周五,美国主要医院运营商Ascension Health的一位律师写信给缅因州总检察长,告知他Ascension患者和员工的电子个人健康信息(e-PHI)在5月份发生的一次勒索软件攻击中遭到破坏,此次攻击影响了近560万人。
这次攻击严重影响了Ascension在其广泛的网络中的运营,该网络包括134,000名员工、35,000名附属提供者和19个州及哥伦比亚特区的140家医院。立即后果包括救护车改道、药房关闭,以及由于关键IT系统不得不离线而恢复手动记录方法。
Ascension的律师Sunil Shenoi在12月19日写给缅因州总检察长消费者保护部门的信中表示,公司“将开始通过美国邮政服务通知适用的缅因州居民有关安全事件”。
尽管医疗保健行业面临的网络威胁日益严重,但本月早些时候国会研究服务局(CRS)的一份报告强调,“美国没有全面的数字数据保护法。”各州不同的数据隐私和安全法律加剧了这一问题。此外,虽然有许多数据保护指导文件可用,但它们是自愿的。
对Ascension的攻击是最新一起针对医疗保健行业的网络攻击,该行业特别容易受到攻击,因为患者数据的敏感性质和不间断医疗服务的重要性。今年早些时候,UnitedHealth Group的子公司Change Healthcare也遭受了一次类似的勒索软件攻击,影响了1亿人的个人健康信息,再次凸显了医疗保健提供商面临的不断升级的网络安全挑战。
今年2月,Change Healthcare遭受了BlackCat网络犯罪集团的勒索软件攻击,扰乱了电子支付和医疗理赔处理,影响了全国范围内的医疗保健提供者和患者。
UnitedHealth首席执行官Andrew Witty在5月向众议院能源和商业委员会的监督和调查小组委员会表示,网络“罪犯利用被盗的凭证远程访问Change Healthcare的Citrix门户,这是一个用于启用远程桌面访问的应用程序[该应用程序]没有多因素认证。一旦威胁行为者获得访问权限,他们就在系统内部以更复杂的方式横向移动并窃取数据。九天后部署了勒索软件。”
Witty告诉参议院财政委员会,他决定支付2200万美元赎金“是我做过的最艰难的决定之一。”
2022年,有626起报告的违规事件,影响了超过4100万人,大多数违规事件源于黑客攻击。较小的违规事件通常由未经授权的访问或数据管理不当引起,影响了另外257,105人。
CRS本月早些时候在一份关于网络安全和数字健康信息的报告中向立法者表示,“过去十年来,针对医疗保健提供者和健康计划维护的敏感健康信息的网络攻击急剧增加。医疗数据和信息是网络攻击的诱人目标”,并且“网络安全专家预测,这些攻击将继续影响越来越多的人。”
数字健康技术,如电子健康记录、远程医疗平台和医疗设备,已成为现代医疗保健的基石。它们提高了效率和可访问性,但也大大增加了恶意行为者的攻击面。医疗保健提供者、保险公司及相关实体收集和传输大量受保护的健康信息,使该行业成为网络犯罪分子的诱人目标,因为健康数据的价值很高。美国人的健康信息在黑市上可以卖到数百万美元。
Ascension的律师表示,公司的“调查确定,一些[受损]文件包含个人姓名以及以下一个或多个类别的信息:医疗信息(如医疗记录编号、服务日期、实验室测试类型或程序代码)、支付信息(如信用卡信息或银行账户号码)、保险信息(如Medicaid/Medicare ID、政策号码或保险理赔)、政府身份信息(如社会保障号码、税务识别号码、驾驶执照号码或护照号码)和其他个人信息(如出生日期或地址)。然而,涉及的具体信息因个人而异。”
作为对违规事件的回应,Ascension与第三方网络安全专家合作调查事件并确定受影响的个人。到12月,审查已完成,Ascension开始通知那些个人资料被泄露的人,并提供免费的信用监控和身份保护服务。
Ascension表示已恢复其电子健康记录系统,并继续加强其网络安全措施以防止未来事件的发生。
美国健康数据隐私的基石是《健康保险流通与责任法案》(HIPAA),该法案旨在确保患者信息的安全和私密处理。HIPAA引入了几项关键规定,包括隐私规则、安全规则和违规通知规则。然而,随着技术的发展,HIPAA的框架因其有限的范围和应对现代网络安全挑战的有效性而受到质疑。
