研究：53％健康資料洩露是由醫療機構內部造成 黑客只佔12%

在許多網站上，你的個人身份可能會落入老練的黑客之手，但當涉及到健康資料洩露時，醫院、醫生辦公室甚至保險公司往往是罪魁禍首。

密歇根州立大學和約翰霍普金斯大學的最新研究發現，近期超過一半以上的個人健康資訊(PHI)資料洩露是由於醫療服務提供者的內部問題，而不是因為黑客或外部因素。

“沒有完美的方式儲存資訊，但我們審查的案例中，有一半以上不是由外部因素引發的，而是由內部疏忽造成。”第一作者和會密歇根州立大學Eli Broad商學院計和資訊系統副教授John (Xuefeng) Jiang表示。

該研究發表在JAMA Internal Medicine上，此前，2017年的一項聯合研究顯示，美國醫院資料洩露的規模很大。該研究顯示，在七年內，患者資訊中發生了大約1,800次重大資料洩露事件，其中33家醫院發生了一起以上的重大資料洩露事件。

在本文中，Jiang和共同作者約翰霍普金斯凱瑞商學院副教授Ge Bai更深入地發現了PHI資料洩露的觸發因素。他們回顧了2009年10月至2017年12月期間的近1,150詞資料洩露事件，影響了超過1.64億病人。

“每當醫院出現某種型別的資料洩露事件時，他們都需要向衛生和公眾服務部(Department of Health and Human Services)報告，並對他們認為的原因進行分類。” 普蘭特莫蘭學院(Plante Moran)研究員Jiang說，“這些原因分為六類：盜竊、未經授權的訪問、黑客攻擊或IT事件、丟失、不當處置或‘其他’。”

在審查了詳細報告，評估筆記和重新分類具有特定基準的案例後，Jiang和Bai發現53%是醫療機構內部因素造成的結果。

“所有案件中有四分之一是由未經授權的訪問或披露引起的，超過外部黑客數量的兩倍。” Jiang說，“這可能是一名員工將PHI帶回家或轉發到個人帳戶或裝置，未經授權訪問資料，甚至通過電子郵件錯誤，例如傳送給錯誤的收件人，複製而不是盲目複製或共享未加密的內容。”

雖然一些錯誤似乎是常識，但Jiang說，重大錯誤可能導致更大的事故，看似無害的錯誤可能會損害患者的個人資料。

“醫院、醫生辦公室、保險公司、小型醫生辦公室甚至藥房都在製造這類錯誤，並使患者處於危險之中。” Jiang說。

在外部違規行為中，盜竊占33%，黑客佔12%。

雖然某些資料洩露可能會導致輕微後果，例如獲取患者的電話號碼，但其他資料可能會產生更嚴重的侵入性影響。例如，當Anthem在2015年遭遇資料洩露時，有3750萬條記錄遭到入侵。很多受害者並沒有立即得到通知，所以直到他們去報稅時才發現第三方用從Anthem獲得的資料欺騙他們報稅。

雖然嚴格的軟體和硬體安全可以防止盜竊和黑客，但Jiang和Bai建議醫療保健提供商採用內部政策和程式，這些政策和程式可以通過遵循一套簡單的協議來收緊流程，並防止內部各方洩漏PHI。減輕與儲存相關的PHI違規的程式包括：從紙質醫療記錄轉換到數字醫療記錄，安全儲存，轉向針對患者保護資訊的非移動策略以及實施加密。與PHI通訊相關的程式包括強制驗證郵件收件人，遵循“複製與盲目複製”協議(bcc vs cc)以及內容加密。

他說:“不全副武裝會使醫療機構受到敵人的攻擊。” Bai 說，“好訊息是，如果遵循簡單的協議，獲得保護並不難。”

接下來，Jiang 和Bai計劃更加密切地關注從外部資源中竊取的資料型別，以瞭解數字竊賊究竟希望從患者資料中竊取什麼。

宣告：本文來自前瞻網，版權歸作者所有。文章內容僅代表作者獨立觀點，不代表安全內參立場，轉載目的在於傳遞更多資訊。如需轉載，請聯絡原作者獲取授權。