【HC3i独家翻译】一份由美国居民健康及服务署下属的公民权利办公室透露的数据清单显示,从2009年以来的报告来看,已经有超过1千万名患者被约260个医疗保健有关的安全漏洞事件所影响。该部门是在2010年2月22日通过HITECH法案违反条例时开始编制清单的。条例的第13402(e)(4)条规定医疗机构数据泄露影响超过500人时要在60天内报告至HHS秘书Kathleen Sebelius,然后由HHS将其事件添加到其网站上的列表中去。
报告给HHS的案例可追溯至2009年9月22日。HHS所列数据泄露列表中影响患者最多的涉及到加利福尼亚州Rancho Cordova保险提供商HealthNet。在这一案例中,当该公司的数据中心的9台服务器硬盘1月21日失踪后,约有2百万人受到影响。第二大数据泄露事件发生在纽约的北布朗克斯医疗保健网络,其电脑备份磁带从一个卡车中被盗,致使170万名患者、工作人员和其他人员的资料处于危险之中。与此同时,HHS对诸如马萨诸塞州总医院和Cignet卫生部门此类由于违反HIPAA(健康保险便利及责任法案)隐私法规的组织进行了惩罚。
按照存取管理厂商Imprivata的首席技术官David Ting所说,由于安全漏洞的增加对EHRs(电子健康记录)或EMRs(电子病历系统)的移动将被追责。David Ting在给eWEEK的电子邮件中写道,“随着EHRs的采用,数据泄露规模成倍上升,现在数百上千条病人健康信息可以记录到一个比饭盒小的设备里。在过去以纸质为基础时无论是通过非法或因为疏忽行为造成这样的泄露规模简直是不可能的。”
按照CynergisTek医疗保健安全公司首席执行官和美国前国防部情报官员Mac McMillan所说,根据对HHS约260例报告的分析,所受影响的潜在数字可能远比报道的要多。McMillan在给eWEEK的电子邮件中说,“按传统的说法,公布的例数通常远低于记录下的或可能受到影响的潜在的人数。”
由于泄露的健康资料通常存储在普通闪存驱动器或外部硬盘驱动器上,直到资料丢失,这些员工常常才想起这些敏感数据存储在哪里。McMillan说,“大多数单位没有对他们PHI(个人健康信息)的存放位置做处理,更不用说考虑它的位置是否适当或必要。这就是数据丢失预防工具的有用性所在,例如可准确获取精确的PHI映像。”要使映射完整就要允许公司设立能减少把数据存储在未经授权设备上的风险的规则。
根据David Ting所说,为了使数据更加安全,医疗机构可以选用提供单点登录、登录管理、硬盘加密以及数据包和服务器管理实时检查的产品。McMillan说,由于医疗保健机构的职工没有对敏感数据进行加密或不知道信息存储在哪里,由此产生的医疗保健信息的泄露可以说是“自残”。
“通常有67%的数据泄漏事件涉及到一些实物偷窃或如台式机、笔记本电脑、磁带、服务器等IT资产的丢失,这些损失是不可加密的。在组织重新评估并考虑加密要求之前,我们还需要看到多少这样的事情呢?”