数字技术在医疗保健领域的兴起彻底改变了患者护理,简化了流程,并提供了前所未有的医疗数据访问。但是,像许多技术进步一样,这种数字化转型也引入了重大漏洞,尤其是在保护敏感健康信息的隐私方面。最近对数字健康网络安全状况的洞察突显了在网络安全攻击规模和复杂性不断增加的情况下,加强隐私保护的迫切需求。
HIPAA安全规则要求实施行政、物理和技术保障措施,以保护电子个人健康信息(e-PHI),赋予覆盖实体在实施方面的自主权。这种灵活性旨在适应不同组织的规模和能力,但也可能导致应用和执法不一致。更令人担忧的是,CRS报告指出,HIPAA仅适用于特定的覆盖实体,如医疗保健提供者和保险公司,排除了处理类似敏感数据的个人健康应用程序开发人员和其他技术创新者。因此,这造成了重大缺口,使健康数据容易被利用。
批评者还指出,安全规则无法充分应对新兴威胁,如勒索软件和在AI模型开发中滥用数据。例如,AI严重依赖于庞大的数据集进行训练和验证,引发了在这些过程中是否充分保护患者隐私的担忧。
HIPAA违规通知规则旨在确保违规事件发生时的透明度,要求覆盖实体通知受影响的个人、卫生与公众服务部(HHS),在某些情况下还需通知媒体。然而,CRS表示,该规则是被动的,解决的是违规事件的后果,而不是预防事件的发生。
当非HIPAA覆盖实体发生违规事件时,联邦贸易委员会(FTC)的健康违规通知规则适用。然而,这种双重系统导致利益相关者困惑,因为他们必须应对重叠的管辖权。缺乏统一的、全面的框架加剧了问题,使患者对其健康数据的安全感到不确定。
另一个紧迫的问题是医疗设备的网络安全。许多现代医疗设备连接到网络或互联网,增加了它们遭受网络攻击的脆弱性。医院通常运行数千个互联设备,使其难以监控和保护每个端点。不安全的设备不仅危及患者隐私,还危及护理交付。例如,被攻破的输液泵或除颤器可能会导致生命危险。
食品和药物管理局(FDA)已采取措施通过上市前和上市后的网络安全指南来解决这些漏洞。然而,确保设备安全的责任往往落在制造商和医疗保健提供者之间的灰色地带。这种模糊性突显了需要明确责任和更严格的监管,以防止可能危及患者隐私和安全的违规事件。
医疗保健行业中隐私违规的影响远远超出财务成本。患者可能因泄露的健康数据而遭受声誉损害、歧视或身份盗窃。网络攻击还导致医院关闭和护理交付中断。在极端情况下,这些中断可能导致不良健康结果甚至死亡。
勒索软件攻击频率的增加进一步加剧了这些风险。在这种事件中,黑客加密关键的健康数据并要求支付赎金以换取数据的释放。由此产生的停机时间通常迫使医疗保健提供者恢复手动流程,延迟治疗并降低护理质量。
保护个人健康信息的碎片化方法使医疗保健行业依赖于联邦、州和自愿指南的拼凑。虽然HHS和FTC执行HIPAA和健康违规通知规则,但其有限的范围未能涵盖处理健康数据的所有实体。
加强网络安全法规的努力仍在待定中。HHS五年前发布了一份拟议规则制定通知,更新了HIPAA安全规则。同时,一系列立法已被提出,但进展缓慢,留下了许多网络犯罪分子继续利用的漏洞。
随着医疗技术的发展,在创新和隐私之间找到正确的平衡至关重要。利益相关者必须合作创建保护患者数据而不抑制技术发展的框架。这包括扩大监管范围、提高网络安全标准、投资韧性并增强透明度。
像HIPAA这样的法律必须发展以包括处理健康数据的非传统实体,如应用程序开发人员和AI公司。整个医疗生态系统中的强制性基线标准可以减少变异性并提高整体安全性。为资金不足的实体,特别是农村医疗设施,提供补助和资源,可以帮助它们采用强大的网络安全措施。明确和一致的违规通知做法可以建立患者信任并确保问责制。
健康信息的隐私是医疗保健系统信任的基石。随着对这种隐私的威胁增加,集体努力保护它的力度也必须加大。政策制定者、医疗保健提供者、技术开发者和监管机构必须果断行动,填补空白,加强保障措施,并建立一个能够保护患者数据的弹性框架,以应对日益数字化的世界。失败不仅会危及隐私,还会危及医疗保健系统的完整性。
(全文结束)
