根据美国卫生与公共服务部(HHS)民权办公室的安全漏洞网站数据显示,2019年全美医疗保健数据泄露事件大幅增加。过去一年,共上报510起外泄记录超过500条的数据泄露事件,相较于2018年增幅达196%。
如下图所示,自2015年以来,在卫生服务部民权办公室发布的安全违规摘要报告当中,医疗保健数据违规状况呈现出逐年递增的趋势。
与2018年的1394万7909条外泄记录相比,2019年的外泄记录数量达到4133万5889条,增幅达37.47%。
去年上报的数据泄露事件,在数量上达成历史新高;所涉及的泄露记录量也达到历史第二的水平。更可怕的是,2019年一年的医疗记录外泄量已经超越2009年至2014年的六年总和。2019年,全美12.55%民众的医疗记录遭遇泄露、意外公开或者盗窃。
2019年规模最大的医疗保健数据违规事件
下表所示,为2019年年内规模最大的医疗保健数据违规事件(数据来自相关机构的上报信息)。
相关机构名称 | 相关机构类型 | 受影响人数 | 违规类型 | 相关信息所在位置 | |
1 | Optum360, LLC | 业务协作方 | 1150万 | 黑客/IT事故 | 网络服务器 |
2 | Laboratory Corporation of America Holdings dba LabCorp | 医疗服务机构 | 1025万1784 | 黑客/IT事故 | 网络服务器 |
3 | Dominion Dental Services, Inc., Dominion National Insurance Company, and Dominion Dental Services USA, Inc. | 医疗保健计划 | 296万4778 | 黑客/IT事故 | 网络服务器 |
4 | Clinical Pathology Laboratories, Inc. | 医疗服务机构 | 173万3836 | 非授权访问/披露 | 网络服务器 |
5 | Inmediata Health Group, Corp. | 医疗保健结算机构 | 156万5338 | 非授权访问/披露 | 网络服务器 |
6 | UW Medicine | 医疗服务机构 | 97万3024 | 黑客/IT事故 | 网络服务器 |
7 | Women’s Care Florida, LLC | 医疗服务机构 | 52万8188 | 黑客/IT事故 | 网络服务器 |
8 | CareCentrix, Inc. | 医疗服务机构 | 46万7621 | 黑客/IT事故 | 网络服务器 |
9 | Intramural Practice Plan – Medical Sciences Campus – University of Puerto Rico | 医疗服务机构 | 43万9753 | 黑客/IT事故 | 网络服务器 |
10 | BioReference Laboratories Inc. | 医疗服务机构 | 42万5749 | 黑客/IT事故 | 其他 |
11 | Bayamon Medical Center Corp. | 医疗服务机构 | 42万2496 | 黑客/IT事故 | 网络服务器 |
12 | Memphis Pathology Laboratory d/b/a American Esoteric Laboratories | 医疗服务机构 | 40万9789 | 非授权访问/披露 | 网络服务器 |
13 | Sunrise Medical Laboratories, Inc. | 医疗服务机构 | 40万1901 | 黑客/IT事故 | 网络服务器 |
14 | Columbia Surgical Specialist of Spokane | 医疗服务机构 | 40万 | 黑客/IT事故 | 网络服务器 |
15 | Sarrell Dental | 医疗服务机构 | 39万1472 | 黑客/IT事故 | 网络服务器 |
16 | UConn Health | 医疗服务机构 | 32万6629 | 黑客/IT事故 | 电子邮件 |
17 | Premier Family Medical | 医疗服务机构 | 32万 | 黑客/IT事故 | 网络服务器 |
18 | Metro Santurce, Inc. d/b/a Hospital Pavia Santurce and Metro Hato Rey, Inc. d/b/a Hospital Pavia Hato Rey | 医疗服务机构 | 30万5737 | 黑客/IT事故 | 网络服务器 |
19 | Navicent Health, Inc. | 医疗服务机构 | 27万8016 | 黑客/IT事故 | 电子邮件 |
20 | ZOLL Services LLC | 医疗服务机构 | 27万7319 | 黑客/IT事故 | 网络服务器 |
上表还不足以体现问题的严重性。当协作伙伴遭遇数据泄露时,往往不愿及时上报违规情况。因此,不少协作伙伴违规最终是由合作方机构所上报——美国医疗收集机构(AMCA)就属于这种情况,该机构下辖多个受HIPAA监管要求涵盖的机构。
2019年,黑客夺取AMCA系统的访问权限,并窃取到大量敏感客户数据。此次违规事件成为有史以来民权办公室接到上报的第二大医疗保健数据泄露事故,在规模上能够与之相抗衡的只有2015年的Anthem公司事件。
《HIPAA Journal》跟踪了各受影响实体机构上报至民权办公室的违规报告。目前已知至少有24家组织因黑客入侵而引发数据泄露/盗窃。
