如今,医疗保健数据泄露事件日益猖,, 2019年上半年非法访问了3200万患者记录。这是2018年全年总数的两倍多。而2018年的人数是2017年的三倍。

去年最大的违规行为?美国医疗收集局(AMCA)事件进行了8个月,直到美国证券交易委员会(SEC)提交了8-K备案后才曝光。该漏洞影响了惊人的2500万患者(包括来自合作伙伴Quest Diagnostics的1200万和近800万的LapCorp患者)。泄露的数据包括个人健康信息(PHI),支付卡行业(PCI)信息和个人身份信息(PII)的混合包。正在进行调查,诉讼正在进行中。

但是,正如数字清楚显示的那样,这一事件只是其中之一。实际上,根据LexisNexis最近的一份报告的作者所说,许多美国医院和医疗机构本质上是“等待发生的数据泄露事件”。

医疗保健行业的数据保护问题

有充分的理由说明医疗保健数据泄露的频率如此惊人地上升。在黑客窃取数据方面,该行业相对成熟-不仅超过一半的医疗保健提供者仍使用过时的Windows 7操作系统,且未收到安全更新或补丁,而且许多提供商也依靠过时的遗留病人识别管理工具。

还记得我们之前提到的LexisNexis报告吗?它还发现:

  • 93%的提供者在其在线患者门户中使用用户名密码验证
  • 39%的提供商使用基于知识的身份验证(Q&A’s)
  • 38%的人使用电子邮件验证
  • 29%使用电话验证
  • 65%的提供商使用标准网络安全措施多因素身份验证(MFA)
  • 6%的受访者非常关注安全问题

尽管只有6%的受访者表示安全漏洞是一个大问题,但美国政府问责局等机构已明确表示,上述大多数医疗机构所采取的措施还远远不够。例如,基于知识的身份验证(例如,在生日或母亲的姓氏上询问基本问题)可以很容易地受到黑客窃取数据的侵害。

遵守法规并不总是那么容易

进一步增加了 数据保护 问题在于,为了使卫生系统正常工作,各种卫生保健实体之间定期共享PHI,PII和PCI。考虑在一个相对常见的情况下所需的信息共享,例如有人去看其全科医生,完成实验室工作,被转介给另一个卫生组织的专家,然后将所有这些活动的索赔提交给他们的保险提供商。好多

此类共享要求是该行业受严格的数据隐私标准(例如1996年旨在保护PHI的健康保险可移植性和责任法案(HIPAA))所管辖的重要原因。然而,问题在于,违反HIPAA的行为并不十分罕见:《 HIPAA杂志》称,自2008年以来,HIPAA的处罚数量实际上每年都在增加(尽管这也可能是由于执法力度加大)。

《 HIPAA期刊》继续解释说,HIPAA规则可以以数百种方式被违反,其中最常见的违规行为包括:

  • PHI处置不当
  • PHI披露不当
  • 未经授权的PHI访问
  • 无法执行全组织范围的风险分析
  • 无法监视或维护PHI访问日志
  • 无法根据要求为患者提供自己的PHI

不过,请务必注意,这不仅是私营部门的问题,而且数据保护和 合规 问题甚至扩展到公共卫生机构。例如,问责办公室最近要求医疗保险和医疗补助中心使用基于知识的身份验证,尽管这明显违反了NIST健康IT指南。

为什么选择R&D公司可能损失最大

但是,不仅公共卫生机构或医疗机构必须认真对待数据保护。生物技术,制药和医疗设备制造商等医学研究与开发公司的生存和死亡都取决于其知识产权(IP)的完整性(和价值),以及与合作伙伴和合作者共享大数据或合并数据集的能力。甚至都没有提到医学研究数据经常涉及私人患者数据的事实,而且在医学研究方案中未能充分保护PHI不可避免地会使患者不愿参与试验。

