网络安全动态 ·

2019年美国医疗保健行业数据泄露事故报告

2019年美国医疗保健行业数据泄露事故报告 网络安全动态 第1张

根据美国卫生与公共服务部(HHS)民权办公室的安全漏洞网站数据显示,2019年全美医疗保健数据泄露事件大幅增加。过去一年,共上报510起外泄记录超过500条的数据泄露事件,相较于2018年增幅达196%。

如下图所示,自2015年以来,在卫生服务部民权办公室发布的安全违规摘要报告当中,医疗保健数据违规状况呈现出逐年递增的趋势。

2019年美国医疗保健行业数据泄露事故报告 网络安全动态 第2张

与2018年的1394万7909条外泄记录相比,2019年的外泄记录数量达到4133万5889条,增幅达37.47%。

去年上报的数据泄露事件,在数量上达成历史新高;所涉及的泄露记录量也达到历史第二的水平。更可怕的是,2019年一年的医疗记录外泄量已经超越2009年至2014年的六年总和。2019年,全美12.55%民众的医疗记录遭遇泄露、意外公开或者盗窃。

2019年美国医疗保健行业数据泄露事故报告 网络安全动态 第3张

2019年规模最大的医疗保健数据违规事件

下表所示,为2019年年内规模最大的医疗保健数据违规事件(数据来自相关机构的上报信息)。

相关机构名称

相关机构类型

受影响人数

违规类型

相关信息所在位置

1

Optum360, LLC

业务协作方

1150万

黑客/IT事故

网络服务器

2

Laboratory Corporation of America Holdings dba LabCorp

医疗服务机构

1025万1784

黑客/IT事故

网络服务器

3

Dominion Dental Services, Inc., Dominion National Insurance Company, and Dominion Dental Services USA, Inc.

医疗保健计划

296万4778

黑客/IT事故

网络服务器

4

Clinical Pathology Laboratories, Inc.

医疗服务机构

173万3836

非授权访问/披露

网络服务器

5

Inmediata Health Group, Corp.

医疗保健结算机构

156万5338

非授权访问/披露

网络服务器

6

UW Medicine

医疗服务机构

97万3024

黑客/IT事故

网络服务器

7

Women’s Care Florida, LLC

医疗服务机构

52万8188

黑客/IT事故

网络服务器

8

CareCentrix, Inc.

医疗服务机构

46万7621

黑客/IT事故

网络服务器

9

Intramural Practice Plan – Medical Sciences Campus – University of Puerto Rico

医疗服务机构

43万9753

黑客/IT事故

网络服务器

10

BioReference Laboratories Inc.

医疗服务机构

42万5749

黑客/IT事故

其他

11

Bayamon Medical Center Corp.

医疗服务机构

42万2496

黑客/IT事故

网络服务器

12

Memphis Pathology Laboratory d/b/a American Esoteric Laboratories

医疗服务机构

40万9789

非授权访问/披露

网络服务器

13

Sunrise Medical Laboratories, Inc.

医疗服务机构

40万1901

黑客/IT事故

网络服务器

14

Columbia Surgical Specialist of Spokane

医疗服务机构

40万

黑客/IT事故

网络服务器

15

Sarrell Dental

医疗服务机构

39万1472

黑客/IT事故

网络服务器

16

UConn Health

医疗服务机构

32万6629

黑客/IT事故

电子邮件

17

Premier Family Medical

医疗服务机构

32万

黑客/IT事故

网络服务器

18

Metro Santurce, Inc. d/b/a Hospital Pavia Santurce and Metro Hato Rey, Inc. d/b/a Hospital Pavia Hato Rey

医疗服务机构

30万5737

黑客/IT事故

网络服务器

19

Navicent Health, Inc.

医疗服务机构

27万8016

黑客/IT事故

电子邮件

20

ZOLL Services LLC

医疗服务机构

27万7319

黑客/IT事故

网络服务器

上表还不足以体现问题的严重性。当协作伙伴遭遇数据泄露时,往往不愿及时上报违规情况。因此,不少协作伙伴违规最终是由合作方机构所上报——美国医疗收集机构(AMCA)就属于这种情况,该机构下辖多个受HIPAA监管要求涵盖的机构。

2019年,黑客夺取AMCA系统的访问权限,并窃取到大量敏感客户数据。此次违规事件成为有史以来民权办公室接到上报的第二大医疗保健数据泄露事故,在规模上能够与之相抗衡的只有2015年的Anthem公司事件。

《HIPAA Journal》跟踪了各受影响实体机构上报至民权办公室的违规报告。目前已知至少有24家组织因黑客入侵而引发数据泄露/盗窃。

2019年受AMCA数据泄露事故影响的组织

医疗保健机构

已确认受害者人数

Quest Diagnostics/Optum360

1150万

LabCorp

1025万1784

Clinical Pathology Associates

173万3836

Carecentrix

46万7621

BioReference Laboratories/Opko Health

42万5749

American Esoteric Laboratories

40万9789

Sunrise Medical Laboratories

40万1901

Inform Diagnostics

17万3617

CBLPath Inc.

