今年4月可谓医疗保健行业数据泄露问题最严重的月份。自200910月卫生与福利部民权办公室开始发布医疗数据泄露报告以来,本月的数据泄露事故数量成功创下历史新高。4月份共上报46起医疗数据泄露事件,较今年3月增加了48%,亦比过去6年以来的平均月度违规事件数量高出67%

虽然违规事件数量有所增加,但受到涉及的医疗记录量却有所下降。2019年4月,外泄的医疗记录共69万4710份,较3月份减少了23.9%。可以看到,虽然今年3月的违规事件数量较少,但外泄的记录总量却明显更高,且主要源自众多针对医疗保健组织的钓鱼攻击。

2019年4月规模最大的医疗数据泄露事件

4月份共出现两起涉及记录条数超过10万的数据泄露事件。其中规模最大的一起违规行为报告自业务合作伙伴Doctors Management Services有限公司,这次勒索软件攻击导致206695名患者的记录不慎外泄。

该勒索软件是在攻击者首次入侵系统的7个月之后部署完成的,而初始访问则通过某台工作站上的远程桌面协议(简称RDP)实现。

第二大数据泄露事件则来自医疗保健供应商Centrelake Medical Group。此次违规事件导致197661名患者的个人医疗信息(PHI)外泄,引发问题的同样是勒索软件攻击,相关工作人员因此失去了患者信息的访问能力。虽然攻击者在获取服务器访问权限与成功部署勒索软件之间并没有驻留太久,但其似乎一直在探索网络。攻击者在访问服务器后6周开始部署勒索软件,调查发现该勒索软件还被用于对ActivYouth骨科医院开展攻击。

相关实体

实体类型

外泄记录

违规类型

外泄PHI位置

Doctors   Management Services有限公司

业务合作伙伴

206695

黑客入侵/IT事故

网络服务器

Centrelake   Medical Group有限公司

医疗保健供应商

197661

黑客入侵/IT事故

网络服务器

Gulf   Coast Pain Consultants有限公司d/b/a   Clearway 疼痛解决研究所

医疗保健供应商

35000

未授权访问/披露

电子病历

EmCare有限公司

医疗保健供应商

31236

黑客入侵/IT事故

电子邮件

Kim P.   Kornegay, DMD

医疗保健供应商

27000

盗窃

台式计算机、电子病历、纸质/胶片资料

ActivYouth骨科医院儿童骨专科

医疗保健供应商

24176

黑客入侵/IT事故

网络服务器

Health   Recovery Services有限公司

医疗保健供应商

20485

未授权访问/披露

网络服务器

Baystate   Health

医疗保健供应商

11658

黑客入侵/IT事故

电子邮件

Riverplace   Counseling Center有限公司

医疗保健供应商

11639

黑客入侵/IT事故

网络服务器

明尼苏达州人类服务部

医疗保健供应方

10263

黑客入侵/IT事故

电子邮件

20194月医疗保健数据泄露原因汇总

今年4月,黑客入侵/IT事故与未授权访问/披露事件之间的比例首次超过21。根据上报情况,在全部涉及记录数量在500条或以上的报告违规事件中,共有28起属于黑客入侵/IT事故。另有14起属于未授权访问/披露事故,2起为PHI盗窃事故,1起为文件丢失事故,1起为处理不当事故。

虽然2018年各个行业中出现的勒索软件攻击数量都有所下降,但本月勒索软件似乎又有卷土重来之势,而医疗保健则是受影响程度最高的行业。攻击者通常会利用远程桌面协议访问服务器与工作站,进而部署勒索软件。

Forescout曾在今年5月的一项研究中表明,攻击者对医疗行业开展入侵时经常利用易受攻击的协议机制。因此,各机构可禁用这些协议以降低风险;若必须使用RDP,请保证仅配合VPN一同使用。

4月份的网络钓鱼攻击也呈现出大幅增加的态势,这再次凸显出医疗机构对此类攻击糟糕的抵御能力。先进的反网络钓鱼与反垃圾邮件解决方案能够减少抵达收件箱处的恶意电子邮件数量;再结合定期开展的安全意识培训,即可有效降低风险。

利用多因素身份验证机制同样非常重要。一旦凭证外泄,多因素身份验证机制将阻止攻击者利用这些凭证访问个人医疗信息。多因素验证并非绝对可靠,但确实能够将风险降低至合理且可以接受的水平。根据Verizon公司的报告,在实施多因素验证机制之后,大多数凭证盗窃事件将不足以引发数据泄露事故。

20194月,由黑客入侵/IT事故引发的记录泄露量最为可观——4月份,相关记录总计384219条,占全部外泄记录中的55%。平均每次违规事件涉及13722条记录,每次违规事件导致的外泄记录中位数为4008条。

未授权访问/披露事故导致的记录外泄为264016条,占4月份总外泄记录的38%。虽然黑客攻击事故造成的总外泄记录更多,但未授权访问/披露事故的严重性更高,平均违规记录量为18858条,每次违规事件导致的外泄记录中位数为3193条。

丢失或盗窃事故造成31810条记录外泄,占4月份全部记录中的4.6%。平均违规记录量为1603条,每次违规事件导致的外泄记录中位数为4000条。

受保护医疗信息的泄露位置

今年4月,外泄个人医疗信息主要来自电子邮件。本月共有22次数据泄露事故涉及电子邮件,占全部泄露事故中的47.8%。虽然其中也包含一部分电子邮件转发错误问题,但大部分邮件违规事故都与钓鱼攻击有关。

另有11次数据泄露事故涉及网络服务器,占全部泄露事故中的23.9%,具体包括恶意软件与勒索软件攻击。

涉及文件、图表以及胶片等物理记录的事故共有6起,占本月全部泄露事故中的13%

4月份违规事件所涉及实体类型

4月份,业务合作伙伴类机构的表现相对不错,只上报了2起违规行为;另有1起违规行为与业务合作伙伴有关。然而,本月规模最大的一起违规事故同样来自业务合作伙伴。

4月份有6个医疗保健项目机构上报了安全事故,另有38起安全事故来自医疗保健服务供应商。

20194月美国各州医疗数据泄露情况

4月份,共有21个州的实体机构上报了数据泄露事件。其中加利福尼亚州与得克萨斯州受影响最为严重,各自上报5起违规事件。佛罗里达州、明尼苏达州与俄亥俄州各有4次违规事件,伊利诺伊州则上报了3次违规事件。

爱达荷州、马萨诸塞州、纽约州、俄勒冈州、田纳西州与华盛顿州各有2次违规事件。阿拉巴马州、特拉华州、路易斯安那州、北卡罗来纳州、新泽西州、宾夕法尼亚州、南达科他州、犹他州以及西弗吉尼亚州各发生1起违规事件。

20194HIPAA执法行动

美国卫生与福利部下辖的民权办公室以及各州检察长在本月都没有发布经济处罚。不过2019年的第一例OCR罚款于5月正式执行,处罚对象为Touchstone医学影像公司,其因对数据泄露事故响应不及时而导致307839名患者的记录外泄,被处罚金300万美元。

除了响应不及时之外,该公司还未能在合理时间范围内发布违规通告、未能及时向媒体通报违规事件,且先后引发两次BAA失败、访问权限不足以及风险分析失败。

本文由士冗科技翻译自HIPAA Journal

声明:本文来自士冗科技,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。