这些天卫生保健数据漏洞正在飙升,2019年上半年看到了3200万患者记录的非法进入。这在整个年度超过2018年的两倍。 2018年的数字是2017年的三倍。

去年最大的违规行为?美国医疗收集机构(AMCA)事件持续了八个月,凭借美国证券交易委员会的8-K申请才能轻盈。违规行为令人惊叹的2500万患者(包括从合作伙伴Quest诊断和近800万洛普患者的1200万名)。违规数据包括混合袋的个人健康信息(PHI),支付卡行业(PCI)信息和个人身份信息(PII)。调查正在进行,诉讼在空中。

但这事件,随着数字清楚地表明,只是众多之一。事实上,根据最近lexisnexis报告的作者,许多美国医院和医疗保健组织基本上是一个“等待发生的数据违规”。

医疗保健行业的数据保护问题

医疗保健数据泄露的频率在如此惊人的向上轨迹上有很好的理由。该行业在黑客数据盗窃方面相对成熟 - 不仅是一半以上的医疗提供者仍然使用过时的Windows 7操作系统,这些系统没有收到安全更新或补丁,而是许多提供者也是如此依靠过时的遗产患者识别管理工具。

请记住,我们之前提到的lexisnexis报告?它也发现:

  • 93%的提供商在其在线患者门户中使用用户名密码身份验证
  • 39%的提供商使用基于知识的身份验证(Q&A’s)
  • 38%的使用电子邮件验证
  • 29%使用电话验证
  • 65%的提供商采用多因素认证(MFA),标准网络安全措施
  • 6%的被调查的人非常关注安全问题

虽然只有6%的民意调查显示,泄漏的安全性是一个重要的问题,美国政府问责办公室的当局已明确表示,大多数医疗保健组织的措施是不够的。例如,基于知识的身份验证,例如在生日或母亲的婚前姓名上询问基于基本问题,可以通过具有偷窃数据的黑客相对容易地受到影响。

得到符合要求并不总是容易

增加了复杂性 数据保护 问题是,对于卫生系统工作,PHI,PII和PCI经常在各种医疗实体之间共享。考虑在访问GP的某人的相对常见的方案中所需的信息共享,获得实验室工作,在另一个健康组织中提到专家,然后向其保险提供者提交所有这些活动的索赔。这是很多。

分享要求,如这些是行业受到严格数据隐私标准的一个重要原因,如健康保险流通和问责法(HIPAA),1996年的法律意味着保障博士。然而,问题是,HIPAA违规并不完全罕见:HIPAA Journal表示,自2008年以来,HIPAA罚款的数量几乎每年都上涨(尽管这也可能归因于较重的执法)。

HIPAA JOURNAL继续解释,HIPAA规则可以在数百种方式中突破,其中一些最常见的违规行为:

  • 披着不当
  • PHI披露不当
  • 未经授权的PHI访问
  • 未能执行组织范围的风险分析
  • 未能监控或维护PHI访问日志
  • 未能根据要求向患者提供自己的PHI

但是,重要的是要注意,这不仅仅是私营部门问题,以及数据保护和数据 遵守 问题甚至延伸到公共卫生机构。例如,Medicare和医疗补助服务的中心最近被问责办公室呼吁使用基于知识的身份验证,尽管这是对NIST Health IT指导方针的明确违反。

为什么r.&D公司可能最多丢失

不过,这不仅仅是必须认真对待数据保护的公共卫生机构或医疗组织。医学研发公司喜欢生物技术,制药和医疗设备制造商全部生活和死亡,其知识产权(IP)的完整性(和价值),以及与合作伙伴和合作者共享大数据或将数据集合并的能力。这甚至没有提到医学研究数据往往涉及私人患者数据,并且在医学研究方案中未能充分保护PHI不可避免地让患者不那么愿意参加试验。

