根據(jù)美國衛(wèi)生與公共服務(wù)部（HHS）民權(quán)辦公室（OCR）披露的安全事件數(shù)據(jù)顯示，過去一年醫(yī)療保健行業(yè)發(fā)生規(guī)模以上（500+條）數(shù)據(jù)泄露事件的數(shù)量創(chuàng)下了歷史新高。

　　　2020年數(shù)據(jù)洞察

　　涉及500條及以上記錄的上報醫(yī)療保健數(shù)據(jù)泄露事件多達(dá)642起，較上年增長25%。

　　泄露的醫(yī)療記錄總計超過2900萬條。

　　規(guī)模最大的泄露事件影響超1000萬條記錄，有63起事件泄露超過10萬條記錄。

　　黑客/IT事件占數(shù)據(jù)泄露事件總量的67%，泄露的記錄總量則占比92%。

　　自2009年10月以來，外泄的醫(yī)療保健記錄總量已達(dá)2.6678億條，量級上已占當(dāng)前美國人口總數(shù)八成以上。

　　2020年美國所有醫(yī)療保健機(jī)構(gòu)總共報告了642起規(guī)模以上數(shù)據(jù)泄露事件，涉及機(jī)構(gòu)包括醫(yī)療保健服務(wù)商、醫(yī)療保健計劃管理方、醫(yī)療保健結(jié)算公司以及其他業(yè)務(wù)伙伴。稍微換算下，平均每天上報1.76起，較破紀(jì)錄的2019年多出25%。

　　過去一年上報的數(shù)據(jù)泄露事件數(shù)量是2015年的2倍以上，是2010年的3倍以上。

　　從泄露的醫(yī)療保健記錄總量來看，2020年排名第三。全年共有29,298,012條醫(yī)療記錄意外流出，這一數(shù)字比2019年減少了29.71%。自2009年10月以來，醫(yī)療保健行業(yè)總計上報3705起涉及記錄高于500條的數(shù)據(jù)泄露事件，外泄的醫(yī)療保健記錄總量則為2.6678億條。

　　2020年規(guī)模最大的醫(yī)療保健數(shù)據(jù)泄露事件

　　2020年規(guī)模最大的醫(yī)療保健數(shù)據(jù)泄露事件，是針對云服務(wù)供應(yīng)商Blackbaud的勒索攻擊。黑客并未公開獲取獲取或鎖定的醫(yī)療記錄數(shù)量，但Blackbaud服務(wù)的100多家醫(yī)療保健客戶因此受到影響，至少10家有數(shù)百萬條記錄遭遇破壞。由于各受影響實體分別上報了事件，因此此次攻擊未被列入OCR違規(guī)門戶。

　　在部署勒索軟件之前，黑客竊取到大量關(guān)于客戶籌款及捐贈者身份的數(shù)據(jù)庫，其中包括姓名、聯(lián)系方式、出生日期以及某些臨床信息。受到影響的實體則包括Trinity Health（330萬條記錄）、Inova Health System（100萬條記錄）以及Northern Light Health Foundation（65萬7392條記錄）。

　　總部位于佛羅里達(dá)州的商業(yè)合作伙伴MEDNAX Services有限公司是一家專為各下轄醫(yī)師執(zhí)業(yè)小組提供收入周期管理等服務(wù)的供應(yīng)商。2020年，MEDNAX遭遇全年規(guī)模最大的釣魚攻擊。黑客借此成功訪問了Office 365環(huán)境，可能已經(jīng)掌握1670份個人ePHI，具體包括社保號碼、駕照號碼以及健康保險與財務(wù)信息。

　　Magellan Health同樣因網(wǎng)絡(luò)釣魚郵件引發(fā)上百萬記錄泄露，最后又以勒索軟件攻擊收場。此次違規(guī)事件影響到其他多家關(guān)聯(lián)實體，患者信息可能因此外流。

