超4100万名患者病历遭曝光,而这个数字还在上涨·····
日前,Protenus发布了一份2019年医疗行业数据安全报告 ,该报告对过去一年医疗数据泄漏事件进行总结分析。报告显示:2019年,医疗行业黑客攻击事件较2018年猛增了48%,而自2016年以来,医疗行业平均每天至少会发生一起患者数据泄漏事件,医疗数据持续“裸奔”。
Protenus发布的这份报告样本来源于美国卫生与公众服务部(HHS)、媒体及其它渠道在2019年公开披露的医疗数据泄漏事件,共计572起。其中,仅481起事件就导致41404022名患者隐私健康数据被泄露。也就是在过去的一年里,全美12.55%民众的医疗记录遭遇泄露、意外公开或者盗窃: >>>> 2018年数据泄漏事件为503起,2019年则增长到572起,达成历史新高。(见图1)
>>>> 受影响的患者数量较2018年增长了两倍。(见图2)
>>>> 自Protenus2016年开始统计数据以来,医疗行业数据泄漏事件持续上升。(见图3)
由于法律和监管措施不断出台,如人们熟知的保护患者隐私的《健康保险流通和责任法》(HIPAA),以及全国医疗系统普遍采用合规性分析平台,以主动识别组织内部风险。2016年(见图5)以来,内部人员所导致的医疗数据泄漏事件逐渐减少。
但即便如此,我们从图5与图6的对比可以看出,平均每起内部数据泄漏所牵连的患者数量在成倍增长,危害更加严重,因为内部威胁长期潜伏,一旦爆发,损失便不可估量。
对此,Protenus对内部数据泄漏事件进行分析,并将内部数据事件定义为两大类:内部人员的无意行为(I-E)以及内部人员的恶意行为(I-W)。分析显示:2019年,共发生72起由内部人员无意行为造成的数据泄漏事件,至少涉及3659962名患者;35起内部人员由内部人员恶意行为造成的数据泄漏事件,至少涉及136566名患者。从下图(见图7),我们可以清晰的发现,因内部人员无意行为所涉及的患者数量远大于内部人员恶意行为所涉及的患者数量。 
2019年,医疗卫生行业黑客攻击事件再次出现惊人的增长。
大部分医疗组织和机构的安全保障和风险管理措施普遍落后,且医疗数据的高价值,这让黑客们趋之若鹜,攻击手段也越来越多样化,而这其中,勒索病毒对医疗行业数据安全的威胁与日俱增。
勒索攻击者普遍认为,医院、诊所等医疗机构涉及人身安全和个人最隐私的信息,倘若因勒索病毒感染导致数据丢失、业务系统中断,就会将患者的生命置于风险之中,且会面临上级部门的问责,对此,从业者往往会不惜代价马上支付赎金解锁数据,而不是苦等数据从备份中恢复出来。得手如此容易,让黑客乐此不疲。
从数据泄漏所涉及的机构实体来看,商业合作伙伴(BA)/第三方服务供应商所引起的安全事件在不断跃入公众视野。在2019年572起事件中,有432起事件与医疗单位有关(占所有事件的76%),52起事件与健康计划相关(占比9%),51起事件与商业合作伙伴有关(占比9%)。 
商业合作伙伴(BA)被定义为与医疗系统签订合同,代表医疗机构开展业务/提供服务的第三方供应商。据Protenus统计,由商业合作伙伴所引起的数据泄漏事件,涉及到24254711名患者病历数据。如图11所示,黑客攻击在BA数据泄漏中占比最大,其次是内部人员的无意行为。 
值得注意的是,随着信息化建设深入,电子病历普遍应用,医疗机构将安全力量紧紧地聚焦在网络防护上,反而忽略了文件柜和档案存储设备的安全性。2019年,仅纸质医疗记录事件泄漏就达79起。 
注:健康计划,是国外医疗保健行业为了预防和减少疾病发生、延缓病毒进展、提高就诊质量、控制医疗成本、增加治疗效果、减轻相关机构和人员医疗开支,而为社会团体和个人制定的具备良好执行性和明显成效的规范化个人化健康管理服务计划,通过此健康计划的实施,最终达到增强健康意识,有效预防疾病、及时干预病情、促进健康恢复、降低医疗费用、提高生活质量。
攻击者侵入后,长期潜伏并持续盗取企业重要数据,入侵并泄露被发现所间隔的时间已经由最初的几小时或几天演变为如今的几个月甚至数年。
针对医疗行业,Protenus进行相关调查,如下图所示,2019年,医疗机构需要224天才能察觉到数据泄漏的发生,有的甚至长达3164天之久。
《健康保险流通和责任法》(HIPAA)规定:未经患者同意医疗机构不得让第三方使用或者向第三共享患者的PHI(受保护的健康信息),个人有权要求机构提供其PHI的副本;医疗机构应当加强对于PHI的安全保护;在发生数据泄露时,应当在60日内告知受影响的患者。Protenus在此次报告中,对有明显记录的187个数据事件上报时间进行统计,分析发现:医疗机构向HHS、媒体或者受影响的患者报告的远高于60天汇报窗口期。 
在医疗机构加速数字化的今天,网络安全能力的匮乏,已经严重影响了全球公民健康数据的个人隐私,威胁着医疗机构的数字资产。
事实上,我们已发现,医疗卫生行业相对薄弱的安全防护体系,医疗数据的高价值“诱惑”,让攻击者得以进行更加周密的筹划,他们正在选择更精进、更隐秘的攻击方式,渗透到医疗系统中,在数据横跨的多个系统、多个环节中寻找攻击点,伺机窃取医疗数据。而来自内部无意或恶意的数据泄漏无疑给医疗数据安全雪上加霜。在2020年RSAC大会收到的2400份发言申请中,众多针对“数据、威胁、风险、隐私、管理和团队”的内容均涉及安全方面的人为因素。尤其是数据安全方面,大量数据显示企业员工有意或无意的行为,是致使数据资产泄露的罪魁祸首,除管理层之外,全员也必须建立起充分的安全意识。2020年,数据安全建设仍将是医疗行业的重要工作内容,医疗机构需要做的是:深入了解数据全生命周期面临的安全风险,并对这些环节的关键风险点进行分析,借助和利用最新的技术、方法,形成完整、行之有效的安全防护能力,从而赢得患者的信任、实现医疗数字化转型下的数据之安。
浙公网安备 33010502006954号 
