2019年2月美國醫療保健行業資料洩露事故彙總
今年2月,醫療保健資料洩露事件繼續以每天約一起的頻率發生。2月共報告32起醫療資料洩露事件,較1月減少了1起。
雖然上報的事件數量下降了3%,但今年2月的事件嚴重程度卻要比上個月高出不少。2月份的安全違規問題共導致超過211萬條醫療記錄受到影響,總量較上個月增長了330%。
2019年2月醫療資料洩露事件原因
一般說來,黑客/IT事故與未授權的訪問/洩露事件之間往往在比例上旗鼓相當;然而今年2月份,黑客攻擊與IT事故(包括惡意軟體感染與勒索軟體攻擊)可謂主導了此輪醫療保健資料洩露報告。
過去一個月當中,有75%的安全違規事件(總計24起)屬於黑客/IT事故,且與之相關的記錄失竊/外洩比例也佔全部受影響記錄的96.25%。事實上,今年2月前十大醫療保健資料洩露事件中僅一起源自未授權訪問/洩露,其餘九起盡皆源自黑客/IT事故。
期間共有4起未授權的訪問/洩露事件,外加4起物理或電子個人醫療資訊(簡稱PHI)被盜案件。未授權訪問/洩露事件的相關記錄條數佔總體外洩記錄條數的3.1%,失竊問題的相關記錄條數則佔比0.65%。
2019年2月規模最大的醫療資料洩露事件
今年2月報告的規模最大的醫療資料洩露事件,源自網路伺服器上的安全機制遭到意外刪除,這直接導致超過97萬3千名UW Medicine患者的受保護醫療資訊被暴露在網際網路之上。這些檔案被搜尋引擎編入索引,可通過簡單的Google搜尋直接找到。儲存在該網路伺服器上的檔案在超過3周的時間內一直處於公開可查詢的狀態。
第二大資料洩露案源自斯波坎哥倫比亞外科專家學會遭受的勒索軟體攻擊。雖然患者資訊可能已經受到窺探,但目前未發現有證據表明攻擊者實際竊取到任何電子個人醫療資訊。
UConn Health的32萬6629條記錄的外洩則源於網路釣魚攻擊,此次事件直接導致多名員工的電子郵件賬戶遭到入侵。某歸屬於Rutland地區醫療中心的電子郵件賬戶在網路釣魚攻擊中失守,其中包含超過7萬2千名患者的電子個人醫療資訊。
| 排名 |
相關機構名稱 |
相關機構類別 |
受影響人數 |
違規類別 |
| 1 |
UW Medicine |
醫療服務供應方 |
973,024 |
入侵 /IT 事故 |
| 2 |
斯波坎哥倫比亞外科專家學會 |
醫療服務供應方 |
400,000 |
入侵 /IT 事故 |
| 3 |
UConn Health |
醫療服務供應方 |
326,629 |
入侵 /IT 事故 |
| 4 |
Rutland 地區醫療中心 |
醫療服務供應方 |
72,224 |
入侵 /IT 事故 |
| 5 |
特拉華州兒童與青少年指導服務公司 |
醫療服務供應方 |
50,000 |
入侵 /IT 事故 |
| 6 |
拉什大學醫療中心 |
醫療服務供應方 |
44,924 |
未授權訪問 / 失竊 |
| 7 |
AdventHealth Medical Group |
醫療服務供應方 |
42,161 |
入侵 /IT 事故 |
| 8 |
生殖醫學與不孕症協會 |
醫療服務供應方 |
40,000 |
入侵 /IT 事故 |
| 9 |
格爾夫波特紀念醫院 |
醫療服務供應方 |
30,642 |
入侵 /IT 事故 |
| 10 |
Pasquotank-Camden 緊急醫療服務局 |
醫療服務供應方 |
20,420 |
入侵 /IT 事故 |
外洩的受保護醫療資訊來自哪裡
電子郵件成為受影響個人醫療資訊的主要來源,不過今年2月由網路伺服器“貢獻”的洩露資料比例呈現大幅上升之勢。2月份報告的全部違規事件當中,有46.88%的資訊為儲存在網路伺服器上的電子個人醫療資訊,25%儲存在電子郵件當中,而12.5%則儲存在電子病歷之內。
根據機構型別進行醫療資料劃分
2019年2月,各醫療保健供應方成為資料洩露事件中的主要受影響物件,上報事件總計24起。此外,有5起事件由醫療計劃機構上報,HIPAA承保機構商業夥伴上報3起違規行為,另有7起事件涉及部分相關商業夥伴。
根據各州進行醫療資料劃分
2月份報告的醫療資料洩露事件共影響到22個州,其中加利福尼亞州與佛羅里達州受到的影響最為嚴重,各自發生3起事件。緊隨其後的是伊利諾伊州、肯塔基州、馬里蘭州、明尼蘇達州、得克薩斯州以及華盛頓州,分別上報2起違規事件。發生1起安全違規事件的州則包括亞利桑那州、科羅拉多州、康涅狄格州、特拉華州、佐治亞州、堪薩斯州、馬薩諸塞州、密西西比州、蒙大拿州、北卡羅來納州、弗吉尼亞州、威斯康星州以及西弗吉尼亞州。
2019年2月HIPAA執法行動
2018年可謂HIPAA執法行動創下紀錄的一年,不過2019年這一勢頭開始放緩。美國衛生與福利部民權辦公室在2019年迄今,尚未發出任何罰款或者對HIPAA和解協議的同意宣告。
今年2月,各州檢察長亦尚未針對任何HIPAA違規行為採取執法行動,截至目前,2019年唯一一筆罰款來自加利福尼亞州,Aetna公司於1月以93萬5千美元同州政府達成和解。
本文由安全內參翻譯自 HIPAA Journal
宣告:本文來自安全內參,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。