2024年,美国医疗行业成为网络攻击重灾区,全年共报告720起医疗数据泄露事件,约1.86亿条用户记录受影响。涉及医疗服务提供者、业务伙伴和健康计划机构,泄露信息种类繁多。其中,ChangeHealthcare遭受勒索软件攻击最为严重,约1亿人信息被盗。
从影响范围来看,受影响人数众多,虽实际人数可能略低,但波及范围广泛。医疗服务供应商、业务合作商和健康计划机构均有大量事件发生。
攻击方式主要为黑客/IT事件,近600起以勒索软件攻击为主;还有未经授权的访问或披露,约400起涉及网络服务器,160起涉及电子邮件,通过钓鱼和恶意软件传播。
当下医疗行业存在诸多安全隐患,医疗业务伙伴与健康计划机构防御薄弱,成为易被攻击的风险点;不少医疗机构仍在使用WindowsXP这类缺乏安全更新的过时系统,为黑客创造了入侵条件;医疗机构与第三方供应商数据共享监管缺失,供应链透明度不足,攻击者能够借此渗透核心系统。
01. 事件概述 2024年,美国医疗行业成为网络攻击的重灾区,全年共报告了720起医疗数据泄露事件,影响约1.86亿条用户记录。这些事件主要涉及医疗服务提供者、医疗业务伙伴和健康计划机构,泄露的信息包括姓名、联系方式、出生日期、社会安全号码、保险信息、医疗记录甚至财务信息。 其中,最严重的事件是ChangeHealthcare遭受的勒索软件攻击,导致约1亿人的信息被盗。其他受影响的大型机构包括KaiserPermanente(1340万)、AscensionHealth(550万)和HealthEquity(430万)等。 黑客/IT事件:近600起,以勒索软件攻击为主。 未经授权的访问或披露:约400起事件涉及网络服务器,160起涉及电子邮件,攻击者常利用电子邮件进行钓鱼攻击和恶意软件传播。 02. 影响范围 受影响人数:约1.86亿条用户记录被泄露,实际受影响人数可能略低,因部分用户可能在多起事件中重复泄露。 受影响机构类型: 医疗服务供应商:520起事件。 医疗业务合作商:120起事件。 健康计划机构:近100起事件。 地域分布:得克萨斯州和加利福尼亚州的事件数量最多,各有约60起,其次是纽约、伊利诺伊州和佛罗里达州。 03. 公安部一所深圳服务中心观点 加大对第三方风险管理的投入,建立严格准入与定期审查制度,借助第三方风险评估工具实时监控,与专业网络安全公司合作开展供应链安全审计;加速老旧系统升级,制定 IT 系统升级计划,淘汰过时系统,采用现代化操作系统,加大网络安全软硬件投入,通过政府补贴等助力中小型医疗机构升级,鼓励采用云计算和虚拟化技术;提升供应链透明度,建立透明数据共享机制,利用区块链技术实现数据可追溯和不可篡改,推动行业标准制定,要求供应商提供安全合规报告,建立应急响应机制;加强人员培训,定期开展网络安全培训,引入模拟攻击演练和竞赛,建立内部举报机制;推动政策支持与行业协作,呼吁政府加大政策支持和资金投入,建立医疗行业网络安全联盟,鼓励医疗机构与相关企业、机构合作开发安全解决方案。 1. 加大投入,强化第三方风险管理 建议措施:医疗机构应加大对第三方合作伙伴的网络安全评估和监管投入,建立严格的准入机制和定期审查制度。通过引入第三方风险评估工具和平台,实时监控合作伙伴的安全状况,确保其符合行业标准和法规要求。 实施路径:与专业网络安全公司合作,开展供应链安全审计,明确数据共享边界和责任划分,确保第三方合作伙伴的安全防护能力与核心系统相匹配。 2. 加速老旧系统升级,构建现代化IT基础设施 建议措施:医疗机构应制定明确的IT系统升级计划,逐步淘汰Windows XP等过时系统,采用支持持续安全更新的现代化操作系统。同时,加大对网络安全硬件和软件的投入,部署实时威胁检测系统、端点保护代理和高级防火墙等防护措施。 实施路径:通过政府补贴或专项基金支持,帮助中小型医疗机构完成系统升级。鼓励医疗机构采用云计算和虚拟化技术,提升系统的灵活性和安全性。 3. 提升供应链透明度,建立全链条安全监管机制 建议措施:医疗机构应与第三方供应商建立透明的数据共享机制,明确数据流向和使用权限。