研究发现53%健康数据泄露是由医疗机构内部造成,黑客只占12%
在许多网站上,你的个人身份可能会落入老练的黑客之手,但当涉及到健康数据泄露时,医院、医生办公室甚至保险公司往往是罪魁祸首。
密歇根州立大学和约翰霍普金斯大学的最新研究发现,近期超过一半以上的个人健康信息(PHI)数据泄露是由于医疗服务提供者的内部问题,而不是因为黑客或外部因素。
“没有完美的方式存储信息,但我们审查的案例中,有一半以上不是由外部因素引发的,而是由内部疏忽造成。”第一作者和会密歇根州立大学Eli Broad商学院计和信息系统副教授John (Xuefeng) Jiang表示。
该研究发表在JAMA Internal Medicine上,此前,2017年的一项联合研究显示,美国医院数据泄露的规模很大。该研究显示,在七年内,患者信息中发生了大约1,800次重大数据泄露事件,其中33家医院发生了一起以上的重大数据泄露事件。
在本文中,Jiang和共同作者约翰霍普金斯凯瑞商学院副教授Ge Bai更深入地发现了PHI数据泄露的触发因素。他们回顾了2009年10月至2017年12月期间的近1,150词数据泄露事件,影响了超过1.64亿病人。
“每当医院出现某种类型的数据泄露事件时,他们都需要向卫生和公众服务部(Department of Health and Human Services)报告,并对他们认为的原因进行分类。” 普兰特莫兰学院(Plante Moran)研究员Jiang说,“这些原因分为六类:盗窃、未经授权的访问、黑客攻击或IT事件、丢失、不当处置或‘其他’。”
在审查了详细报告,评估笔记和重新分类具有特定基准的案例后,Jiang和Bai发现53%是医疗机构内部因素造成的结果。
“所有案件中有四分之一是由未经授权的访问或披露引起的,超过外部黑客数量的两倍。” Jiang说,“这可能是一名员工将PHI带回家或转发到个人帐户或设备,未经授权访问数据,甚至通过电子邮件错误,例如发送给错误的收件人,复制而不是盲目复制或共享未加密的内容。”
虽然一些错误似乎是常识,但Jiang说,重大错误可能导致更大的事故,看似无害的错误可能会损害患者的个人数据。
“医院、医生办公室、保险公司、小型医生办公室甚至药房都在制造这类错误,并使患者处于危险之中。” Jiang说。
在外部违规行为中,盗窃占33%,黑客占12%。
虽然某些数据泄露可能会导致轻微后果,例如获取患者的电话号码,但其他数据可能会产生更严重的侵入性影响。例如,当Anthem在2015年遭遇数据泄露时,有3750万条记录遭到入侵。很多受害者并没有立即得到通知,所以直到他们去报税时才发现第三方用从Anthem获得的数据欺骗他们报税。
虽然严格的软件和硬件安全可以防止盗窃和黑客,但Jiang和Bai建议医疗保健提供商采用内部政策和程序,这些政策和程序可以通过遵循一套简单的协议来收紧流程,并防止内部各方泄漏PHI。减轻与存储相关的PHI违规的程序包括:从纸质医疗记录转换到数字医疗记录,安全存储,转向针对患者保护信息的非移动策略以及实施加密。与PHI通信相关的程序包括强制验证邮件收件人,遵循“复制与盲目复制”协议(bcc vs cc)以及内容加密。
他说:“不全副武装会使医疗机构受到敌人的攻击。” Bai 说,“好消息是,如果遵循简单的协议,获得保护并不难。”
接下来,Jiang 和Bai计划更加密切地关注从外部资源中窃取的数据类型,以了解数字窃贼究竟希望从患者数据中窃取什么。