2019年美国医疗保健行业数据泄露事故报告

2019年全美医疗保健数据泄露事件大幅增加,共上报510起外泄记录超过500条的泄露事件,相较于2018年增幅达196%。

根据美国卫生与公共服务部(HHS)民权办公室的安全漏洞网站数据显示,2019年全美医疗保健数据泄露事件大幅增加。过去一年,共上报510起外泄记录超过500条的数据泄露事件,相较于2018年增幅达196%。

如下图所示,自2015年以来,在卫生服务部民权办公室发布的安全违规摘要报告当中,医疗保健数据违规状况呈现出逐年递增的趋势。

与2018年的1394万7909条外泄记录相比,2019年的外泄记录数量达到4133万5889条,增幅达37.47%。

去年上报的数据泄露事件,在数量上达成历史新高;所涉及的泄露记录量也达到历史第二的水平。更可怕的是,2019年一年的医疗记录外泄量已经超越2009年至2014年的六年总和。2019年,全美12.55%民众的医疗记录遭遇泄露、意外公开或者盗窃。

2019年规模最大的医疗保健数据违规事件

下表所示,为2019年年内规模最大的医疗保健数据违规事件(数据来自相关机构的上报信息)。

相关机构名称相关机构类型受影响人数违规类型相关信息所在位置
1Optum360, LLC业务协作方1150万黑客/IT事故网络服务器
2Laboratory Corporation of America Holdings dba LabCorp医疗服务机构1025万1784黑客/IT事故网络服务器
3Dominion Dental Services, Inc., Dominion National Insurance Company, and Dominion Dental Services USA, Inc.医疗保健计划296万4778黑客/IT事故网络服务器
4Clinical Pathology Laboratories, Inc.医疗服务机构173万3836非授权访问/披露网络服务器
5Inmediata Health Group, Corp.医疗保健结算机构156万5338非授权访问/披露网络服务器
6UW Medicine医疗服务机构97万3024黑客/IT事故网络服务器
7Women’s Care Florida, LLC医疗服务机构52万8188黑客/IT事故网络服务器
8CareCentrix, Inc.医疗服务机构46万7621黑客/IT事故网络服务器
9Intramural Practice Plan – Medical Sciences Campus – University of Puerto Rico医疗服务机构43万9753黑客/IT事故网络服务器
10BioReference Laboratories Inc.医疗服务机构42万5749黑客/IT事故其他
11Bayamon Medical Center Corp.医疗服务机构42万2496黑客/IT事故网络服务器
12Memphis Pathology Laboratory d/b/a American Esoteric Laboratories医疗服务机构40万9789非授权访问/披露网络服务器
13Sunrise Medical Laboratories, Inc.医疗服务机构40万1901黑客/IT事故网络服务器
14Columbia Surgical Specialist of Spokane医疗服务机构40万黑客/IT事故网络服务器
15Sarrell Dental医疗服务机构39万1472黑客/IT事故网络服务器
16UConn Health医疗服务机构32万6629黑客/IT事故电子邮件
17Premier Family Medical医疗服务机构32万黑客/IT事故网络服务器
18Metro Santurce, Inc. d/b/a Hospital Pavia Santurce and Metro Hato Rey, Inc. d/b/a Hospital Pavia Hato Rey医疗服务机构30万5737黑客/IT事故网络服务器
19Navicent Health, Inc.医疗服务机构27万8016黑客/IT事故电子邮件
20ZOLL Services LLC医疗服务机构27万7319黑客/IT事故网络服务器

上表还不足以体现问题的严重性。当协作伙伴遭遇数据泄露时,往往不愿及时上报违规情况。因此,不少协作伙伴违规最终是由合作方机构所上报——美国医疗收集机构(AMCA)就属于这种情况,该机构下辖多个受HIPAA监管要求涵盖的机构。

2019年,黑客夺取AMCA系统的访问权限,并窃取到大量敏感客户数据。此次违规事件成为有史以来民权办公室接到上报的第二大医疗保健数据泄露事故,在规模上能够与之相抗衡的只有2015年的Anthem公司事件。