　　Dental Care Alliance是一家牙科支持組織，覆蓋全美20個州的320多家附屬牙科診所。由于系統(tǒng)遭受黑客攻擊，超過100萬人的牙科診療記錄遭到竊取。

　　2020年，HIPAA覆蓋的各實體及業(yè)務(wù)伙伴共上報63起安全事件，涉及的醫(yī)療記錄數(shù)量超過10萬條。

　　2020年醫(yī)療保健數(shù)據(jù)泄露事件原因分析

　　黑客與其他IT事件在2020年的醫(yī)療保健數(shù)據(jù)泄露報告中占最大比例。這一年中，有429起上報事件與黑客/IT事件相關(guān)，占全部泄露事件的66.82%，涉及的泄露記錄數(shù)量占比更高達(dá)91.99%。黑客與IT事件包括安全漏洞利用與網(wǎng)絡(luò)釣魚、惡意軟件以及勒索軟件攻擊。最近幾個月來，勒索軟件攻擊的發(fā)生頻率仍在逐步提升。

　　Check Point發(fā)布的最新報告顯示，去年10月針對醫(yī)療保健服務(wù)商的勒索軟件攻擊增長了71%。而在2020年的最后兩個月中，醫(yī)療保健網(wǎng)絡(luò)攻擊進(jìn)一步增長45%。此外，這一年內(nèi)影響最大、破壞力最強(qiáng)的攻擊活動普遍與勒索軟件有關(guān)。在大多數(shù)情況下，醫(yī)療保健機(jī)構(gòu)的系統(tǒng)將癱瘓數(shù)周，并給患者服務(wù)帶來嚴(yán)重影響。

　　在2020年的新冠疫情沖擊下，醫(yī)療保健行業(yè)長期成為勒索攻擊的重災(zāi)區(qū)。根據(jù)Emsisoft公布的數(shù)據(jù)，2020年美國至少有560家醫(yī)療機(jī)構(gòu)受到勒索軟件攻擊的影響，相關(guān)攻擊事件共80起。

　　未授權(quán)訪問/披露事件占全年違規(guī)事件的22.27%，涉及的泄露記錄占比則為2.69%。此類事件包括內(nèi)部人員惡意訪問醫(yī)療記錄、醫(yī)護(hù)人員窺探病患信息、將PHI意外泄露給未授權(quán)個人、以及因人為錯誤導(dǎo)致患者數(shù)據(jù)外泄等。

　　受影響醫(yī)療信息的存儲位置

　　醫(yī)療保健行業(yè)正越來越多地使用加密及云服務(wù)存儲數(shù)據(jù)，這一實踐能夠顯著控制因丟失/盜竊事件引發(fā)的數(shù)據(jù)泄露問題。此外，網(wǎng)絡(luò)釣魚攻擊仍是醫(yī)療保健數(shù)據(jù)泄露事件的一大重要誘因，通常也代表著多段式攻擊的第一步。在后續(xù)階段，攻擊方可能會部署惡意軟件或勒索軟件。

　　根據(jù)報告，2020年電子郵件賬戶違規(guī)事件的發(fā)生率已經(jīng)高于每兩天1起，但針對網(wǎng)絡(luò)服務(wù)器的入侵活動頻率還要更高。網(wǎng)絡(luò)服務(wù)器中往往存儲有大量患者數(shù)據(jù)，因此成為黑客與勒索軟件團(tuán)伙的主要指向目標(biāo)。

　　盡管大多數(shù)醫(yī)療保健數(shù)據(jù)泄露事件涉及的是受到保護(hù)的電子病歷信息，但2020年也有相當(dāng)一部分泄露事件影響到病歷的紙質(zhì)/膠片副本。這些副本往往被未授權(quán)個人接觸、丟失或未能以安全方式得到妥善處置。

