2019年2月美国医疗保健行业数据泄露事故汇总

今年2月，医疗保健数据泄露事件继续以每天约一起的频率发生。2月共报告32起医疗数据泄露事件，较1月减少了1起。

虽然上报的事件数量下降了3%，但今年2月的事件严重程度却要比上个月高出不少。2月份的安全违规问题共导致超过211万条医疗记录受到影响，总量较上个月增长了330%。

2019年2月医疗数据泄露事件原因

一般说来，黑客/IT事故与未授权的访问/泄露事件之间往往在比例上旗鼓相当；然而今年2月份，黑客攻击与IT事故（包括恶意软件感染与勒索软件攻击）可谓主导了此轮医疗保健数据泄露报告。

过去一个月当中，有75%的安全违规事件（总计24起）属于黑客/IT事故，且与之相关的记录失窃/外泄比例也占全部受影响记录的96.25%。事实上，今年2月前十大医疗保健数据泄露事件中仅一起源自未授权访问/泄露，其余九起尽皆源自黑客/IT事故。

期间共有4起未授权的访问/泄露事件，外加4起物理或电子个人医疗信息（简称PHI）被盗案件。未授权访问/泄露事件的相关记录条数占总体外泄记录条数的3.1%，失窃问题的相关记录条数则占比0.65%。

2019年2月规模最大的医疗数据泄露事件

今年2月报告的规模最大的医疗数据泄露事件，源自网络服务器上的安全机制遭到意外删除，这直接导致超过97万3千名UW Medicine患者的受保护医疗信息被暴露在互联网之上。这些文件被搜索引擎编入索引，可通过简单的Google搜索直接找到。存储在该网络服务器上的文件在超过3周的时间内一直处于公开可查询的状态。

第二大数据泄露案源自斯波坎哥伦比亚外科专家学会遭受的勒索软件攻击。虽然患者信息可能已经受到窥探，但目前未发现有证据表明攻击者实际窃取到任何电子个人医疗信息。

UConn Health的32万6629条记录的外泄则源于网络钓鱼攻击，此次事件直接导致多名员工的电子邮件账户遭到入侵。某归属于Rutland地区医疗中心的电子邮件账户在网络钓鱼攻击中失守，其中包含超过7万2千名患者的电子个人医疗信息。

外泄的受保护医疗信息来自哪里

电子邮件成为受影响个人医疗信息的主要来源，不过今年2月由网络服务器“贡献”的泄露数据比例呈现大幅上升之势。2月份报告的全部违规事件当中，有46.88%的信息为存储在网络服务器上的电子个人医疗信息，25%存储在电子邮件当中，而12.5%则存储在电子病历之内。

根据机构类型进行医疗数据划分

2019年2月，各医疗保健供应方成为数据泄露事件中的主要受影响对象，上报事件总计24起。此外，有5起事件由医疗计划机构上报，HIPAA承保机构商业伙伴上报3起违规行为，另有7起事件涉及部分相关商业伙伴。

根据各州进行医疗数据划分

2月份报告的医疗数据泄露事件共影响到22个州，其中加利福尼亚州与佛罗里达州受到的影响最为严重，各自发生3起事件。紧随其后的是伊利诺伊州、肯塔基州、马里兰州、明尼苏达州、得克萨斯州以及华盛顿州，分别上报2起违规事件。发生1起安全违规事件的州则包括亚利桑那州、科罗拉多州、康涅狄格州、特拉华州、佐治亚州、堪萨斯州、马萨诸塞州、密西西比州、蒙大拿州、北卡罗来纳州、弗吉尼亚州、威斯康星州以及西弗吉尼亚州。

2019年2月HIPAA执法行动

2018年可谓HIPAA执法行动创下纪录的一年，不过2019年这一势头开始放缓。美国卫生与福利部民权办公室在2019年迄今，尚未发出任何罚款或者对HIPAA和解协议的同意声明。

今年2月，各州检察长亦尚未针对任何HIPAA违规行为采取执法行动，截至目前，2019年唯一一笔罚款来自加利福尼亚州，Aetna公司于1月以93万5千美元同州政府达成和解。

本文由安全内参翻译自HIPAA Journal

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。