医疗服务提供商——而不是黑客——泄露了更多你的数据

在许多网站上，你的个人身份可能会落入老练的黑客的手中，但当涉及到健康数据泄露时，医院、医生办公室甚至保险公司通常都是罪魁祸首。

密歇根州立大学和约翰霍普金斯大学的一项新研究发现，最近超过一半的个人健康信息(PHI)数据泄露是由于医疗提供商的内部问题，而不是因为黑客或外部方。

“没有完美的存储信息的方法，但我们审查的案例中有一半以上不是由外部因素引发的，而是由内部疏忽引起的，”约翰(雪峰)江博士说，他是普兰特莫兰学院的第一作者，也是密歇根州立大学伊莱布罗德商学院会计和信息系统副教授。

这项研究发表在美国医学会内科杂志，紧跟着2017年联合研究显示了美国医院数据泄露的严重程度。该研究显示，在过去七年中，患者信息发生了近1800次大规模数据泄露事件，其中33家医院发生了一次以上的重大数据泄露事件。

在这篇论文中，Jiang和约翰霍普金斯大学凯里商学院副教授葛白博士深入研究了PHI数据泄露的触发因素。他们审查了2009年10月至2017年12月期间的近1150例病例，影响了超过1.64亿患者。

蒋说:“每次医院发生某种数据泄露，他们都需要向卫生与公众服务部报告，并对他们认为的原因进行分类。”“这些原因分为六类:盗窃、未经授权的访问、黑客攻击或IT事件、丢失、不当处置或‘其他’。”

在审查了详细的报告，评估了笔记，并根据具体的基准对病例进行了重新分类后，Jiang和Bai发现53%的病例是医疗机构内部因素造成的。

“四分之一的案件是由未经授权的访问或泄露造成的，是外部黑客造成的数量的两倍多，”蒋说。“这可能是员工将PHI带回家或转发到个人账户或设备，未经授权访问数据，甚至是通过电子邮件错误，例如发送给错误的收件人，复制而不是盲目复制或共享未加密的内容。”

虽然有些错误似乎是常识，但蒋说，大错误可能导致更大的事故，看似无害的错误可能会损害患者的个人数据。

“医院、医生办公室、保险公司、小型医生办公室，甚至药店都在犯这类错误，把病人置于危险之中，”蒋说。

在外部入侵中，盗窃占33%，黑客入侵仅占12%。

虽然一些数据泄露可能会导致轻微的后果，例如获取患者的电话号码，但其他数据泄露可能会产生更大的侵入性影响。例如，当Anthem公司在2015年遭遇数据泄露时，3750万条记录被泄露。许多受害者没有立即得到通知，所以直到他们去报税时才意识到这种情况，结果却发现第三方用他们从Anthem获得的数据欺诈性地提交了他们。

虽然严密的软件和硬件安全可以防止盗窃和黑客，Jiang和Bai建议医疗保健提供者采用内部政策和程序，可以通过遵循一套简单的协议来收紧流程，防止内部各方泄露PHI。缓解与存储相关的PHI泄露的程序包括从纸质医疗记录过渡到数字医疗记录、安全存储、为受患者保护的信息转向非移动策略以及实施加密。与PHI通信相关的程序包括对邮件收件人的强制验证，遵循“复制与盲目复制”协议(密件抄送与抄送)以及内容加密。

白说:“没有穿上全套盔甲，医疗机构就会受到敌人的攻击。”“好消息是，如果遵循简单的规程，穿上盔甲并不难。”

接下来，Jiang和Bai计划更仔细地研究从外部来源被黑客入侵的数据类型，以了解数字窃贼究竟希望从患者数据中窃取什么。

-资料来源:密歇根州立大学