《HIPAA Journal》跟踪了各受影响实体机构上报至民权办公室的违规报告。目前已知至少有24家组织因黑客入侵而引发数据泄露/盗窃。

2019年受AMCA数据泄露事故影响的组织

医疗保健机构已确认受害者人数
Quest Diagnostics/Optum3601150万
LabCorp1025万1784
Clinical Pathology Associates173万3836
Carecentrix46万7621
BioReference Laboratories/Opko Health42万5749
American Esoteric Laboratories40万9789
Sunrise Medical Laboratories40万1901
Inform Diagnostics17万3617
CBLPath Inc.14万1956
Laboratory Medicine Consultants14万590
Wisconsin Diagnostic Laboratories11万4985
CompuNet Clinical Laboratories11万1555
Austin Pathology Associates4万3676
Mount Sinai Hospital3万3730
Integrated Regional Laboratories2万9644
Penobscot Community Health Center1万3299
Pathology Solutions1万3270
West Hills Hospital and Medical Center / United WestLabs1万650
Seacoast Pathology, Inc8992
Arizona Dermatopathology5903
Laboratory of Dermatology ADX, LLC4082
Western Pathology Consultants4079
Natera3035
South Texas Dermatopathology LLC1万5982
总外泄记录条数2605万9725

2019年医疗保健数据泄露原因汇总

民权办公室将去年全部违规事件划分为以下五大类别:

  • 黑客/IT事故
  • 未授权访问/披露
  • 盗窃
  • 丢失
  • 处理不当

2019年,有59.41%的上报医疗数据违规事件被归类为黑客/IT事故,涵盖全部泄露记录中的7.60%。另有28.82%的上报事件被归类为未授权/披露类别,涵盖2019年全部外泄记录中的11.27%。

由未加密受保护电子健康信息或物理记录电子设备丢失及盗窃造成的违规事件占比为10.59%,涵盖2019年内全部外泄记录总量的1.07%。

最后,因电子健康信息物理记录及设备丢失及处理不当而引发的事件,各自“贡献”了全部外泄记录中的1.18%与0.06%。

违规原因事故数量外泄记录外泄记录平均数外泄记录中位数
黑客/IT事故303起3621万9711万95056000
未授权访问/披露147起465万79323万16871950
盗窃39起36万750894232477
丢失15起7万427149513135
处置不当6起2万608143474177

截至目前,2019年所上报全部违规事件的具体原因还未整理完毕。但下表已经总结出各医疗机构面临的主要安全挑战——保护电子邮件系统,以及阻止网络钓鱼攻击。电子邮件类事故也包括误导性电子邮件,但其中大部分仍然是我们耳熟能详的网络钓鱼与鱼叉式网络钓鱼。

医疗保健数据违规事件所涉及的机构实体

纵观2019年,77.65%的数据违规事件(总计369起)由医疗保健服务商上报,各类健康计划上报事件比例为11.57%(59起),医疗保健结算机构上报比例为0.39%(2起事件)。

在这一年中,有23.33%的数据泄露与协作伙伴相关。由协作伙伴上报的数据泄露事件占过去一年事件总量的10.39%(53起),相关机构实体则上报66起确认源自协作伙伴的数据泄露事件。

美国各州医疗保健机构数据泄露情况

此次采集到的数据来自HIPAA覆盖的48个州,外加华盛顿特区以及波多黎各的各实体机构与协作伙伴。受数据违规问题影响最严重的是得克萨斯州,总计上报60起相关事件。加利福尼亚州位列第二,共上报42起数据泄露事件。

只有北达科他州与夏威夷未上报任何涉及记录超过500条的数据泄露事件。

州名称泄露事件数量州名称泄露事件数量州名称泄露事件数量州名称泄露事件数量州名称泄露事件数量
得克萨斯60马里兰14阿肯色9阿拉巴马4密西西比2
加利福尼亚42华盛顿14南卡罗来纳9阿拉斯加4蒙大拿2
伊利诺伊26乔治亚13新泽西8爱荷华4南达科他2
纽约25北卡罗来纳13马萨诸塞7肯塔基4华盛顿特区2
俄亥俄25田纳西11波多黎各7内布拉斯加4西弗吉尼亚2
明尼苏达23亚利桑那10弗吉尼亚7奥克拉荷马4特拉华1
佛罗里达22科罗拉多10路易斯安那6犹他4堪萨斯1
宾夕法尼亚19康涅狄格10新墨西哥6怀俄明3新罕布什尔1
密苏里17印第安纳10威斯康星6爱达荷2罗德岛1
密歇根16俄勒冈10内华达5缅因州2佛蒙特1

2019年HIPAA执法情况

HHS民权办公室在2019年内的HIPAA执法活动力度与此前三年基本持平。2019年,民权办公室共执行10项HIPAA经济处罚,其中包括2项民事罚款,并与8家实体机构/协作伙伴达成和解。

