根據(jù)美國衛(wèi)生與公共服務部(HHS)民權辦公室(OCR)披露的安全事件數(shù)據(jù)顯示,過去一年醫(yī)療保健行業(yè)發(fā)生規(guī)模以上(500+條)數(shù)據(jù)泄露事件的數(shù)量創(chuàng)下了歷史新高。
2020年數(shù)據(jù)洞察
涉及500條及以上記錄的上報醫(yī)療保健數(shù)據(jù)泄露事件多達642起,較上年增長25%。
泄露的醫(yī)療記錄總計超過2900萬條。
規(guī)模最大的泄露事件影響超1000萬條記錄,有63起事件泄露超過10萬條記錄。
黑客/IT事件占數(shù)據(jù)泄露事件總量的67%,泄露的記錄總量則占比92%。
自2009年10月以來,外泄的醫(yī)療保健記錄總量已達2.6678億條,量級上已占當前美國人口總數(shù)八成以上。
2020年美國所有醫(yī)療保健機構總共報告了642起規(guī)模以上數(shù)據(jù)泄露事件,涉及機構包括醫(yī)療保健服務商、醫(yī)療保健計劃管理方、醫(yī)療保健結算公司以及其他業(yè)務伙伴。稍微換算下,平均每天上報1.76起,較破紀錄的2019年多出25%。
過去一年上報的數(shù)據(jù)泄露事件數(shù)量是2015年的2倍以上,是2010年的3倍以上。
從泄露的醫(yī)療保健記錄總量來看,2020年排名第三。全年共有29,298,012條醫(yī)療記錄意外流出,這一數(shù)字比2019年減少了29.71%。自2009年10月以來,醫(yī)療保健行業(yè)總計上報3705起涉及記錄高于500條的數(shù)據(jù)泄露事件,外泄的醫(yī)療保健記錄總量則為2.6678億條。
2020年規(guī)模最大的醫(yī)療保健數(shù)據(jù)泄露事件
2020年規(guī)模最大的醫(yī)療保健數(shù)據(jù)泄露事件,是針對云服務供應商Blackbaud的勒索攻擊。黑客并未公開獲取獲取或鎖定的醫(yī)療記錄數(shù)量,但Blackbaud服務的100多家醫(yī)療保健客戶因此受到影響,至少10家有數(shù)百萬條記錄遭遇破壞。由于各受影響實體分別上報了事件,因此此次攻擊未被列入OCR違規(guī)門戶。
在部署勒索軟件之前,黑客竊取到大量關于客戶籌款及捐贈者身份的數(shù)據(jù)庫,其中包括姓名、聯(lián)系方式、出生日期以及某些臨床信息。受到影響的實體則包括Trinity Health(330萬條記錄)、Inova Health System(100萬條記錄)以及Northern Light Health Foundation(65萬7392條記錄)。
總部位于佛羅里達州的商業(yè)合作伙伴MEDNAX Services有限公司是一家專為各下轄醫(yī)師執(zhí)業(yè)小組提供收入周期管理等服務的供應商。2020年,MEDNAX遭遇全年規(guī)模最大的釣魚攻擊。黑客借此成功訪問了Office 365環(huán)境,可能已經掌握1670份個人ePHI,具體包括社保號碼、駕照號碼以及健康保險與財務信息。
Magellan Health同樣因網絡釣魚郵件引發(fā)上百萬記錄泄露,最后又以勒索軟件攻擊收場。此次違規(guī)事件影響到其他多家關聯(lián)實體,患者信息可能因此外流。
Dental Care Alliance是一家牙科支持組織,覆蓋全美20個州的320多家附屬牙科診所。由于系統(tǒng)遭受黑客攻擊,超過100萬人的牙科診療記錄遭到竊取。
2020年,HIPAA覆蓋的各實體及業(yè)務伙伴共上報63起安全事件,涉及的醫(yī)療記錄數(shù)量超過10萬條。
2020年醫(yī)療保健數(shù)據(jù)泄露事件原因分析
黑客與其他IT事件在2020年的醫(yī)療保健數(shù)據(jù)泄露報告中占最大比例。這一年中,有429起上報事件與黑客/IT事件相關,占全部泄露事件的66.82%,涉及的泄露記錄數(shù)量占比更高達91.99%。黑客與IT事件包括安全漏洞利用與網絡釣魚、惡意軟件以及勒索軟件攻擊。最近幾個月來,勒索軟件攻擊的發(fā)生頻率仍在逐步提升。
Check Point發(fā)布的最新報告顯示,去年10月針對醫(yī)療保健服務商的勒索軟件攻擊增長了71%。而在2020年的最后兩個月中,醫(yī)療保健網絡攻擊進一步增長45%。此外,這一年內影響最大、破壞力最強的攻擊活動普遍與勒索軟件有關。在大多數(shù)情況下,醫(yī)療保健機構的系統(tǒng)將癱瘓數(shù)周,并給患者服務帶來嚴重影響。