2019年受AMCA数据泄露事故影响的组织
医疗保健机构 | 已确认受害者人数 |
Quest Diagnostics/Optum360 | 1150万 |
LabCorp | 1025万1784 |
Clinical Pathology Associates | 173万3836 |
Carecentrix | 46万7621 |
BioReference Laboratories/Opko Health | 42万5749 |
American Esoteric Laboratories | 40万9789 |
Sunrise Medical Laboratories | 40万1901 |
Inform Diagnostics | 17万3617 |
CBLPath Inc. | 14万1956 |
Laboratory Medicine Consultants | 14万590 |
Wisconsin Diagnostic Laboratories | 11万4985 |
CompuNet Clinical Laboratories | 11万1555 |
Austin Pathology Associates | 4万3676 |
Mount Sinai Hospital | 3万3730 |
Integrated Regional Laboratories | 2万9644 |
Penobscot Community Health Center | 1万3299 |
Pathology Solutions | 1万3270 |
West Hills Hospital and Medical Center / United WestLabs | 1万650 |
Seacoast Pathology, Inc | 8992 |
Arizona Dermatopathology | 5903 |
Laboratory of Dermatology ADX, LLC | 4082 |
Western Pathology Consultants | 4079 |
Natera | 3035 |
South Texas Dermatopathology LLC | 1万5982 |
总外泄记录条数 | 2605万9725 |
2019年医疗保健数据泄露原因汇总
民权办公室将去年全部违规事件划分为以下五大类别:
黑客/IT事故
未授权访问/披露
盗窃
丢失
处理不当
2019年,有59.41%的上报医疗数据违规事件被归类为黑客/IT事故,涵盖全部泄露记录中的7.60%。另有28.82%的上报事件被归类为未授权/披露类别,涵盖2019年全部外泄记录中的11.27%。
由未加密受保护电子健康信息或物理记录电子设备丢失及盗窃造成的违规事件占比为10.59%,涵盖2019年内全部外泄记录总量的1.07%。
最后,因电子健康信息物理记录及设备丢失及处理不当而引发的事件,各自“贡献”了全部外泄记录中的1.18%与0.06%。
违规原因 | 事故数量 | 外泄记录 | 外泄记录平均数 | 外泄记录中位数 |
黑客/IT事故 | 303起 | 3621万97 | 11万9505 | 6000 |
未授权访问/披露 | 147起 | 465万7932 | 3万1687 | 1950 |
盗窃 | 39起 | 36万7508 | 9423 | 2477 |
丢失 | 15起 | 7万4271 | 4951 | 3135 |
处置不当 | 6起 | 2万6081 | 4347 | 4177 |
截至目前,2019年所上报全部违规事件的具体原因还未整理完毕。但下表已经总结出各医疗机构面临的主要安全挑战——保护电子邮件系统,以及阻止网络钓鱼攻击。电子邮件类事故也包括误导性电子邮件,但其中大部分仍然是我们耳熟能详的网络钓鱼与鱼叉式网络钓鱼。
医疗保健数据违规事件所涉及的机构实体
纵观2019年,77.65%的数据违规事件(总计369起)由医疗保健服务商上报,各类健康计划上报事件比例为11.57%(59起),医疗保健结算机构上报比例为0.39%(2起事件)。
在这一年中,有23.33%的数据泄露与协作伙伴相关。由协作伙伴上报的数据泄露事件占过去一年事件总量的10.39%(53起),相关机构实体则上报66起确认源自协作伙伴的数据泄露事件。
美国各州医疗保健机构数据泄露情况
此次采集到的数据来自HIPAA覆盖的48个州,外加华盛顿特区以及波多黎各的各实体机构与协作伙伴。受数据违规问题影响最严重的是得克萨斯州,总计上报60起相关事件。加利福尼亚州位列第二,共上报42起数据泄露事件。
只有北达科他州与夏威夷未上报任何涉及记录超过500条的数据泄露事件。
州名称 | 泄露事件数量 | 州名称 | 泄露事件数量 | 州名称 | 泄露事件数量 | 州名称 | 泄露事件数量 | 州名称 | 泄露事件数量 |
得克萨斯 | 60 | 马里兰 | 14 | 阿肯色 | 9 | 阿拉巴马 | 4 | 密西西比 | 2 |
加利福尼亚 | 42 | 华盛顿 | 14 | 南卡罗来纳 | 9 | 阿拉斯加 | 4 | 蒙大拿 | 2 |
伊利诺伊 | 26 | 乔治亚 | 13 | 新泽西 | 8 | 爱荷华 | 4 | 南达科他 | 2 |
纽约 | 25 | 北卡罗来纳 | 13 | 马萨诸塞 | 7 | 肯塔基 | 4 | 华盛顿特区 | 2 |
俄亥俄 | 25 | 田纳西 | 11 | 波多黎各 | 7 | 内布拉斯加 | 4 | 西弗吉尼亚 | 2 |