这一年中,民权办公室共收取1227万4千美元罚款与和解金。其中University of Rochester Medical Center与Touchstone Medical Imaging成为两大典型,双方均以300万英镑处罚金与民权办公室达成和解。

民权办公室在调查University of Rochester Medical Center上报的丢失/盗窃事件时,还发现其存在多项有违HIPAA规定的其他行为。调查发现其风险分析与风险管理制度存在缺陷,便携式电子设备上未受加密保护,且对设备与媒体的控制能力亦严重不足。

Touchstone Medical Imaging公司同样经历一轮数据泄露:由于FTP服务器意外向互联网公开,导致30万7839名受害者的个人医疗信息(PHI)不慎流出。民权办公室已经调查并确定该公司存在风险分析缺失、合作伙伴协议失败、访问权限管理不力、无法响应安全事故以及违反HIPAA通报要求等问题。

Sentara Hospitals在违规事件中泄露577条记录,据民权办公室收到的报告称,受事件影响的患者仅为8名——但该医院仍然因此付出217.5万美元代价。民权办公室在执法公告中强调,Sentara Hospitals未尽及时发布违规事件通告的义务,且未能提醒受邮件公开影响的相关个人。民权办公室确认称,这笔罚款主要用于处罚未及通告义务以及该医院未与另一家服务商签署业务关联协议的行为。

来个佛罗里达州迈阿密的非营利性学术医疗机构Jackson Health System(JHS)去年被罚款215.4万美元。数据泄露之后,民权办公室立即展开调查,并发现该机构的合规性计划长期管理混乱。此项计划中包含多项与HIPAA要求相冲突的隐私、安全与通报规则。

得克萨斯州Department of Aging and Disability Services则在接受因内部应用意外暴露而引起的介入调查时,被发现存在多项有违HIPAA要求的行为,并因此面对160万美元罚款。民权办公室发现该机构存在风险分析不力、访问控制缺失以及信息系统活动监控不当等问题,先后导致6617名患者的个人电子健康信息意外泄露。

总部位于印第安纳州的电子病历软件与服务供应商Medical Informatics Engineering早在2015年就有前科——其旗下子公司NoMoreClipboard当时曾遭遇大规模数据泄露事故。黑客利用窃取到的用户名与密码顺利访问了承载有350万个人受保护健康信息(PHI)的内部服务器。民权办公室发现其存在风险分析不力问题,案件最终以10万美元罚款达成和解。除此之外,该公司还就同一案件同印第安纳州检察长达成和解,罚款额为90万美元。

来自乔治亚州卡罗尔县的救护车服务公司West Georgia Ambulance上报丢失一台未加密笔记本电脑,其中保存有500名患者的PHI记录。民权办公室发现,该公司存在风险分析不当、缺少针对员工安全意识的培训计划,以及未实施HIPAA要求安全规则等行为。此案最终以65000美元罚款达成和解。

去年,还有一家社交媒体因违反HIPAA规定受到惩罚。Elite Dental Associates曾对Yelp上的患者评价做出回应,并在其中意外提到PHI相关信息。民权办公室认为应适当处于罚款,此案最终以10000美元达成和解。

民权办公室还于2019年同Korunda Medical与Bayfront Health St. Petersburg针对HIPAA违规案件达成和解,理由是双方未能在合理时间内根据患者要求提供健康信息记录副本。两家机构分别为此付出85000美元罚款。

2019年民权办公室HIPAA执法与民事罚款行动

2019年各州检察长HIPAA执法行动

各州检察长同样有权对违反HIPAA规定的行为采取行动。2019年,全美共有三起与被保险实体及协作伙伴相关的检察长执法行动。之前提到,Medical Informatics Engineering在多州遭遇诉讼,并支付总计90万美元罚款。

Premera Blue Cross同样面对类似的跨州诉讼,起因是该公司2015年在一次黑客入侵中泄露1040万条记录。调查发现其曾多次违反HIPAA规定,并据此处以1000万美元罚款。

加利福尼亚州检察长也针对影响1991名加州居民的数据泄露事件采取执法行动。健康保险公司Aetna曾向受保方发出两封信件,但通过信封透明处能够看到其中包含与HIV以及Afib诊断结果相关的敏感信息。此案值最终以93万5千美元罚款达成和解。

0 0 vote
Article Rating

未经允许不得转载:x-sec » 2019年美国医疗保健行业数据泄露事故报告

赞 (0) 打赏

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x