通过区块链等技术手段,实现数据共享的可追溯性和不可篡改性,确保供应链各环节的安全可控。 实施路径:推动行业标准的制定和实施,要求供应商提供详细的安全合规报告。建立供应链安全事件应急响应机制,确保在发生安全事件时能够快速定位问题并采取补救措施。 4. 加强人员培训与意识提升 建议措施:定期开展网络安全培训,提高医疗机构员工和第三方合作伙伴的安全意识,特别是针对钓鱼攻击、勒索软件等常见威胁的识别和应对能力。 实施路径:引入模拟攻击演练和网络安全竞赛,增强实战能力。建立内部举报机制,鼓励员工发现并报告潜在的安全隐患。 5. 推动政策支持与行业协作 建议措施:呼吁政府加大对医疗行业网络安全的政策支持和资金投入,推动行业内的信息共享和协作。建立医疗行业网络安全联盟,共同应对跨机构、跨区域的安全威胁。 实施路径:明确医疗机构的网络安全责任,对未能履行安全义务的机构进行处罚。鼓励医疗机构与网络安全企业、研究机构合作,开发针对性的安全解决方案。 建立应急响应计划:制定并演练数据泄露应急响应计划,确保在事件发生时能够快速反应,减少损失。 04. 重大泄露事件 1. BayMark数据泄露事件 事件概述:北美最大的药物滥用治疗和康复服务提供商BayMarkHealthServices在2024年9月遭遇勒索软件攻击,导致患者数据泄露。攻击者在2024年9月24日至10月14日期间访问了BayMark的系统,窃取了包含患者姓名、社会安全号码、驾照号码、出生日期、保险信息、治疗记录等敏感信息的文件。 影响范围:泄露数据量达1.5TB,具体受影响人数未公布,但BayMark每天为超过7.5万名患者提供服务,覆盖美国35个州和加拿大3个省的400多个服务点。 应对措施:BayMark为可能泄露社会安全号码或驾照号码的患者提供为期一年的免费Equifax身份监控服务。 攻击者:勒索软件团伙RansomHub声称对此次攻击负责,并威胁公开窃取的数据。 2. Medusind数据泄露事件 事件概述:医疗账单公司Medusind在2023年12月发现数据泄露,影响了超过36万人的个人健康信息。泄露的信息包括姓名、出生日期、电子邮件、地址、电话号码、健康保险信息、支付信息、社会安全号码等。 影响范围:泄露事件影响了360,934人,主要为Medusind服务的医疗机构客户。 应对措施:Medusind提供了两年的免费身份监控服务,包括信用监测和身份盗窃恢复。Medusind在发现泄露后花费了一年多时间才完成调查并通知受影响者,导致网络犯罪分子有充足时间滥用泄露信息。 3. ExcelsiorOrthopaedics数据泄露事件 事件概述:2024年6月23日,纽约骨科医疗服务提供商ExcelsiorOrthopaedics遭遇数据泄露,影响了约35.7万名患者和员工。泄露的信息包括个人身份信息、医疗记录和财务数据。 影响范围:泄露事件波及全美多个州,包括缅因州和得克萨斯州。 应对措施:ExcelsiorOrthopaedics采取了多项措施,包括断开外部网络访问、更改系统凭证、聘请第三方网络安全公司进行调查,并为受影响者提供12个月的免费信用监控和身份盗窃恢复服务。 4. ChangeHealthcare勒索软件攻击事件 事件概述:2024年2月,美国联合健康集团旗下的医疗保健服务商ChangeHealthcare遭遇勒索软件攻击,导致超过1亿人的个人信息和医疗数据被盗。这是近年来最大规模的医疗数据泄露事件。 影响范围:泄露的信息包括健康保险信息、医疗记录、账单和支付信息、社会安全号码等。 攻击者:BlackCat勒索软件团伙(又名ALPHV)声称对此次攻击负责,窃取了6TB数据并加密了系统。联合健康集团支付了2200万美元赎金,但攻击者内部出现内讧,部分数据被泄露。 应对措施:ChangeHealthcare向受影响者发出通知,并提供信用监控服务。
特别声明:智慧医疗网转载其他网站内容,出于传递更多信息而非盈利之目的,同时并不代表赞成其观点或证实其描述,内容仅供参考。版权归原作者所有,若有侵权,请联系我们删除。
凡来源注明智慧医疗网的内容为智慧医疗网原创,转载需获授权。
