2019年3月美国医疗保健行业数据泄露事故汇总

2019年3月，医疗保健行业的数据泄露事件以每天约一起的速度出现。在此期间，HIPAA监管下的各职能实体及其业务伙伴共向卫生与福利部民权办公室报告了30起医疗数据泄露事件。与过去60个月相比，今年3月的违规事件总数在平均值方面上涨了11%。

本次报告的违规数量环比下降6.67%，所涉及违规医疗记录数量下降58%。今年3月，全部上报医疗保健数据泄露事件共涵盖88万3759人的医疗记录，具体问题包括外泄、未授权披露以及被盗。

2019年3月医疗保健数据泄露原因

卫生与福利部民权办公室此次将黑客攻击与其它IT事件（例如恶意软件与勒索软件攻击等）结合在一起，而这一类别也成为今年3月安全报告中的主体，共涵盖19起事件。其中黑客/IT事件所涉及的受损记录占比亦达到83，69%（总计73万9635条）。

今年3月共出现8起未经授权的访问/泄露事件，共涉及8万1904份本应得到严格保护的医疗记录。此外，亦出现4起盗窃事件，共涉及2万3960份记录。

Navicent Health上报的数据泄露事件在本月的报告当中“夺魁”——在此次网络钓鱼攻击当中，共有27万8016名患者的个人记录可能遭到攻击者的访问及复制。ZOLL Services也报告了规模类似的数据泄露事件，受影响个人达到8万7319名。ZOLL Services的事件源自某家业务合作伙伴，后者作为电子邮件归档服务商，意外删除了客户网络服务器中的保护机制。目前尚不清楚这些记录是否在无保护阶段之内受到未经授权的访问侵扰。

2019年3月十大医疗保健行业数据泄露事件

受保护医疗信息外泄位置统计

在2019年3月的医疗保健数据泄露报告当中，电子邮件相关问题无疑占据着主导地位。根据报告所示，共有12起事件涉及存储在电子邮件及/或电子邮件附件当中的ePHI数据。绝大部分电子邮件违规皆源自网络钓鱼攻击活动，另有7起涉及针对网络服务器的黑客攻击/IT事件——具体包括勒索软件攻击、黑客攻击以及安全解决方案的意外停用等情况。

各相关实体医疗保健数据泄露情况统计

医疗保健供应方在今年3月的医疗保健数据泄露报告中占比最高，共上报21起事故。医疗规划机构上报4起违规行为，HIPAA商业伙伴则报告总计5起数据泄露事件。另外3起违规行为则涉及部分业务协作方。

本月各州医疗保健数据泄露统计

在2019年3月上报的数据泄露事件共涵盖总部位于18个州的各医疗保健组织/商业伙伴。其中加利福尼亚州、俄亥俄州以及宾夕法尼亚州各报告3起数据泄露事件。亚利桑那州、爱达荷州、马里兰州、马萨诸塞州、明尼苏达州、俄勒冈州以及南卡罗来纳州各上报2起违规事件。康涅狄格州、佛罗里达州、乔治亚州、印第安纳州、密西西比州、纽约州以及俄克拉荷马州各上报了一次违规事件。

2019年3月HIPAA执法行动

2019年3月，卫生与福利部下辖民权办公室并非实施任何罚款或和解行动；不过，得克萨斯州老龄与残疾服务部已经同意对2015年发生的数据泄露事件进行罚款。

得克萨斯州批准了总额达160万美元的和解条件，以解决2015年6月在对过去8年间数据泄露资料进行审查时，发现的一起严重有违HIPAA要求的案件。民权办公室方面尚未公开确认双方达成和解。

2019年3月，各州检察长亦未执行任何与HIPAA相关的经济处罚。

本文由安全内参翻译自HIPAA Journal

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。