2018年美国医疗保健行业数据泄露事故综述

2018年全年美国共发生18起涉及医疗记录数量达到或超过10万份的数据泄露事件。其中有8起事故甚至影响到超过50万份医疗记录，另有3起违规令超过100万份医疗保健记录遭到意外曝光。

糟糕的一年：医疗保健数据大量泄露

截至2018年12月27日，美国卫生与公众服务部民权办公室（简称OCR）已经收到总计351起数据违规事件通知，这些事件皆涉及500份甚至更多医疗保健记录泄露。综合来讲，这351起事件导致的医疗记录外泄总量，更是达到惊人的1302万821份。

单从报告的医疗数据泄露事件数量来看，2018年的状况与2017年基本持平；然而，从所涉及的医疗记录外流数量角度出发，2018年的数字则达到2017年的两倍还多。

2017年，向民权办公室上报的500份及以上医疗保健记录泄露事件的总次数为359起，全部违规行为总计导致513万8179份医疗记录遭遇外流。

2018年年内各例重大医疗数据泄露事件

下面，我们列出了2018年年内发生的各例重大医疗保健数据泄露事件。在后文中，我们还将对相关违规问题做出简要的说明。

截至本文撰稿时，民权办公室仍在调查除下列重大事件之外的其它全部违规行为。另外，只有LifeBridge Health泄露事件的调查工作已告结束。

2018年年内各例重大医疗数据泄露事件原因

下面，我们一同来看引发2018年年内发生的各例重大医疗数据泄露事件的进一步信息。

AccuDoc Solutions有限公司

总部位于北卡罗来纳州莫里斯维尔的AccuDoc Solutions公司是一家计费厂商，负责运营Atrium Health在北卡罗来纳州、南卡罗来纳州以及佐治亚州的44家医院体系所使用的在线支付系统。该公司发现其部分数据库于去年9月22日至9月29日之间遭到入侵。这些数据库当中包含265万2537名患者的医疗记录。虽然能够查看数据，但AccuDoc方面报告称攻击者无法下载该数据库。这不仅是2018年年内出现的规模最大的医疗数据泄露事件，同时也是自2016年9月以来得到确认及上报的最大医疗数据违规问题。

UnityPoint Health

2018年5月31日，检测到针对UnityPoint Health公司的网络钓鱼攻击。取证调查结果显示，由于该公司员工受到企业电子邮件泄密攻击的诱导，有多个电子邮箱账户在2018年3月14日至4月3日之间遭到入侵。其中，一名受信任高管的电子邮箱账户被恶意攻击者掌握，数名员工回复了这封由顶替者发出的邮件并在其中公开了自己的电子邮箱登录凭证。此次事件当中，全部受感染邮箱账户中总计包含142万1107份个人医疗信息记录。

得克萨斯州员工退休基金

得克萨斯州员工退休基金下辖的ERS OnLine门户网站上被发现存在一项漏洞，允许某些人士在登录门户之后查看其他注册成员的受保护健康信息。此项漏洞源自编码错误。这起事件可能导致多达124万8263位成员的个人医疗信息遭到其他医疗项目成员的窥探。

加利福尼亚州发展服务部

加利福尼亚州发展服务部的多个分支办公室遭到一起物理入侵。窃贼在顺利溜进办公室期间，除了5821份个人医疗信息记录之外，亦有可能查看到与大约15000名员工、承包商、求职者以及接受发展服务部服务的未成年人父母相关的敏感信息，

MSK Group

位于田纳西州的MSK Group拥有一套整形外科医疗实践网络。该公司于2018年5月发现有黑客入侵其网络。攻击者在几个月时间之内访问到网络中的某些区域，包括个人、健康以及保险信息在内的约56万6236位患者的医疗记录可能遭到查看或者复制。

CNO金融集团有限公司

位于芝加哥的医疗保险公司Bankers Life属于CNO金融集团有限公司下辖的事业部之一，其发现自家系统于去年5月30日到9月13日之间遭到黑客入侵，并有可能因此导致多达56万6217位患者的个人信息遭到窃取。