在2020年的新冠疫情沖擊下,醫(yī)療保健行業(yè)長期成為勒索攻擊的重災區(qū)。根據(jù)Emsisoft公布的數(shù)據(jù),2020年美國至少有560家醫(yī)療機構受到勒索軟件攻擊的影響,相關攻擊事件共80起。
未授權訪問/披露事件占全年違規(guī)事件的22.27%,涉及的泄露記錄占比則為2.69%。此類事件包括內部人員惡意訪問醫(yī)療記錄、醫(yī)護人員窺探病患信息、將PHI意外泄露給未授權個人、以及因人為錯誤導致患者數(shù)據(jù)外泄等。
受影響醫(yī)療信息的存儲位置
醫(yī)療保健行業(yè)正越來越多地使用加密及云服務存儲數(shù)據(jù),這一實踐能夠顯著控制因丟失/盜竊事件引發(fā)的數(shù)據(jù)泄露問題。此外,網絡釣魚攻擊仍是醫(yī)療保健數(shù)據(jù)泄露事件的一大重要誘因,通常也代表著多段式攻擊的第一步。在后續(xù)階段,攻擊方可能會部署惡意軟件或勒索軟件。
根據(jù)報告,2020年電子郵件賬戶違規(guī)事件的發(fā)生率已經高于每兩天1起,但針對網絡服務器的入侵活動頻率還要更高。網絡服務器中往往存儲有大量患者數(shù)據(jù),因此成為黑客與勒索軟件團伙的主要指向目標。
盡管大多數(shù)醫(yī)療保健數(shù)據(jù)泄露事件涉及的是受到保護的電子病歷信息,但2020年也有相當一部分泄露事件影響到病歷的紙質/膠片副本。這些副本往往被未授權個人接觸、丟失或未能以安全方式得到妥善處置。
2020年哪些實體遭遇的數(shù)據(jù)泄露事件最多?
以下餅狀圖所示,為HIPAA覆蓋下各實體的數(shù)據(jù)泄露事件細分情況。這些實體在2020年內皆遭受到涉及記錄數(shù)量超過500條的重大事件影響。
其中,醫(yī)療保健服務商成為受害者主體,共上報497起事件。業(yè)務伙伴上報73起事件;但需要注意的是,相當一部分業(yè)務伙伴的數(shù)據(jù)泄露事件是由與之合作的實體所上報。這一年內,共有258起違規(guī)事件與業(yè)務伙伴相關,占所有違規(guī)事件的40.19%。醫(yī)療計劃管理方上報了70起違規(guī)事件,醫(yī)療保健結算公司則上報2起違規(guī)事件。
2020年全美各州醫(yī)療保健數(shù)據(jù)泄露情況
2020年,懷俄明州、佛蒙特州以及南達科他州的居民們非常幸運,沒有遭遇任何醫(yī)療保健數(shù)據(jù)泄露事件。但除此之外的所有其他州,外加哥倫比亞特區(qū),全部上報有數(shù)據(jù)泄露事件。
加利福尼亞州成為受影響最嚴重的州,總計上報51起事件。其次是佛羅里達州與得克薩斯州,各上報44起事件。紐約州有43起,賓夕法尼亞州則為39起。
2020年HHS HIPAA執(zhí)法措施
從執(zhí)法方面來看,2020年對HIPAA來說無疑是繁忙的一年。作為HIPAA合規(guī)工作的主要執(zhí)法機構,HHS民權辦公室共發(fā)起19項最終做出經濟處罰決定的HIPAA合規(guī)性調查。這也是民權辦公室自開始執(zhí)行HIPAA合規(guī)性要求以來,做出處罰決定最多的一年。19起調查總罰款數(shù)額達到1355萬4900美元。
沒錯,從啟動調查到實際征收罰款往往需要幾年時間。2020年內最大的執(zhí)法行動甚至可以追溯到2015年之前。但2020年罰款總額的大幅增長,主要源自民權辦公室于2019年年底發(fā)起的HIPAA執(zhí)法運動,旨在解決HIPAA病歷查閱權規(guī)定執(zhí)行不暢的問題。
到2020年,HIPAA共與醫(yī)療服務商達成11項和解協(xié)議,顯著緩和了服務方無法及時獲取個人病歷的問題。
2020年各州檢察長HIPAA執(zhí)法措施
除民權辦公室之外,州檢察長同樣有權對有違HIPAA監(jiān)管要求的實體施以懲處。目前,各州檢察總長還建立起廣泛共識,即多州共同集中資源處理有違HIPAA規(guī)則的法律訴訟。2020年內出現(xiàn)了兩起與HIPAA涵蓋實體/業(yè)務伙伴相關的多州訴訟。
首先是健康保險公司Anthem案。此案源于2015年,泄露數(shù)據(jù)為7880萬條。為了懲處一系列有違HIPAA及各州法律的行為,該公司需要支付4820萬美元罰款。
CHSPSC是一家位于田納西州的管理公司,負責為其各下轄醫(yī)院運營企業(yè)以及Community Health Systems的多家分支機構提供服務。由于存在違反HIPAA要求的行為,該公司同樣在多州訴訟中支付500萬美元罰金。此案源自2014年上報的數(shù)據(jù)泄露事件,期間黑客竊取到612萬1158位患者的ePHI。