　　2020年哪些實體遭遇的數(shù)據(jù)泄露事件最多？

　　以下餅狀圖所示，為HIPAA覆蓋下各實體的數(shù)據(jù)泄露事件細(xì)分情況。這些實體在2020年內(nèi)皆遭受到涉及記錄數(shù)量超過500條的重大事件影響。

　　其中，醫(yī)療保健服務(wù)商成為受害者主體，共上報497起事件。業(yè)務(wù)伙伴上報73起事件；但需要注意的是，相當(dāng)一部分業(yè)務(wù)伙伴的數(shù)據(jù)泄露事件是由與之合作的實體所上報。這一年內(nèi)，共有258起違規(guī)事件與業(yè)務(wù)伙伴相關(guān)，占所有違規(guī)事件的40.19%。醫(yī)療計劃管理方上報了70起違規(guī)事件，醫(yī)療保健結(jié)算公司則上報2起違規(guī)事件。

　　2020年全美各州醫(yī)療保健數(shù)據(jù)泄露情況

　　2020年，懷俄明州、佛蒙特州以及南達(dá)科他州的居民們非常幸運，沒有遭遇任何醫(yī)療保健數(shù)據(jù)泄露事件。但除此之外的所有其他州，外加哥倫比亞特區(qū)，全部上報有數(shù)據(jù)泄露事件。

　　加利福尼亞州成為受影響最嚴(yán)重的州，總計上報51起事件。其次是佛羅里達(dá)州與得克薩斯州，各上報44起事件。紐約州有43起，賓夕法尼亞州則為39起。

　　2020年HHS HIPAA執(zhí)法措施

　　從執(zhí)法方面來看，2020年對HIPAA來說無疑是繁忙的一年。作為HIPAA合規(guī)工作的主要執(zhí)法機(jī)構(gòu)，HHS民權(quán)辦公室共發(fā)起19項最終做出經(jīng)濟(jì)處罰決定的HIPAA合規(guī)性調(diào)查。這也是民權(quán)辦公室自開始執(zhí)行HIPAA合規(guī)性要求以來，做出處罰決定最多的一年。19起調(diào)查總罰款數(shù)額達(dá)到1355萬4900美元。

　　沒錯，從啟動調(diào)查到實際征收罰款往往需要幾年時間。2020年內(nèi)最大的執(zhí)法行動甚至可以追溯到2015年之前。但2020年罰款總額的大幅增長，主要源自民權(quán)辦公室于2019年年底發(fā)起的HIPAA執(zhí)法運動，旨在解決HIPAA病歷查閱權(quán)規(guī)定執(zhí)行不暢的問題。

　　到2020年，HIPAA共與醫(yī)療服務(wù)商達(dá)成11項和解協(xié)議，顯著緩和了服務(wù)方無法及時獲取個人病歷的問題。

　　2020年各州檢察長HIPAA執(zhí)法措施

　　除民權(quán)辦公室之外，州檢察長同樣有權(quán)對有違HIPAA監(jiān)管要求的實體施以懲處。目前，各州檢察總長還建立起廣泛共識，即多州共同集中資源處理有違HIPAA規(guī)則的法律訴訟。2020年內(nèi)出現(xiàn)了兩起與HIPAA涵蓋實體/業(yè)務(wù)伙伴相關(guān)的多州訴訟。

　　首先是健康保險公司Anthem案。此案源于2015年，泄露數(shù)據(jù)為7880萬條。為了懲處一系列有違HIPAA及各州法律的行為，該公司需要支付4820萬美元罰款。

　　CHSPSC是一家位于田納西州的管理公司，負(fù)責(zé)為其各下轄醫(yī)院運營企業(yè)以及Community Health Systems的多家分支機(jī)構(gòu)提供服務(wù)。由于存在違反HIPAA要求的行為，該公司同樣在多州訴訟中支付500萬美元罰金。此案源自2014年上報的數(shù)據(jù)泄露事件，期間黑客竊取到612萬1158位患者的ePHI。