更好的技术可以提高安全医疗保健行业,但它不会改变它。这需要对人类操作系统进行重大升级。
日益数字化的个人健康信息(PHI)面临的最大风险不是网络攻击。这是人为错误。
这是无数研究和调查得出的结论:
信用报告和金融服务公司Experian的消费者保护副总裁Michael Bruemmer表示,在Experian Data Breach Resolution 2014年服务的3100起事件中,“81%的根本原因是员工的疏忽。最常见的问题是丢失管理员凭证——用户名和密码——但也包括丢失媒体、未关闭的防火墙、丢失笔记本电脑等。”
益百利的2015第二年度数据泄露行业预测此外,报告称,“员工和疏忽是安全事故的主要原因,但仍然是报告最少的问题。”
身份盗窃资源中心(Identity Theft Resource Center)的项目主管卡伦·巴尼(Karen Barney)表示,在2014年公开报告的333起医疗数据泄露事件中,81.6%可能是人为错误造成的,尽管这包括第三方入侵和恶意内部人士故意窃取数据。
MetricStream GRC解决方案副总裁Yo Delmar说:“人为错误被追踪到设备或数据的错误放置的可能性是恶意行为者故意盗窃的15倍。”
哟德尔玛, MetricStream GRC解决方案副总裁
她补充说,“根据2013年Verizon数据泄露调查报告在美国,46%的医疗安全事故是由于资产丢失或被盗造成的,大多数是在办公室,而不是个人车辆或家中。”
波耐蒙研究所在2014年3月发布的第四次患者隐私和数据安全年度基准研究中,报道尽管自2010年以来,犯罪网络攻击增加了100%,但“内部疏忽仍然是大多数数据泄露的根源。”
报告称,入侵的主要原因是“计算机设备丢失或被盗(49%),这在很多情况下可以归因于员工的粗心大意。”其次是员工失误或无意行为(46%)和第三方混乱(41%)。”
2014年发现隐私权信息交换所(中国)的数据相似。在该组织网站上记录的75起医疗行业数据泄露事件中,62起(82.6%)归因于人为错误。
在中华人民共和国的统计数据中,需要注意的一点是,490万份被泄露的记录中,绝大多数来自单一事件,即450万份记录是被泄露的社区卫生系统在富兰克林,田纳西州。-被认为是中国黑客入侵。
因此,虽然有更多的人为失误造成的破坏,但最大的破坏来自外部攻击。
然而,约翰·霍斯在Sophos的博客Naked Security中写道,指出虽然一次网络攻击可能会导致数百万记录的泄露,但由于人类疏忽造成的较小的入侵也可能累积起来。
他列举了在邮件中丢失的未加密的cd,大量被盗的笔记本电脑,甚至还有从仓库被盗或从卡车后面掉下来的纸质记录——这些事件导致成千上万的记录被曝光。
PHI成为网络罪犯越来越有吸引力的目标有几个原因。首先,他们的数量正在以百万计的速度增长。《平价医疗法案》(Affordable Care Act)的要求之一是生成电子健康记录(EHR),以允许医疗专业人员更容易地共享患者的信息。
它们还包含非常有价值的数据。“个人健康记录是网络罪犯的高价值目标,”Redspin公司总裁兼首席执行官丹·伯杰(Dan Berger)说。“它们可能被用来盗窃身份、保险欺诈、偷处方、勒索和危险的恶作剧。”
丹·伯杰他是Redspin公司的总裁兼首席执行官
事实上,黑暗的阅读报道在10月份,“现在信用卡在黑市上可以卖到一美元或更少,但偷来的健康证书可能会卖到每个病人10美元。”
软件协会的首席技术官丹尼·利伯曼说,PHI是很有价值的,“在个人纠纷中——想象一下律师试图在离婚案件中获取配偶的丑闻——以及保险调查员试图反驳伤害索赔。”有些数据是本质上敏感的,比如艾滋病和囊性纤维化,这些数据会影响雇主不雇佣某人,”他说。
德尔玛说,利用PHI进行敲诈的情况确实发生过,但相对少见。她说,主要的动机是收集利润的信息,“这些信息可以用来为某种形式的欺诈提供支持。”
Protegrity的首席技术官Ulf Mattsson补充说,PHI的另一个吸引力在于,它的价值不会像信用卡数据那样迅速贬值,而信用卡数据可以快速更改或更新。他说:“PHI是长期存在的,对那些希望开发它的人来说总是有价值的。”