但这并不总是一件简单的任务。例如,有关心脏骤停(SCA)事件的医学研究,该事件占欧洲自然死亡总数的20%,存活率仅为7%。为了提高这些数字,欧洲成立了ESCAPE-NET联盟,意在结合来自世界各地的SCA数据集,包括有关患者遗传学,病史,甚至个人社会经济信息的信息。所有这些数据必须在不同国家和组织的分支机构之间共享。

除此之外,还涉及大量的股权:制药或生物技术等行业中研究密集型公司之间的IP盗窃实际上可能对该组织构成生存威胁,这仅仅是因为涉及大量现金。 Deloitte表示,在2017年将药品或生物技术产品推向市场的平均成本为$ 1.99B,而在2015年,将近三分之二的制药公司报告数据泄露。

一家美国健康保险公司如何保持合规

但是,在这样一个快速发展且复杂的行业中,如何将所有数据私有化是一个极其复杂的挑战,尤其是对于提供实地,日常医疗保健的小型组织而言。 “我认为他们做得很好,但是记住这些组织主要专注于提供最好的医疗保健也很重要,”位于美国的医疗保险公司(和Titus客户)的信息安全总监解释说。 “我有一个朋友,他是医生,他说如果他遇到患者麻烦,他会把他们的记录保存在超大型飞机上,如果这样可以挽救他们的生命。因此,那里有一些不同的心态。

“但是从更大的公司角度来看,这可能是一个可以改进的领域。其中的一部分是用一个健壮,安全,安全的计划来权衡以更快的速度提供积极健康结果的成本。这两件事很难一起做。 ”美国政府问责办公室等机构​​明确表示,上述大多数医疗保健组织采用的措施根本不够推这个

作为一家医疗保险提供商,该公司受到包括医疗补助和医疗服务中心(CMS)以及州保险办公室在内的多个机构的监管。主管说:“我们不能完全不遵守法规。”他的公司补充说,公司结合了多种技术和最佳实践来锁定其数据,包括机器学习,多因素身份验证和最低特权权限。

“您专注于诸如关键数据源是什么?您确保它们只存在于您的生产系统中,并且您所有的分析都是使用合成数据而不是原始数据完成的,”主管解释说,他的公司使用Titus技术来帮助识别和分类敏感数据并确定其在系统中的位置。 “您确保拥有强大的分析模型,从而可以了解整个网络中的数据移动情况。然后最关键的事情之一就是适当地管理您的访问策略,以确保只有合适的人才能访问。”

是时候进行行业干预了?

他们说,PHI是非法数据市场的金鹅:在黑市上,社会保障或信用卡号码的价值只有区区几分钱,而PHI数据和电子病历的价值却高出多个数量级。这就是为什么医疗机构,医疗机构&由D驱动的组织和公共卫生机构都需要一种清晰一致的方法来识别数据敏感性并确定适当的处理方式。没有这个,一次可以在数十个组织之间共享一致有效和安全的信息仅是白日梦。

幸运的是,现有的数据保护软件可帮助自动识别结构化和非结构化数据中的PII,PHI,PCI和其他敏感信息块。它还有助于建立和实施统一的文档和电子邮件分类和标记系统,从而减轻一线员工的负担,这些员工可能没有带宽来处理每封电子邮件或共享文档时手动检查敏感数据。

优质的数据安全软件利用机器学习和神经网络不仅利用文档和电子邮件本身的内容,还利用上下文,分类和用户属性来确保只有合适的人才能访问正确的信息,然后这些人共享完全根据政策提供信息。而且由于丢失的移动设备是造成所有医疗保健数据泄露的三分之一的原因,因此数据保护软件会将所有敏感信息存储在设备上的加密容器中(敏感信息也可以在一定时间段后自动删除,或者如果用户超出允许的地理区域)。

提供更快,更好的健康结果,同时保持数据私密性 对于医疗机构而言,将永远是一个挑战。从法规,财务和声誉的角度来看,在数据隐私和保护比以往任何时候都重要的时候,医疗保健组织需要认真对待数据隐私-否则后果自负。

资源: //titus.com/blog/data-protection/why-the-health-care-industry-may-need-rehab-when-it-comes-to-data-protection/