能多地收集有关医疗数据泄露的信息,整理的OCR门户网站上报告的2009年至2022年6月的泄露列表。为了深入了解违规类型和受影响最严重的组织,团队搜索了行业资源、州数据泄露通知工具和新闻来源,以收集有关2021年至2022年6月发生的违规行为的更多数据。
在可能的情况下,违规被分配到它发生的特定日期。例如,违规可能发生在2021年,但可能仅在2022年披露。因此,会将其分配到2021年的数字,因为这是发生违规的时间。
每个违规行为都被归类为23种医疗组织类型之一,其定义如下:
业务:仅与医疗保健公司合作的一般业务(例如营销提供商)
诊所网络:在多个地点运营以提供全方位医疗保健服务的诊所系统
政府:涉及健康相关数据泄露的一般政府部门/实体,例如公共服务部门或县政府
医院网络:在多个地点运营以提供全方位医疗保健服务的医院系统
医疗技术:一家主要为医疗保健公司提供技术解决方案的公司
医疗运输:一家主要为医疗保健公司提供运输解决方案的公司
其他:任何有健康相关违规但不是医疗保健公司的组织
专科诊所:在特定医疗保健领域运作的诊所,例如医生或康复中心
原文始发于微信公众号(祺印说信安):从2009年到2022年,美国医疗事故占3.42亿条泄露记录
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/1315569.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论