14万1956

Laboratory Medicine Consultants

14万590

Wisconsin Diagnostic Laboratories

11万4985

CompuNet Clinical Laboratories

11万1555

Austin Pathology Associates

4万3676

Mount Sinai Hospital

3万3730

Integrated Regional Laboratories

2万9644

Penobscot Community Health Center

1万3299

Pathology Solutions

1万3270

West Hills Hospital and Medical Center / United WestLabs

1万650

Seacoast Pathology, Inc

8992

Arizona Dermatopathology

5903

Laboratory of Dermatology ADX, LLC

4082

Western Pathology Consultants

4079

Natera

3035

South Texas Dermatopathology LLC

1万5982

总外泄记录条数

2605万9725

2019年医疗保健数据泄露原因汇总

民权办公室将去年全部违规事件划分为以下五大类别:

  • 黑客/IT事故

  • 未授权访问/披露

  • 盗窃

  • 丢失

  • 处理不当

2019年美国医疗保健行业数据泄露事故报告 网络安全动态 第4张

2019年,有59.41%的上报医疗数据违规事件被归类为黑客/IT事故,涵盖全部泄露记录中的7.60%。另有28.82%的上报事件被归类为未授权/披露类别,涵盖2019年全部外泄记录中的11.27%。

由未加密受保护电子健康信息或物理记录电子设备丢失及盗窃造成的违规事件占比为10.59%,涵盖2019年内全部外泄记录总量的1.07%。

最后,因电子健康信息物理记录及设备丢失及处理不当而引发的事件,各自“贡献”了全部外泄记录中的1.18%与0.06%。

违规原因

事故数量

外泄记录

外泄记录平均数

外泄记录中位数

黑客/IT事故

303起

3621万97

11万9505

6000

未授权访问/披露

147起

465万7932

3万1687

1950

盗窃

39起

36万7508

9423

2477

丢失

15起

7万4271

4951

3135

处置不当

6起

2万6081

4347

4177

截至目前,2019年所上报全部违规事件的具体原因还未整理完毕。但下表已经总结出各医疗机构面临的主要安全挑战——保护电子邮件系统,以及阻止网络钓鱼攻击。电子邮件类事故也包括误导性电子邮件,但其中大部分仍然是我们耳熟能详的网络钓鱼与鱼叉式网络钓鱼。

2019年美国医疗保健行业数据泄露事故报告 网络安全动态 第5张

医疗保健数据违规事件所涉及的机构实体

纵观2019年,77.65%的数据违规事件(总计369起)由医疗保健服务商上报,各类健康计划上报事件比例为11.57%(59起),医疗保健结算机构上报比例为0.39%(2起事件)。

在这一年中,有23.33%的数据泄露与协作伙伴相关。由协作伙伴上报的数据泄露事件占过去一年事件总量的10.39%(53起),相关机构实体则上报66起确认源自协作伙伴的数据泄露事件。

2019年美国医疗保健行业数据泄露事故报告 网络安全动态 第6张

美国各州医疗保健机构数据泄露情况

此次采集到的数据来自HIPAA覆盖的48个州,外加华盛顿特区以及波多黎各的各实体机构与协作伙伴。受数据违规问题影响最严重的是得克萨斯州,总计上报60起相关事件。加利福尼亚州位列第二,共上报42起数据泄露事件。

只有北达科他州与夏威夷未上报任何涉及记录超过500条的数据泄露事件。

州名称

泄露事件数量

州名称

泄露事件数量

州名称

泄露事件数量

州名称

泄露事件数量

州名称

泄露事件数量

得克萨斯

60

马里兰

14

阿肯色

9

阿拉巴马

4

密西西比

2

加利福尼亚

42

华盛顿

14

南卡罗来纳

9

阿拉斯加

4

蒙大拿

2

伊利诺伊

26

乔治亚

13

新泽西

8

爱荷华

4

南达科他

2

纽约

25

北卡罗来纳

13

马萨诸塞

7

肯塔基

4

华盛顿特区

2

俄亥俄

25

田纳西

11

波多黎各

7

内布拉斯加

4

西弗吉尼亚

2

明尼苏达

23

亚利桑那

10

弗吉尼亚

7

奥克拉荷马

4

特拉华

1

佛罗里达

22

科罗拉多

10

路易斯安那

6

犹他

4

堪萨斯

1

宾夕法尼亚

19

康涅狄格

10

新墨西哥

6

怀俄明

3

新罕布什尔

1

密苏里

17

印第安纳

10

威斯康星

6

爱达荷

2

罗德岛

1

密歇根

16

俄勒冈

10

内华达

5

缅因州

2

佛蒙特

1

2019年HIPAA执法情况

HHS民权办公室在2019年内的HIPAA执法活动力度与此前三年基本持平。2019年,民权办公室共执行10项HIPAA经济处罚,其中包括2项民事罚款,并与8家实体机构/协作伙伴达成和解。

