其他
医疗数据的裸奔时代:572起安全事件,超4100万名患者病历遭曝光!
超4100万名患者病历遭曝光,而这个数字还在上涨·····
日前,Protenus发布了一份2019年医疗行业数据安全报告 ,该报告对过去一年医疗数据泄漏事件进行总结分析。报告显示:2019年,医疗行业黑客攻击事件较2018年猛增了48%,而自2016年以来,医疗行业平均每天至少会发生一起患者数据泄漏事件,医疗数据持续“裸奔”。
>>>> 2018年数据泄漏事件为503起,2019年则增长到572起,达成历史新高。(见图1)
>>>> 受影响的患者数量较2018年增长了两倍。(见图2)
>>>> 自Protenus2016年开始统计数据以来,医疗行业数据泄漏事件持续上升。(见图3)
分析显示:2019年,共发生72起由内部人员无意行为造成的数据泄漏事件,至少涉及3659962名患者;35起内部人员由内部人员恶意行为造成的数据泄漏事件,至少涉及136566名患者。从下图(见图7),我们可以清晰的发现,因内部人员无意行为所涉及的患者数量远大于内部人员恶意行为所涉及的患者数量。
2019年,医疗卫生行业黑客攻击事件再次出现惊人的增长。
大部分医疗组织和机构的安全保障和风险管理措施普遍落后,且医疗数据的高价值,这让黑客们趋之若鹜,攻击手段也越来越多样化,而这其中,勒索病毒对医疗行业数据安全的威胁与日俱增。
注:健康计划,是国外医疗保健行业为了预防和减少疾病发生、延缓病毒进展、提高就诊质量、控制医疗成本、增加治疗效果、减轻相关机构和人员医疗开支,而为社会团体和个人制定的具备良好执行性和明显成效的规范化个人化健康管理服务计划,通过此健康计划的实施,最终达到增强健康意识,有效预防疾病、及时干预病情、促进健康恢复、降低医疗费用、提高生活质量。
攻击者侵入后,长期潜伏并持续盗取企业重要数据,入侵并泄露被发现所间隔的时间已经由最初的几小时或几天演变为如今的几个月甚至数年。
针对医疗行业,Protenus进行相关调查,如下图所示,2019年,医疗机构需要224天才能察觉到数据泄漏的发生,有的甚至长达3164天之久。
Protenus在此次报告中,对有明显记录的187个数据事件上报时间进行统计,分析发现:医疗机构向HHS、媒体或者受影响的患者报告的远高于60天汇报窗口期。
事实上,我们已发现,医疗卫生行业相对薄弱的安全防护体系,医疗数据的高价值“诱惑”,让攻击者得以进行更加周密的筹划,他们正在选择更精进、更隐秘的攻击方式,渗透到医疗系统中,在数据横跨的多个系统、多个环节中寻找攻击点,伺机窃取医疗数据。而来自内部无意或恶意的数据泄漏无疑给医疗数据安全雪上加霜。
在2020年RSAC大会收到的2400份发言申请中,众多针对“数据、威胁、风险、隐私、管理和团队”的内容均涉及安全方面的人为因素。尤其是数据安全方面,大量数据显示企业员工有意或无意的行为,是致使数据资产泄露的罪魁祸首,除管理层之外,全员也必须建立起充分的安全意识。
2020年,数据安全建设仍将是医疗行业的重要工作内容,医疗机构需要做的是:深入了解数据全生命周期面临的安全风险,并对这些环节的关键风险点进行分析,借助和利用最新的技术、方法,形成完整、行之有效的安全防护能力,从而赢得患者的信任、实现医疗数字化转型下的数据之安。
往期精选