醫療保健資料被盜取的情況,遠較預期普遍。剛剛 Verizon 發表的「2015 年受保護醫療保健資料外洩報告」便指出,20 個接受研究的行業之中,有 18 個行業受到影響。可是,護理業以外的機構,大部分甚至連自己擁有這類數據都不自知。受保護的醫療保健資料通常來自員工紀錄(包括僱員索償)或保健計劃,這些資料一般都不會受高度保護。

以上發現是數據外洩調查報告(DBIR)團隊首份分析已確定的受保護醫療保健資料(PHI)外洩個案報告的其中一部分,當中涉及超過 3.92 億項紀錄和發生在全球 25 個國家的 1,931 宗事件。

高級保安分析師及報告的主要作者 Suzanne Widup 表示:「很多機構都未有採取足夠措施,保護這些極敏感及機密數據,這可能會導致嚴重後果,除了影響個人及其家人之外,還會增加政府、機構和個人的醫療保健成本。況且,時下的網絡罪犯都覬覦受保護的醫療保健資料。」

根據報告引述的近期研究顯示,有些人因為擔心醫療保健資料外洩,故向醫療保健服務供應商隱瞞某些重要資料。

Widup 補充說:「醫療保健機構必須明白,病人相信他們會保護自己的資料,一旦喪失了這種信任關係,影響可以極為深遠。」

例如報告指出,如果人們不願意披露所有資料,可能會延誤傳染病的診斷。對於遭受社會標籤的疾病,影響更甚。

PHI 外洩與其他類別的資料外洩有何分別

PHI 外洩,與 DBIR 以往研究的數據外洩有三大分別。其一是由誰人外洩。在 PHI 外洩事件中,內部和外部洩密者的數目幾乎相等,其差別僅為 5%,這表示內部人員濫用資料的情況極為普遍。

根據報告的發現顯示,盜用醫療紀錄往往是出於用心不良。洩密者多數是盜取信用卡和社會保障編號這類可識別個人身份資料(PII),用以干犯金融罪案和瞞稅。

其二,資料外洩的方式也顯著不同。醫療保健資料外洩主要是因為手提裝置(手提電腦、平板電腦和記憶棒)被盜,其次是將醫療報告誤送至非當事人,或遺失手提電腦等的人為錯誤。第三種誤用方式是僱員濫用資料閱覽權。此三種方式佔所有 PHI 數據外洩的 86%。

其三,大部分資料外洩個案都是在事發後數月甚至數年後才得以被發現。跟一般外洩個案比較,醫療保健資料外洩有三倍機會由內部人員濫用區域網閱覽特權導致,並有兩倍較大機會可能是透過攻擊伺服器(特別是數據庫)盜取資料。

2015 年受保護健康資料外洩報告

「受保護醫療保健資料外洩報告」是數據外洩調查報告(DBIR)系列的其中一部分。該報告以真實個案為基礎,是業內同類報告中最全面的,當中分析受保護醫療保健資料的外洩情況,並將重點放於健康護理業上,包括非住院醫療保健服務、醫院、醫護和住院護理,以及北美、歐洲和亞太區的社會援助。

報告載述的事件由以下機構提供:安達集團;電腦緊急應變團隊內部威脅中心;CrowdStrike、德勤;荷蘭國家高科技罪案組、G-C Partners、LLP;卡巴斯基實驗室;Mishcon de Reya;NetDiligence;以及美國特勤局。該研究亦包括美國衛生及公眾服務部的數據庫(至少影響 500 人的事件)和美國退伍軍人事務部根據 VERIS 社區數據庫計劃向美國國會滙報的大量事件。


 護理業甚至不知擁有保健數據:九成行業遭受病人資料外洩影響

 https://www.facebook.com/hkitblog