2019年美国医疗保健行业数据泄露事故报告 网络安全动态 第7张

这一年中,民权办公室共收取1227万4千美元罚款与和解金。其中University of Rochester Medical Center与Touchstone Medical Imaging成为两大典型,双方均以300万英镑处罚金与民权办公室达成和解。

民权办公室在调查University of Rochester Medical Center上报的丢失/盗窃事件时,还发现其存在多项有违HIPAA规定的其他行为。调查发现其风险分析与风险管理制度存在缺陷,便携式电子设备上未受加密保护,且对设备与媒体的控制能力亦严重不足。

Touchstone Medical Imaging公司同样经历一轮数据泄露:由于FTP服务器意外向互联网公开,导致30万7839名受害者的个人医疗信息(PHI)不慎流出。民权办公室已经调查并确定该公司存在风险分析缺失、合作伙伴协议失败、访问权限管理不力、无法响应安全事故以及违反HIPAA通报要求等问题。

Sentara Hospitals在违规事件中泄露577条记录,据民权办公室收到的报告称,受事件影响的患者仅为8名——但该医院仍然因此付出217.5万美元代价。民权办公室在执法公告中强调,Sentara Hospitals未尽及时发布违规事件通告的义务,且未能提醒受邮件公开影响的相关个人。民权办公室确认称,这笔罚款主要用于处罚未及通告义务以及该医院未与另一家服务商签署业务关联协议的行为。

来个佛罗里达州迈阿密的非营利性学术医疗机构Jackson Health System(JHS)去年被罚款215.4万美元。数据泄露之后,民权办公室立即展开调查,并发现该机构的合规性计划长期管理混乱。此项计划中包含多项与HIPAA要求相冲突的隐私、安全与通报规则。

得克萨斯州Department of Aging and Disability Services则在接受因内部应用意外暴露而引起的介入调查时,被发现存在多项有违HIPAA要求的行为,并因此面对160万美元罚款。民权办公室发现该机构存在风险分析不力、访问控制缺失以及信息系统活动监控不当等问题,先后导致6617名患者的个人电子健康信息意外泄露。

总部位于印第安纳州的电子病历软件与服务供应商Medical Informatics Engineering早在2015年就有前科——其旗下子公司NoMoreClipboard当时曾遭遇大规模数据泄露事故。黑客利用窃取到的用户名与密码顺利访问了承载有350万个人受保护健康信息(PHI)的内部服务器。民权办公室发现其存在风险分析不力问题,案件最终以10万美元罚款达成和解。除此之外,该公司还就同一案件同印第安纳州检察长达成和解,罚款额为90万美元。

来自乔治亚州卡罗尔县的救护车服务公司West Georgia Ambulance上报丢失一台未加密笔记本电脑,其中保存有500名患者的PHI记录。民权办公室发现,该公司存在风险分析不当、缺少针对员工安全意识的培训计划,以及未实施HIPAA要求安全规则等行为。此案最终以65000美元罚款达成和解。

去年,还有一家社交媒体因违反HIPAA规定受到惩罚。Elite Dental Associates曾对Yelp上的患者评价做出回应,并在其中意外提到PHI相关信息。民权办公室认为应适当处于罚款,此案最终以10000美元达成和解。

民权办公室还于2019年同Korunda Medical与Bayfront Health St. Petersburg针对HIPAA违规案件达成和解,理由是双方未能在合理时间内根据患者要求提供健康信息记录副本。两家机构分别为此付出85000美元罚款。

2019年民权办公室HIPAA执法与民事罚款行动

2019年美国医疗保健行业数据泄露事故报告 网络安全动态 第8张

2019年各州检察长HIPAA执法行动

各州检察长同样有权对违反HIPAA规定的行为采取行动。2019年,全美共有三起与被保险实体及协作伙伴相关的检察长执法行动。之前提到,Medical Informatics Engineering在多州遭遇诉讼,并支付总计90万美元罚款。

Premera Blue Cross同样面对类似的跨州诉讼,起因是该公司2015年在一次黑客入侵中泄露1040万条记录。调查发现其曾多次违反HIPAA规定,并据此处以1000万美元罚款。

加利福尼亚州检察长也针对影响1991名加州居民的数据泄露事件采取执法行动。健康保险公司Aetna曾向受保方发出两封信件,但通过信封透明处能够看到其中包含与HIV以及Afib诊断结果相关的敏感信息。此案值最终以93万5千美元罚款达成和解。

本文由安全内参翻译自hipaajournal

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 [email protected]

参与评论