随着攻击者的技能日益复杂化,医疗保健服务供应商、保险公司以及医疗器械供应商等医疗保健垂直领域正在沦为其重点攻击目标。因此,近年来,针对医疗保健行业的攻击和数据泄露新闻层出不穷。而在此类事件中,攻击者最常用的手段依然非“有针对性的网络钓鱼攻击”莫属。
然而,在将信息安全力量紧紧地聚焦在网络模型防护时,是否忽略了文件柜和档案存储设备(纸张、备份磁盘或其他数据存储形式)中的信息安全性?这些信息的安全与否通常无法被企业部署的数据丢失保护(DLP)解决方案察觉到。
信息安全团队的工作重心必须放置在回报率最高的任务上,这听起来似乎是合乎逻辑的,很显然,入侵医院系统或锁定所有医疗设备必然会引发一场灾难,甚至危及患者生命。
那么,一份文件或两份三份……甚至成百上千份文件是否也能造成这种实质性损害呢?也许只有当你是患者,而你的个人身份信息(PII)或受保护的健康信息(PHI)遭到泄露时你才能感受到这种损害。
根据美国前总统克林顿签署的《健康保险携带和责任法案》(HIPAA)规定,任何能够用于识别个体身份的健康信息,这些信息不管以何种媒介存贮,如电子的,还是纸质的,还是口头的,只要责任人持有或者传播就是受隐私条例保护的。隐私条例将这样的信息称为“受保护的个人健康信息(PHI)。
据悉,在美国,所有涉及医疗保健的机构中,包括医院、健康计划部门、保健服务商、相关票据交换所、医疗信息系统提供商、医科大学、甚至只有一个内科医生的办公室等,对任何形式的个人健康保健信息的存储、维护和传输都必须遵循 HIPAA 的安全条例规定。对于违反HIPAA安全条例的行为,可以处以最高为25万美元的罚款和最长为10年的监禁。
不过,尽管由美国联邦公民权利办公室(OCR)负责监督执行的HIPAA法案将纸质或档案记录物理安全性的概念提升到了法律高度(HIPAA定义的需要保密的健康档案信息包括:治疗/随访文件、实验诊断结果、患者的预约就诊日期/时间、患者的治疗花费、影像学片子和报告、病史和查体信息、患者的个人信息等),但是有关纸质医疗记录受损的案件仍然层出不穷。
纸质医疗记录受损的案例
现在,让我们抛开假设看看一些数据受损的实例,在这些实例中,员工不注重细节、故意忽视已经建立的安全流程或是通过恶意行为,最终发生了患者的医疗记录受到损害的情况。
位于俄克拉荷马州玛丽埃塔的mercy health/love county医疗诊所就曾发生过此类案件,该医院之前的一名员工也因窃取医疗记录和一台来自“医院存储单元”的笔记本电脑而被定罪。该医院在对外发布的公告中强调,“只有少数患者记录遭到破坏”,共计只有10名,显然很少!但是,美国健康和人类服务部(HHS)提交的数据泄露报告却指出,大约有13,000名患者的信息受到了损害。
根据法庭文件显示,该医院的前任雇员(一名护士)专门从事金融身份盗窃活动,且开发了各种信用工具,他在窃取到这些医疗信息后就马不停蹄地将存储单元中的数据卖出获利,金额高达24万美元。
然后就是发生在佐治亚州哥伦布的一起案例,一家名为“圣弗朗西斯”的医院错误地将“一些行政文件”放进了垃圾箱而不是碎纸机中。根据该医院的说法,此次事件属于管理失误,“某些患者的个人和/或账单信息,包括患者的姓名、出生日期、社会安全号码、地址、诊断信息、账号、最终账单日期、最后付款日期、保险余额或帐户余额等均受到影响。”虽然公开声明中并没有明确受损规模,但是根据美国健康和人类服务机构(HHS)给出的数据显示,此次事件共有1,412人受到影响。
接下来就到了发生在2018年1月的一起事件,位于新泽西州米尔维尔的ShopRite药店“在没有事先擦除相关数据的情况下,就淘汰了用于捕获客户签名的设备。”在该事件中,约有10,000名药店客户受到了影响。
最容易预防的安全威胁
上述只是最近发生的一些事例,大家可以看出这些案件中的数据丢失与我们以往经常阅读到的网络入侵和黑客攻击有所不同。不得不说,对于纸质医疗记录的安全防护通常是容易被忽略的,但是也是最容易防护的。如果把医疗保健信息生态系统比作一棵大树,那么这些纸质文件就是最触手可及的果实。
仅今年美国就已经有54家医疗机构报告了医疗记录泄露的事件。这些泄露事件主要是由电子邮件误送(向患者发送属于他人的文件是常见的错误类型)、设备丢失或被盗,以及还有IT事故造成的。但在所有这54起医疗记录泄露事件中,有大约20%涉及纸质记录。
在未来,希望相关医疗机构能够把纸质医疗记录的防护作为医疗保健内部人员的考察重点,并通过保护电子记录和纸质记录来最大限度地保护病人的隐私。
相关阅读