LifeBridge Health有限公司

总部位于巴尔的摩的医疗保健供应商LifeBridge Health发现其服务器之上被安装了恶意软件。这台服务器用于托管LifeBridge Potomac Professionals与LifeBridge Health的患者登记与计费系统所使用的电子病历系统。受影响的系统总计包含53万8127名患者的个人医疗信息。

Health Management Concepts有限公司

Health Management Concepts公司发现恶意攻击者入侵其一台用于文件共享的服务器，并向其中安装了勒索软件。对方要求支付赎金以解锁加密文件；但根据该公司发布的报告称，他们“无意中向黑客提供”了一个文件，其中包含50万2416位患者的个人医疗信息。由此看来，该公司似乎是在通过这个“无意间”发送的文件向攻击者证明其有能力自行解密文件。

奥古斯塔大学医疗中心

奥古斯塔大学医疗中心遭遇的网络钓鱼攻击导致两名员工的电子邮箱账户受到未授权访问。受感染的电子邮箱账户当中包含总计41万7千名患者的个人医疗信息。

SSM Health圣玛丽医院——杰斐逊市

圣玛丽医院搬迁至新址，所有患者的病历也都随之转移到新的设施。然而就在去年6月1日，医院方面发现包含30万1千名患者受保护健康信息的行政文件被遗落在原址。堪称万幸的是，此次违规事件泄露的信息主要限于患者的姓名以及医疗记录编号。

俄克拉荷马州州立大学健康科学中心

俄克拉荷马州州立大学健康科学中心发现其计算机网络中的多个部分遭遇未授权个人访问，并有可能导致引发医疗补助患者账单信息的文件泄露。此次违规事件影响到27万9865名患者，不过攻击者只能从中获得一小部分患者的个人医疗信息。

Med Associates有限公司

总部位于纽约州拉桑姆的医疗计费厂商Med Associates公司负责为超过70家医疗保健供应商提供索赔服务。去年，他们发现一名员工的计算机遭遇未授权个人访问。攻击者可能获得最多27万6057名患者的个人医疗信息。

亚当斯县政府

威斯康星州亚当斯县发现其政府网络受到黑客入侵，对方有可能访问到25万8102位居民的个人医疗信息与个人身份信息。遭到入侵的系统主要对接该县医疗与人类服务部门、儿童支持部门、退伍军人服务办公室、宣传办公室、亚当斯县雇员管理部门、固体废物处理以及区长办公室等机构。

MedEvolve公司

MedEvolve公司是一家面向医疗保健供应商的电子计费与记录服务企业，该公司发现自己的一台FTP服务器于去年3月29日到5月4日之间处于无保护状态。这台FTP服务器上的文件中，包含Premier Immediate Medical Care项目中20万5434名患者的个人医疗信息。

HealthEquity有限公司

HealthEquity是一家位于犹他州的企业，主要提供服务以帮助个人用户获得税收优惠以抵消医疗保健成本。该公司在去年遭遇网络钓鱼攻击，黑客方面夺取到两名员工的电子邮箱账户，其中包含涉及16万5800名患者的个人医疗信息。

圣彼得外科与内窥镜检查中心

位于纽约的圣彼得外科与内窥镜检查中心发现其服务器上被安装了恶意软件，可能导致13万4512名患者的个人医疗信息暴露在黑客的访问范围之内。该恶意软件在安装完毕的同一天即被发现，如此迅速的检测与响应速度有望及时阻止患者数据遭到查看或复制。

纽约州肿瘤学与血液学中心

位于纽约州奥尔巴尼的纽约州肿瘤学与血液学中心遭遇网络钓鱼攻击，致使黑客夺取15名员工的电子邮箱账户。这些账户中包含总计12万8400名病患及现任/前任员工的个人医疗信息。

男孩镇国立研究医院

男孩镇国立研究医院是一家专门研究儿科听力、视觉与沟通能力障碍的医院，位于内布拉斯加州奥马哈医院。该医院去年经历了一次网络钓鱼攻击，并导致某个电子邮箱账户被黑客所夺取。该邮箱账户当中包含总计10万5309名患者的个人医疗信息。

本文由安全内参翻译自HIPAA Journal

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。