Verizon 報告:九成行業受病人數據外洩影響 可長達數年才被發現

醫療保健資料被盜取的情況,遠較預期普遍。Verizon 最新發表的《2015年受保護醫療保健資料外洩報告》指出,20 個接受研究的行業之中,有18個行業受到影響。可是, 護理業以外的機構,大部分甚至連自己擁有這類數據都不自知。 受保護的醫療保健資料通常來自員工紀錄(包括僱員索償) 或保健計劃,這些資料一般都不會受高度保護。

醫療保健資料被盜取的情況,遠較預期普遍。Verizon 最新發表的《2015年受保護醫療保健資料外洩報告》指出,20 個接受研究的行業之中,有18個行業受到影響。可是, 護理業以外的機構,大部分甚至連自己擁有這類數據都不自知。 受保護的醫療保健資料通常來自員工紀錄(包括僱員索償) 或保健計劃,這些資料一般都不會受高度保護。

 

以上發現是 Verizon 的數據外洩調查報告(DBIR) 團隊首份分析已確定的受保護醫療保健資料(PHI)外洩個案報告的其中一部分,當中涉及超過 3.92 億項紀錄和發生在全球 25 個國家的 1,931 宗事件。

高級保安分析師及 Verizon Enterprise Solutions 報告的主要作者Suzanne Widup 表示:「很多機構都未有採取足夠措施,保護這些極敏感及機密數據,這可能會導致嚴重後果, 除了影響個人及其家人之外,還會增加政府、機構和個人的醫療保健 成本。況且,時下的網絡罪犯都覬覦受保護的醫療保健資料。」

根據報告引述的近期研究顯示,有些人因為擔心醫療保健資料外洩, 故向醫療保健服務供應商隱瞞某些重要資料。Widup 補充說:「醫療保健機構必須明白, 病人相信他們會保護自己的資料,一旦喪失了這種信任關係, 影響可以極為深遠。」例如報告指出,如果人們不願意披露所有資料, 可能會延誤傳染病的診斷。對於遭受社會標籤的疾病,影響更甚。

 

PHI 外洩與其他類別的資料外洩有何分別

PHI 外洩,與 DBIR 以往研究的數據外洩有三大分別。 其一是由誰人外洩。在 PHI 外洩事件中, 內部和外部洩密者的數目幾乎相等,其差別僅為5%, 這表示內部人員濫用資料的情況極為普遍。

根據報告的發現顯示,盜用醫療紀錄往往是出於用心不良。 洩密者多數是盜取信用卡和社會保障編號這類可識別個人身份資料( PII),用以干犯金融罪案和瞞稅。

其二,資料外洩的方式也顯著不同。醫療保健資料外洩主要是因為手提裝置(手提電腦、平板電腦和記憶棒)被盜, 其次是將醫療報告誤送至非當事人,或遺失手提電腦等的人為錯誤。 第三種誤用方式是僱員濫用資料閱覽權。此三種方式佔所有 PHI 數據外洩的 86%。

其三, 大部分資料外洩個案都是在事發後數月甚至數年後才得以被發現。 跟一般外洩個案比較, 醫療保健資料外洩有三倍機會由內部人員濫用區域網閱覽特權導致, 並有兩倍較大機會可能是透過攻擊伺服器(特別是數據庫) 盜取資料。