网络窃贼正在追踪金钱
由于这些信息对犯罪分子的价值,患者记录很容易受到内部和外部威胁。这些记录包含个人身份信息和受保护的健康信息。综合起来,这些信息代表了高度敏感的“监管数据”,受到联邦法律的严格控制,包括HIPAA和GLBA,以及许多州的违规通知法。
“在这项研究中,员工的疏忽,比如丢失笔记本电脑,仍然是大多数数据泄露的根源。然而,我们看到的最新趋势是,针对医院的犯罪袭击有所增加,自四年前首次研究以来,这一数字惊人地增加了100%,”波耐蒙研究所主席兼创始人拉里·波耐蒙博士说。“内部和外部威胁的结合带来了多层次的挑战,而卫生保健组织缺乏应对这一现实的资源。”
主要调查结果如下:
•数据泄露事件略有下降,但仍居高不下。数据泄露现在每年给医疗机构造成56亿美元的损失,略低于过去几年。90%的受访者在过去两年中至少发生过一次数据泄露,而38%的受访者在同一时期发生过五次以上的数据泄露。虽然医疗保健领域的数据泄露总数略有下降(表明医疗保健组织正在取得一些进展),但对患者数据的威胁仍然很高。许多组织仍然不堪重负,并与事件管理和遵守无数法规作斗争。beplay最新备用网站
•《平价医疗法案》增加了数百万患者及其信息的风险。近70%的受访者认为,由于安全保障不足,《平价医疗法案》增加或显著增加了数百万患者的风险。这些问题包括卫生保健提供者和政府之间不安全的交流(75%)、不安全的数据库(65%)和不安全的患者注册网站(63%)。三分之一的受访组织表示,他们不打算成为健康信息交换(HIE)的成员;72%的人对医疗卫生系统共享的患者数据的安全性和隐私性没有信心或只有一定程度的信心。
•疏忽大意的员工和工作场所不安全的设备仍然是一个巨大的安全威胁。75%的组织认为员工的疏忽是他们最大的安全担忧,因为越来越多地使用个人不安全设备(智能手机、笔记本电脑和平板电脑)增加了敏感数据的暴露。自带设备并不是一种新现象,但却是一种新的风险,因为个人设备变得越来越难以管理、控制和保护。事实上,88%的组织允许员工和医务人员使用自己的移动设备连接到组织的网络或企业系统(如电子邮件),以访问患者信息。与去年的研究类似,超过一半的组织对个人拥有的移动设备的安全性没有信心。然而,38%的组织没有采取措施确保这些设备的安全或防止它们访问敏感信息。
•医疗保健组织不信任第三方(业务伙伴)提供敏感的患者信息。商业伙伴是与医疗保健组织合作的第三方公司。他们可以访问患者信息,但仍在努力遵守旨在保护敏感信息的联邦法律——HIPAA最终规则。73%的组织对其第三方是否能够检测安全事件、执行事件风险评估并在发生数据泄露时通知他们没有信心或只有一点点信心。只有30%的组织相信他们的商业伙伴按照联邦HIPAA最终规则的要求适当地保护了患者信息。根据调查,对患者信息构成最大风险的业务伙伴是IT服务提供商、索赔处理人员和福利管理人员。
修补漏洞对组织来说是压倒性的
“自从HIPAA最终规则发布已经一年了,我们已经看到医疗保健组织在遵守联邦隐私和安全指导方针以及更好地保护患者信息方面取得了一些进展。然而,由于威胁和风险在不断变化,企业正处于不断追赶的状态,”美国注册会计师、ID Experts总裁兼联合创始人Rick Kam说。“这就像一个装满水的桶,上面有洞。水不停地喷出来,每次你补上一个洞,一个新的洞就会形成。修补旧漏洞和新漏洞的过程是压倒性的,而这些新数据证实了这一问题。”
来源:ID专家和波耐蒙研究所
