研究:53%健康資料洩露是由醫療機構內部造成 黑客只佔12%
在許多網站上,你的個人身份可能會落入老練的黑客之手,但當涉及到健康資料洩露時,醫院、醫生辦公室甚至保險公司往往是罪魁禍首。
密歇根州立大學和約翰霍普金斯大學的最新研究發現,近期超過一半以上的個人健康資訊(PHI)資料洩露是由於醫療服務提供者的內部問題,而不是因為黑客或外部因素。
“沒有完美的方式儲存資訊,但我們審查的案例中,有一半以上不是由外部因素引發的,而是由內部疏忽造成。”第一作者和會密歇根州立大學Eli Broad商學院計和資訊系統副教授John (Xuefeng) Jiang表示。
該研究發表在JAMA Internal Medicine上,此前,2017年的一項聯合研究顯示,美國醫院資料洩露的規模很大。該研究顯示,在七年內,患者資訊中發生了大約1,800次重大資料洩露事件,其中33家醫院發生了一起以上的重大資料洩露事件。
在本文中,Jiang和共同作者約翰霍普金斯凱瑞商學院副教授Ge Bai更深入地發現了PHI資料洩露的觸發因素。他們回顧了2009年10月至2017年12月期間的近1,150詞資料洩露事件,影響了超過1.64億病人。
“每當醫院出現某種型別的資料洩露事件時,他們都需要向衛生和公眾服務部(Department of Health and Human Services)報告,並對他們認為的原因進行分類。” 普蘭特莫蘭學院(Plante Moran)研究員Jiang說,“這些原因分為六類:盜竊、未經授權的訪問、黑客攻擊或IT事件、丟失、不當處置或‘其他’。”
在審查了詳細報告,評估筆記和重新分類具有特定基準的案例後,Jiang和Bai發現53%是醫療機構內部因素造成的結果。
“所有案件中有四分之一是由未經授權的訪問或披露引起的,超過外部黑客數量的兩倍。” Jiang說,“這可能是一名員工將PHI帶回家或轉發到個人帳戶或裝置,未經授權訪問資料,甚至通過電子郵件錯誤,例如傳送給錯誤的收件人,複製而不是盲目複製或共享未加密的內容。”
雖然一些錯誤似乎是常識,但Jiang說,重大錯誤可能導致更大的事故,看似無害的錯誤可能會損害患者的個人資料。
“醫院、醫生辦公室、保險公司、小型醫生辦公室甚至藥房都在製造這類錯誤,並使患者處於危險之中。” Jiang說。
在外部違規行為中,盜竊占33%,黑客佔12%。
雖然某些資料洩露可能會導致輕微後果,例如獲取患者的電話號碼,但其他資料可能會產生更嚴重的侵入性影響。例如,當Anthem在2015年遭遇資料洩露時,有3750萬條記錄遭到入侵。很多受害者並沒有立即得到通知,所以直到他們去報稅時才發現第三方用從Anthem獲得的資料欺騙他們報稅。
雖然嚴格的軟體和硬體安全可以防止盜竊和黑客,但Jiang和Bai建議醫療保健提供商採用內部政策和程式,這些政策和程式可以通過遵循一套簡單的協議來收緊流程,並防止內部各方洩漏PHI。減輕與儲存相關的PHI違規的程式包括:從紙質醫療記錄轉換到數字醫療記錄,安全儲存,轉向針對患者保護資訊的非移動策略以及實施加密。與PHI通訊相關的程式包括強制驗證郵件收件人,遵循“複製與盲目複製”協議(bcc vs cc)以及內容加密。
他說:“不全副武裝會使醫療機構受到敵人的攻擊。” Bai 說,“好訊息是,如果遵循簡單的協議,獲得保護並不難。”
接下來,Jiang 和Bai計劃更加密切地關注從外部資源中竊取的資料型別,以瞭解數字竊賊究竟希望從患者資料中竊取什麼。
宣告:本文來自前瞻網,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。