Advertisement

3 起健康数据泄露事件影响 140 万人

Advertisement

违规通知、安全操作

儿童医院、管理式护理计划、政府承包商报告的事件

玛丽安·科尔帕索克·麦吉 (健康信息安全) •
2022 年 5 月 24 日

东田纳西儿童医院是最近报告重大健康数据泄露事件的实体之一。

黑客事件最近被报道为大 三种不同类型的卫生部门实体——一家儿童医院、一家管理式医疗计划和一家政府承包商——的数据泄露泄露了超过 140 万人的敏感信息。

也可以看看: 按需| 远程员工和大辞职:如何管理内部威胁?

一些专家表示,这些事件反映了对医疗保健行业的网络攻击持续存在的令人不安的趋势。

“在所有这三种情况下,最令人担忧的是医疗保健设施及其提供者对有组织犯罪团伙的脆弱程度,这些犯罪团伙利用勒索软件攻击获取可观的经济利益,”这位前美国国家安全局副局长说。 云安全公司 Redacted 的全资子公司支架 f 的首席执行官 Tim Kosiba。

重大违规行为

最近向缅因州总检察长办公室报告外部黑客违规行为的三个实体包括东田纳西儿童医院 (ETCH); 加州合作伙伴健康计划 (PHC) 和 Acuity International Holistic Health Services。

ETCH 和 PHC 的网络事件发生在 3 月,每起事件都涉及 IT 系统的各种中断,表明可能存在勒索软件攻击。

这两个实体都没有公开证实勒索软件参与了他们的事件(见: 田纳西州儿童医院应对网络事件2 卫生计划报告袭击后的严重违规行为)。

迄今为止,PHC 还是至少一起因违约而提起的集体诉讼的被告。 该诉讼称,敏感的患者数据在事件中被 Hive 勒索软件集团窃取和泄露(参见: 加州健康计划系统仍然处于关闭状态)。

外交和国际合作部向州检察长报告了其事件,影响了约 423,000 人,其中包括 6 名缅因州居民,并向该州初级卫生保健机构报告了其违规行为,影响了约 855,000 人,其中包括 84 名缅因州居民.

但根据卫生与公众服务部的 HIPAA 违规报告工具网站,ETCH 向联邦监管机构报告了其黑客事件仅影响了 501 人,该网站列出了影响 500 人或更多人的健康数据泄露事件。

截至周二,该 PHC 事件尚未出现在该网站上,但一旦发布,该事件可能会成为 2022 年迄今为止向联邦监管机构报告的第二大健康数据泄露事件。

在发送给缅因州总检察长的一份报告中,Acuity International 描述了其黑客事件——该事件影响了近 123,000 人,其中包括 679 名缅因州居民——在发现几起欺诈性电汇之后,于 2020 年 9 月在其环境中发现了异常活动。

东田纳西州的儿童外泄细节

ETCH 在一份违规通知声明中表示,3 月 13 日,它在其网络上发现了异常活动。 “我们立即开始采取措施保护我们的系统,并对事件展开彻底调查,”通知中写道。

该实体 3 月 18 日的调查确定,存储在 ETCH 环境中的一些文件可能已在 3 月 11 日至 3 月 14 日期间被未经授权的行为者复制或查看。

该医院的 Facebook 页面显示,事故发生时,多种服务受到影响,包括紧急护理 X 光程序和该组织对电子邮件的访问。

ETCH 在其通知声明中表示,受影响的数据因个人而异,但可能包括姓名、联系信息、出生日期、病历号码、病史信息和社会安全号码。

“ETCH 正在审查和加强现有的网络安全政策、程序和保障措施,并已采取额外措施进一步增强其系统的安全性,”其声明称。 ETCH 表示已将该事件通知联邦执法部门。

ETCH 没有立即回应信息安全媒体集团的评论请求和有关该事件的更多详细信息。

监管律师 Rachel Rose 表示,任何涉及儿童个人信息的数据安全事件都特别令人担忧,原因有几个。

其中包括儿童信息落入性侵犯者手中的风险,以及在身份欺诈和其他犯罪活动中使用未成年人敏感信息的时间更长,然后才被发现盗窃。

她说,对儿童医院的袭击具有“增加的敏感性和情感成分”。 “网络犯罪分子更多地关注医院,以便由于患者的负面结果和可能的死亡而获得快速付款,”她说。

初级卫生保健事件

在违规声明中,PHCC 表示“有证据表明,未经授权的一方在 3 月 19 日左右访问或从 PHCC 网络获取了某些信息”。 初级卫生保健公司表示,调查过程正在进行中。

可能受到未经授权访问的信息包括姓名、社会安全号码、出生日期、驾驶执照号码、部落识别号码、病历号码、健康保险信息、会员门户用户名、密码、电子邮件地址和医疗信息,包括治疗、诊断, 和处方。

PHCC 没有立即回应 ISMG 对 4 月份在加利福尼亚州法院对该实体提起的事件或相关诉讼发表评论的请求。

锐度突破

政府承包商 Acuity International 在 5 月 10 日报告中以向缅因州总检察长提交的违规通知信的形式表示,该事件涉及其综合健康服务部门 (CHS)。

该消息称,在 2020 年 9 月 30 日,Acuity 在发现几笔欺诈性电汇后,在其数字环境中检测到异常活动。

信中指出,在发现这一活动后,Acuity 聘请了一组网络安全专家来保护其数字环境并进行刑事调查。

“在审查和分析受事件影响的信息后,作为调查的结果,Acuity 于 4 月 4 日确定,为其关联公司之一工作的少数个人的个人信息可能已被恶意行为者,”这封信说。

Acuity 没有立即回应 ISMG 要求提供有关该事件的更多详细信息。

在不相关的事件中,Acuity 的基本人道主义标准于 3 月同意在联邦举报人案件中支付 933,000 美元的和解金,其中包括该实体涉嫌虚假声称包含军事人员、外交官和承包商信息的电子医疗记录的安全性(看: 基本人道主义标准推动虚假索赔法解决)。

该解决方案是司法部去年启动的民事电子欺诈倡议下的第一个解决方案。

恼人的趋势

一些专家表示,涉及东田纳西儿童医院、加利福尼亚州的 HealthPlan 合作伙伴以及 Equity International 的综合健康服务的事件是涉及医疗保健行业参与者的网络攻击令人不安的趋势的一部分。

Kosiba 说,这些违规行为仍低于“武装袭击”的门槛,因此属于犯罪性质,并被视为此类行为。 “总有一天,我们作为一个国家不再将这些虐待视为犯罪,而是对我们作为公民的自由的攻击,”他说。

“在不知道被黑网络防御细节的情况下,所有受害者都有责任保护自己免受民族国家赞助的金钱驱动的对手的攻击,”科西巴说。 同时,他补充说,州和联邦政府正在制定立法,以帮助保护医疗保健部门免受此类攻击。

“正在努力与防御者共享信息,以保护网络免受勒索软件攻击,但趋势仍在继续上升。我们支持持续关注公共/私人伙伴关系,但我们必须向前迈进,同时共同保护我们的关键基础设施,包括健康Cosiba 说,关心“给这些反对者带来了后果”。

Rose 预计,处理受保护健康信息的组织将继续成为网络犯罪分子的主要目标。

“对于 HIPAA 涵盖的实体和业务合作伙伴(包括政府承包商)来说,为了记住一些,不要忽视 HIPAA、HITECH 和联邦收购法规所要求的技术、行政和物理保护要求,这一点至关重要,”她说。

.

Advertisement
Hurry Up!

Leave a Reply

Your email address will not be published.