1月2019

HIPAA挑战:数据泄露:对普遍问题的洞察
作者:Keith Fricke, MBA, CISSP, PMP, Susan Lucci, RHIA, CHPS, CHDS, AHDI-F
郑重声明
第三十一卷第一页

医疗保健行业越来越成为犯罪分子的目标，他们试图通过未经授权访问和获取患者信息来赚钱。这些医疗保健数据可用于身份盗窃、医疗身份盗窃和其他欺诈活动。与被盗用的信用卡不同，一个人的医疗记录不能被取消和替换。

从2009年到2018年9月30日，在卫生与人类服务部(通常被称为“羞耻之墙”)网站上发布的指标确定了2428起违规行为，影响了近1.83亿患者。每起违规事件都涉及500多名患者。

盗窃是泄露类型中排名第一的，占总事件的35%，其次是未经授权的访问，占总事件的28%。有趣的是，在同一时期，黑客攻击仅占报告的违规行为的21%。然而，黑客攻击导致的数据泄露影响了近1.37亿患者，占所有受报告事件影响患者的75%。与被盗设备暴露未受保护的患者信息相比，黑客攻击通常倾向于提供更多的记录。

在这九年的时间里，商业伙伴对16%的违规行为负责。按年计算，这一区间通常在14%至24%之间。对2018年1月1日至9月30日期间的违规指标进行的检查显示，向民权办公室报告了255起违规行为，其中64起涉及商业伙伴。再深入一步，12个漏洞涉及10万或更多患者。其中四起是由商业伙伴造成的。

尽管将大多数违规行为归咎于业务伙伴似乎是有道理的，但大多数(当然还有大型违规行为)仍然发生在医疗保健机构。

患者信息被盗或丢失，以及未经授权的访问，削弱了患者信息的保密性。以下常见的疑点继续导致暴露的患者记录数量不断增加:

•网络钓鱼攻击欺骗电子邮件用户打开附件或点击含有恶意软件的网站链接。这类恶意软件经常提供未经授权的远程访问医院网络或计算机系统的机会。其他恶意软件可能捕获并转发包含登录凭据的按键，或者通过隐蔽的通信渠道将数据泄露到互联网上。

•丢失或被盗的移动设备缺少必要的安全控制，可能会暴露存储的患者信息。缺乏加密、密码/PIN或远程管理(包括远程擦除设备)是助长这些违规指标的原因。

•错误配置的访问控制经常被认为是违规的根本原因。在多次失败的登录尝试后未能启用帐户锁定允许攻击者使用暴力访问尝试。添加弱密码会导致无法保护敏感信息。

•未能维护修复操作系统和应用软件漏洞的安全补丁，导致大门未上锁，等待不法分子发现并进入。

金融的影响
对患者的影响只是一部分，违约成本也必须考虑在内。

显而易见的成本是民权办公室或州检察长办公室对医疗机构或商业伙伴征收的罚款。然而，和解协议只是冰山一角。

事件响应成本迅速上升，主要有两个原因。首先，根据Mandiant的2018年M-Trend报告，犯罪分子未经授权访问组织网络的平均时间为75.5天。这比2017年的99天有所减少;前几年的中位数徘徊在204天左右。

如此长的检测间隔时间意味着事件调查人员必须花费更多的时间来了解漏洞的范围。电子活动日志的保留不足使得很难或不可能拼凑出发生的事情。

检测未授权访问所需时间的稳步减少令人鼓舞，这是对不良行为者正在做什么的更好的认识和领导层推动投资以提高安全性的结果。然而，对于不受欢迎的访问者在被发现之前在网络上徘徊寻找敏感数据来说，75天仍然太长了。

其次，当今技术基础设施的复杂性和存储的数据量增加了事件响应过程的时间。当聘请高技能但昂贵的法医人才对数据泄露进行分类、诊断和补救时，成本可能会飙升。一旦尽可能地完成分析，工作就转向遏制、根除和恢复。每个阶段都有相关的成本，包括劳动力。

还有其他成本也会影响被入侵的医疗保健组织的底线。例如，必须向受影响的患者发出通知信。呼叫中心可能会被激活，以处理收到这些信件或通过新闻广播、互联网、印刷品或口口相传听到事件的患者的询问。

此外，还可以提供信用监控。受影响的各方可能会提起诉讼，从而产生法律费用。全面管理公共关系也增加了财政负担。可能会引入第三方来审查安全和隐私程序，执行风险分析，并解决侦查和保护控制方面的差距。

如果受损的患者记录被用于医疗身份盗窃，则必须纠正由此产生的计费错误，并修改医疗记录。

所有这些成本都是可量化的、有形的费用。另一方面，声誉损失和随之而来的客户损失很难量化。总而言之，直接成本、间接成本和机会成本的组合可以显著影响医疗保健组织的财务状况。

由IBM安全赞助、波耐蒙研究所(Ponemon Institute)进行的“2018年数据泄露成本研究:全球概览”指出，医疗保健数据泄露的代价超过了所有其他行业。每条记录丢失或被盗的成本为408美元，几乎是跨行业平均水平148美元的三倍。

该合作伙伴关系于10月发布了“2018年数据泄露研究:业务连续性管理的影响”，这是2018年7月报告的延伸，其中包括扩展的调查结果和对业务连续性管理计划价值的评论。数据泄露可能会导致业务中断，特别是在必须将部分技术基础设施脱机作为取证响应的一部分的情况下。

这些研究结果验证了业务连续性管理计划可以帮助组织节省与违规解决相关的时间和金钱。

组织意识
在考虑医疗保健漏洞度量和成本的各个方面时，每个组织都必须始终保持警惕，使其员工意识到安全问题。必须正确地进行员工意识培训和安全风险分析，并定期更新。

有证据表明，内部错误和外部威胁可能导致严重且代价高昂的违规事件。考虑一下针对当前网络攻击方法的教育和培训，比如网络钓鱼和勒索软件。解决“通常的嫌疑”必须成为任何提高安全和隐私程序成熟度的努力的一部分。

商业伙伴协议
从本质上讲，业务伙伴是医疗保健组织的劳动力和业务的延伸。因此，组织必须与其合作伙伴密切合作，以帮助支持法规遵循工作。beplay最新备用网站例如，他们应该分享成功的策略，而不仅仅是让他们签署商业合作协议。花时间评估他们的遵从性级别和安全实践。beplay最新备用网站毕竟，商业伙伴同样有责任保护健康信息。

一份有效的商业伙伴协议必须清楚地阐明责任和责任。它应该针对组织特定的政策，而不是从互联网上下载的基本模板，因为这些模板可能无法达到目的。专门为组织量身定制的策略更有可能被遵循。任何业务伙伴协议还应该包括安全事件报告、漏洞缓解和财务责任的严格时间表。

在整个组织中建立一种以安全为中心的关系——从管理层到下级——以确保隐私文化成为每个人日常工作的一部分。将这种隐私文化扩展到商业伙伴身上，希望也能影响他们的心态。

- Keith Fricke, MBA, CISSP, PMP, two - security合伙人兼首席顾问。

- Susan Lucci, RHIA, CHPS, CHDS, AHDI-F，是two - security的高级隐私/安全顾问。