冬天
2023
发布信息报告:数据泄露呈上升趋势
作者:Diane E. Ferry, MS, RHIA
郑重声明
第35卷第1页
医疗机构的数据泄露正在急剧上升。根据美国政府的数据,2022年前5个月的数据泄露数量几乎是去年同期的两倍。Critical Insight利用卫生与人类服务部(HHS)的信息在2021年进行的一项研究发现,从2018年到2021年,医疗保健组织的数据泄露数量增加了84%。2021年,数据泄露的受害者人数从2018年的1400万增加到4490万。
2021年,93%的医疗保健组织至少经历了一次数据泄露,57%的组织在2021年经历了5次以上的数据泄露。2022年4月,26个州受hipaa监管的实体报告了违规行为。纽约州和俄亥俄州是受影响最严重的州,分别发生了7起和6起数据泄露事件。此外,在2022年4月,卫生与公众服务部民权办公室(OCR)收到了56起数据泄露事件,涉及500条或更多的记录。
2022年最大的数据泄露事件之一发生在TriCare。超过500万条记录受到了影响。备份磁带是一名员工在设备间运输磁带时被盗的。备份磁带上的数据被加密;然而,这种加密方法并没有遵循联邦标准。卫生保健设施需要制定更好的政策,在设施之间传输卫生保健数据。
什么被认为是数据泄露?
当未经授权的人员访问受保护的健康信息(PHI)或PHI丢失时,就会发生数据泄露。例如,包含PHI的笔记本电脑丢失或被盗;当包含PHI的手机、笔记本电脑或计算机被黑客入侵时;或者当医疗机构代表有意或无意地向未经授权的人员披露PHI时。根据HHS的说法,违反HIPAA隐私规则被认为是不允许的使用或披露,损害了PHI的安全性或隐私性。
HIPAA要求向OCR报告所有医疗保健数据泄露。OCR公布了500条或以上记录的违规摘要。
根据HIPAA违规通知规则(45 CFR§§164.400-414),涉及PHI电子或物理副本的违规行为必须由受保实体及其业务伙伴报告。可报告的HIPAA违规行为包括勒索软件攻击、不当披露、PHI暴露以及员工和第三方未经授权访问PHI。但有些PHI违规行为不受HIPAA违规通知规则的约束。其中包括:
•违反受保护的PHI,例如无法访问密钥解锁的加密数据;
•授权人员无意(善意地)获取、访问或使用PHI,但不会导致进一步披露或使用;
•被授权人员无意中将PHI泄露给组织内另一个同等被授权人员;和
•当承保实体或商业伙伴披露了PHI,并善意地认为该PHI并未被披露给的人保留。
美国卫生与公众服务部的网站列出了过去24个月里所有正在进行的调查,这些调查涉及至少500人的医疗保健违规行为。该网站还提供了要求他们的规定,并澄清了报告过程。
所涵盖的医疗保健组织不仅要对自己在确保信息安全方面的运营负责,还要对所有分包商和第三方供应商的绩效负责。
数据安全既是医疗机构的法律责任,也是道德责任。联邦和州法律明确规定了这些法律要求。这也是各组织对其所服务的社区的使命和承诺的一部分。数据泄露对这些责任构成了越来越大的威胁。随着医疗保健领域继续向越来越多的信息管理技术发展,安全挑战将继续增长。
对于医疗机构来说,违规行为可能会造成极其昂贵的经济损失和声誉损失。根据HIPAA杂志在美国,一个组织在缓解数据泄露方面的平均成本为942万美元。每起事故的平均成本为424万美元。此外,可能会有非常重要的联邦和州罚款/制裁。失去社区信任的代价是无法估量的。
在美国,大多数医疗保健数据泄露都是黑客攻击或it相关事件的结果。最常见的医疗保健数据泄露可归因于以下原因:
•密码不强或密码共享;
•使用未经过适当审查或测试的软件;
•没有定期更新的IT设置;
•盗窃电脑、笔记本电脑或手机;
•网络攻击;
•网络钓鱼诈骗;
•下载和打开含有病毒的电子邮件;和
•对数据安全策略和程序的忽视。
与数据泄露相关的另一个问题是远程工作员工的增加。自2019冠状病毒病以来,许多工人已经搬回家工作,网络攻击的风险显着增加。远程工作肯定会继续存在;因此,卫生保健组织必须加强对远程工作人员的教育和监测。根据IBM的数据泄露成本报告,5%的数据泄露涉及远程工作人员。识别这些类型的数据泄露也需要更长的时间。
最常见的被盗信息是患者的姓名、出生日期、社会安全号码、电话号码和地址。
医疗保健机构是网络犯罪的目标,因为他们在整个运营过程中使用和维护了大量的PHI,从大型医疗系统到个人专业提供商。这些信息对网络罪犯来说非常有价值,但也可能成为恶作剧或好奇的黑客的目标。
数据泄露对攻击者来说是非常有利可图的。这些攻击者寻求医疗保健数据以泄露身份、窃取资金或出售信息。盗窃也可以用于勒索赎金。
数据泄露的发生可能有多种原因,包括事故,但有针对性的攻击通常通过以下四种方式进行:
•利用系统漏洞。过时的软件会造成漏洞,使攻击者可以将恶意软件潜入计算机并窃取数据。
•弱密码。弱和不安全的用户密码更容易被黑客猜到,特别是如果密码包含完整的单词或短语。这就是为什么专家建议不要使用简单的密码,而要使用独特、复杂的密码。
•免费下载。只要访问一个受感染的网页,就可能无意中下载病毒或恶意软件。飞车式下载通常会利用过时或存在安全漏洞的浏览器、应用程序或操作系统。
•针对性的恶意软件攻击。攻击者使用垃圾邮件和网络钓鱼电子邮件策略试图欺骗用户泄露用户凭据、下载恶意软件附件或将用户引导到易受攻击的网站。电子邮件是恶意软件进入你电脑的常见途径。避免打开不熟悉来源的电子邮件中的任何链接或附件。这样做会使你的电脑感染恶意软件。请记住,一封电子邮件可以看起来像是来自一个可信的来源,即使它不是。
HIM专业人员的角色
作为领导团队的一部分,信息安全专业人员在组织中扮演着非常重要的角色,以确保信息安全在所有级别的所有决策中都具有高度优先级,特别是在信息安全和IT部门中。在个人层面上,卫生保健机构的员工和公众需要做些什么来保护他们的健康和一般信息?
•使用强大、安全的密码。密码不应该被共享。不应为多个帐户使用相同的密码。
•手机安全。
•仅使用安全的url。信誉良好的网站以https://.开头“安全”的“s”是关键。
•清除硬盘驱动器。如果你要回收你的旧电脑,确保在处理之前清理你的硬盘驱动器。智能手机和平板电脑也是如此。
•避免在社交媒体上过度分享。永远不要发布任何与敏感信息有关的信息,并调整你的设置,使你的个人资料保密。
医疗保健组织必须在数据泄露的IT组件方面保持领先地位。2023年,网络攻击犯罪很可能会大幅增加。让我们希望HIM专业人员和其他医疗保健领导者的工作将最大限度地减少它们,使他们的患者和社区更安全。
- Diane E. Ferry, MS, RHIA,是ScanSTAT Technologies的合伙人。她曾担任Star-Med LLC总裁兼首席执行官22年。