但这并不总是一个简单的任务。例如,采取关于突发心脏骤停(SCA)事件的医学研究,占欧洲所有自然死亡人数的20%,并占七分七%的生存率。为了改善这些数字,欧洲设计了逃生网络联盟,意味着将来自世界各地的SCA数据集组合在内,包括有关患者遗传学,病史,甚至个人社会经济信息的信息。所有这些数据必须在不同国家和组织的一连套内部共享。

加入这一点所涉及的赌注的纯粹海拔高度:药品或生物技术等行业的研究沉重公司中的知识产权盗窃实际上是对本组织的存在威胁,仅仅是由于涉及大量的现金。 Deloitte表示,2017年将制药或生物技术产品带到市场的平均成本是大规模的1.99亿美元 - 然而,2015年,近三分之二的Pharma公司报告了数据泄露。

如何遵守一个美国健康保险公司

但是,在这种快速移动和复杂的行业中保密的所有数据都是一个令人难以置信的复杂挑战 - 特别是对于越来越小的组织,日常医疗保健。 “我认为他们做得很好,但要记住这些组织主要专注于提供最佳保健的工作也很重要,”在基于美国的医疗保险公司(和Titus客户)的信息安全总监。 “我有一个医生的朋友,他说如果他有一个陷入困境的患者,他会把他们的记录放在jumbotron上,如果它会挽救他们的生活。所以那里有一点点不同的心态。

“但是这可能是一个可以从更大的公司视角改善的领域。部分的部分是以更快的步伐提供积极健康成果的成本,其成本与强大,安全,安全计划的成本。这两件事很难一起做。 “美国政府问责办公室等当局明确表示,大多数医疗保健组织的措施是不够的推特这一点

作为保健保险提供商,该公司受若干机构监管,包括医疗补助和医疗保险服务中心(CMS)和国家保险办公室。 “我们没有完全合规的奢侈品,”导演,加入他的公司使用技术和最佳实践的组合来保持其数据锁定,包括机器学习,多因素身份验证和最小权限权限。

“你专注于像关键数据源的情况一样?您确保它们仅在您的生产系统中,并且所有的分析都使用合成数据而不是主要数据进行,“导演,其公司使用Titus技术来帮助识别和分类敏感数据并定位它在其系统中驻留的敏感数据。 “您确保具有强大的分析模型,可让您了解网络中数据的移动。然后,最关键的事情之一是适当管理您的访问策略,以确保仅适合人员可以访问。“

行业干预的时间?

他们说,PHI是非法数据市场的金色鹅:而社会保障或信用卡号码在黑市上的每一个褶皱,则为Phi数据和电子医疗记录有许多数量级更有价值。这就是为什么医疗保健组织,医疗r&D-Driven组织和公共卫生机构都需要一种清晰而一致的方式来识别数据敏感性并确定适当的处理。如果没有这种情况,始终如一的有效和安全的信息共享,其中几十个组织在一次可能的时间内几乎不止一个管道梦想。

幸运的是,存在数据保护软件,有助于自动识别结构化和非结构化数据中的信息的PII,PHI,PCI和其他敏感核实。它还有助于建立和强制为文档和电子邮件建立和强制分类和标记系统,降低前线员工的负担,他们在每次电子邮件或共享文档时可能无法手动检查敏感数据。

良好的数据安全软件使用机器学习和神经网络不仅利用文档和电子邮件本身的内容,还要对上下文,分类和用户属性来确保只有合适的人可以访问合适的信息 - 那些人然后分享那些人分享信息完全按照政策。由于丢失的移动设备是所有医疗保健数据漏洞的三分之一的原因,数据保护软件在加密容器中存储设备上的所有敏感信息(敏感信息也可以在特定时间段内自动删除或者用户允许的地理区域外的偏风)。

保持更好的健康结果,同时保持数据私密 将永远是医疗保健组织的挑战。在数据隐私和保护的时间比以往任何时候都比以前更重要,来自监管,财务和声誉观点,医疗保健组织需要严肃地采取数据隐私 - 或冒出后果的风险。

资源: //titus.com/blog/data-protection/why-the-health-care-industry-may-need-rehab-when-it-comes-to-data-protection/