明尼苏达 | 23 | 亚利桑那 | 10 | 弗吉尼亚 | 7 | 奥克拉荷马 | 4 | 特拉华 | 1 |
佛罗里达 | 22 | 科罗拉多 | 10 | 路易斯安那 | 6 | 犹他 | 4 | 堪萨斯 | 1 |
宾夕法尼亚 | 19 | 康涅狄格 | 10 | 新墨西哥 | 6 | 怀俄明 | 3 | 新罕布什尔 | 1 |
密苏里 | 17 | 印第安纳 | 10 | 威斯康星 | 6 | 爱达荷 | 2 | 罗德岛 | 1 |
密歇根 | 16 | 俄勒冈 | 10 | 内华达 | 5 | 缅因州 | 2 | 佛蒙特 | 1 |
2019年HIPAA执法情况
HHS民权办公室在2019年内的HIPAA执法活动力度与此前三年基本持平。2019年,民权办公室共执行10项HIPAA经济处罚,其中包括2项民事罚款,并与8家实体机构/协作伙伴达成和解。
这一年中,民权办公室共收取1227万4千美元罚款与和解金。其中University of Rochester Medical Center与Touchstone Medical Imaging成为两大典型,双方均以300万英镑处罚金与民权办公室达成和解。
民权办公室在调查University of Rochester Medical Center上报的丢失/盗窃事件时,还发现其存在多项有违HIPAA规定的其他行为。调查发现其风险分析与风险管理制度存在缺陷,便携式电子设备上未受加密保护,且对设备与媒体的控制能力亦严重不足。
Touchstone Medical Imaging公司同样经历一轮数据泄露:由于FTP服务器意外向互联网公开,导致30万7839名受害者的个人医疗信息(PHI)不慎流出。民权办公室已经调查并确定该公司存在风险分析缺失、合作伙伴协议失败、访问权限管理不力、无法响应安全事故以及违反HIPAA通报要求等问题。
Sentara Hospitals在违规事件中泄露577条记录,据民权办公室收到的报告称,受事件影响的患者仅为8名——但该医院仍然因此付出217.5万美元代价。民权办公室在执法公告中强调,Sentara Hospitals未尽及时发布违规事件通告的义务,且未能提醒受邮件公开影响的相关个人。民权办公室确认称,这笔罚款主要用于处罚未及通告义务以及该医院未与另一家服务商签署业务关联协议的行为。
来个佛罗里达州迈阿密的非营利性学术医疗机构Jackson Health System(JHS)去年被罚款215.4万美元。数据泄露之后,民权办公室立即展开调查,并发现该机构的合规性计划长期管理混乱。此项计划中包含多项与HIPAA要求相冲突的隐私、安全与通报规则。
得克萨斯州Department of Aging and Disability Services则在接受因内部应用意外暴露而引起的介入调查时,被发现存在多项有违HIPAA要求的行为,并因此面对160万美元罚款。民权办公室发现该机构存在风险分析不力、访问控制缺失以及信息系统活动监控不当等问题,先后导致6617名患者的个人电子健康信息意外泄露。
总部位于印第安纳州的电子病历软件与服务供应商Medical Informatics Engineering早在2015年就有前科——其旗下子公司NoMoreClipboard当时曾遭遇大规模数据泄露事故。黑客利用窃取到的用户名与密码顺利访问了承载有350万个人受保护健康信息(PHI)的内部服务器。民权办公室发现其存在风险分析不力问题,案件最终以10万美元罚款达成和解。除此之外,该公司还就同一案件同印第安纳州检察长达成和解,罚款额为90万美元。
来自乔治亚州卡罗尔县的救护车服务公司West Georgia Ambulance上报丢失一台未加密笔记本电脑,其中保存有500名患者的PHI记录。民权办公室发现,该公司存在风险分析不当、缺少针对员工安全意识的培训计划,以及未实施HIPAA要求安全规则等行为。此案最终以65000美元罚款达成和解。
去年,还有一家社交媒体因违反HIPAA规定受到惩罚。Elite Dental Associates曾对Yelp上的患者评价做出回应,并在其中意外提到PHI相关信息。民权办公室认为应适当处于罚款,此案最终以10000美元达成和解。
民权办公室还于2019年同Korunda Medical与Bayfront Health St. Petersburg针对HIPAA违规案件达成和解,理由是双方未能在合理时间内根据患者要求提供健康信息记录副本。两家机构分别为此付出85000美元罚款。
2019年民权办公室HIPAA执法与民事罚款行动
2019年各州检察长HIPAA执法行动
各州检察长同样有权对违反HIPAA规定的行为采取行动。2019年,全美共有三起与被保险实体及协作伙伴相关的检察长执法行动。之前提到,Medical Informatics Engineering在多州遭遇诉讼,并支付总计90万美元罚款。
Premera Blue Cross同样面对类似的跨州诉讼,起因是该公司2015年在一次黑客入侵中泄露1040万条记录。调查发现其曾多次违反HIPAA规定,并据此处以1000万美元罚款。
加利福尼亚州检察长也针对影响1991名加州居民的数据泄露事件采取执法行动。健康保险公司Aetna曾向受保方发出两封信件,但通过信封透明处能够看到其中包含与HIV以及Afib诊断结果相关的敏感信息。此案值最终以93万5千美元罚款达成和解。
本文由安全内参翻译自hipaajournal
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
