医疗卫生机构如何防范患者用户数据记录泄露？

年复一年，影响医疗保健行业实体的数据泄露数量不断增加，2020 年也不例外。去年向美国卫生与公众服务部 (DHHS) 报告的 616 起数据泄露事件导致 28,756,445 份医疗记录暴露/泄露。

大多数漏洞是由黑客和不当的 IT 网络安全造成的，因为勒索软件团伙继续将安全性比平时更加薄弱的医疗保健机构作为攻击目标。

本文翻译自helpnetsecurity.com在 2021 年 9 月 14 日 发布的一篇文章，作者Zeljka Zorz，由Kenson Wu整理并翻译，译文全文如下：

损害医疗记录

Paubox 首席运营官兼首席合规官 Rick Kuwahara 表示：“网络犯罪分子利用新冠疫情流行病作为获取受保护健康信息 (PHI) 的途径。

“Covid-19 的影响，包括医院的容量和员工压力，使医疗保健行业特别脆弱。PHI 的一些最大威胁包括网络钓鱼和勒索软件攻击，但也包括人为错误、网络安全滞后和电子邮件加密的盲点。”

保护PHI

Paubox 首席运营官兼首席合规官 Rick Kuwahara 解释说：“如果获得患者的书面授权，则可以在法律范围之外对PHI进行额外的使用和披露。”

在美国，受保护的健康信息 (PHI) 的使用受 HIPAA 隐私规则的约束，如果它用于治疗和支付护理费用等相关医疗保健业务，则取决于谁创建了信息，该规则允许受保护的实体及其业务伙伴在未经患者同意的情况下使用和披露 PHI。

PHI 还可以包括患者的财务（账单）信息，如果它是他们整体健康记录的一部分。

HIPAA 安全规则要求医疗机构必须保持“合理和适当的管理、技术和物理保护措施来保护 ePHI”，但标准的保护措施通常是不够的。

“医疗机构必须超越 HIPAA 的标准并实施有助于修补漏洞和创建网络犯罪分子无法渗透的障碍的实践，”Kuwahara 认为，并建议他们考虑常见的做法，例如：

对员工进行及时和持续的培训，以减少人为错误的机会更新隐私政策以跟上行业标准采用新技术通过高质量加密保护接收/发送的电子邮件采用安全密码策略修补和更新网络提高云网络安全性

根据最新的 IBM 数据泄露成本报告，人为错误约占 2020 年所有医疗保健泄露事件的 30%。

为了在未来几年将这一比例降至最低，医疗保健机构应适当培训医疗服务提供者、护士和管理员，并制定网络安全政策，重点关注识别和阻止恶意电子邮件、账号密码共享和移动设备使用。

义务和影响

可以这么说，保护 PHI 和其他患者信息安全的责任取决于“掌握”这些信息的人。

“如果医疗保健服务提供者拥有数字或物理形式的 PHI，则必须尽一切合理努力确保其安全，包括对电子 PHI (ePHI) 进行加密。医疗服务提供者还负责根据要求安全地将 PHI 提供给患者，”Kuwahara 解释说。

“但是一旦患者获得了他们的信息，他们就应该保护它的安全。这包括可能已通过电子邮件发送给他们的文书工作和 ePHI。”

在黑市上，PHI 比个人身份信息（姓名、地址、电子邮件等基本信息）更有价值。网络犯罪分子追逐 PHI 是因为它使他们能够窃取处方药，利用他们的医疗条件以骗局为目标，并制造虚假的保险索赔。

虽然 70% 的消费者表示，如果他们发现他们的个人健康数据不受保护，他们会切断与医生的联系，但他们最有可能发现这一点的方式是在数据泄露之后，到那时为时已晚：他们的 PHI 受到损害可能是巨大的，并且可能会在他们还活着的时候持续出现。

而且，雪上加霜的是，受保护的健康信息 (PHI) 受到损害的患者不能以违反 HIPAA 为由寻求法律追索。

“患者可以对违反州法律的医疗机构提起法律诉讼。也就是说，患者必须能够证明 PHI 被盗或疏忽造成的伤害或损害，”Kuwahara总结道。「来源: ｜CyberRisk赛伯瑞斯克 ID：CyberRisk」