医疗数据泄露事件与风险

关键要点

• 数据泄露规模 ：2022 年，Professional Finance Company 的勒索软件攻击导致 190 万名患者数据被访问。
• 主要事件 ：Eye Care Leaders 的事件影响人数超过 280 万，是最大的医疗数据泄露事件。
• 相关补救措施 ：多个组织已采取措施加强网络安全以防止未来攻击。

在 2022 年 2 月，债务催收公司 Professional Finance Company 发生了一起“复杂”的勒索软件攻击，导致 190万名与657家医疗提供商相关的患者数据被访问。尽管此次事件影响巨大，但它仍仅是 2022 年报告的第三大医疗数据泄露事件。上一轮关注的 Eye CareLeaders 的事件仍然是最大的医疗数据泄露，受影响的患者超过 280 万，而 Shields Health Care Group 的攻击则影响了 200万名患者。

根据 PFC 发布的通告，安全事件的发生发生在 2 月 26 日，并被及时检测和阻止。此次攻击使攻击者访问并禁用了部分计算机系统。PFC随即与一位法医专家合作，以确保安全和调查事件的发生。

受影响的数据

调查结果显示，攻击者可能访问了以下信息： – 患者姓名 – 联系信息 – 应收账款余额 – 账户支付信息 – 出生日期 – 社会安全号码 –
健康保险信息 – 医疗治疗记录

PFC 于 5 月 5 日开始通知受影响的医疗提供商，涉及一份包括牙医、皮肤科医生、家庭医生、麻醉师等的广泛名单。

为了应对此次攻击，PFC 对受影响的系统进行了清除和重建，并增强了网络安全性。同时，他们已审查了网络安全政策和程序，以及存储和管理数据的方式。

Eye Care Leaders 疫情扩大影响

最近，Eye Care Leaders 的数据泄露事故又新增了至少五个医疗机构及 241,553 名患者。受影响的医疗机构包括： – CarolinaEyecare Physicians（68,739 名患者） – Kernersville Eye Surgeons（13,412 名患者） –
Mattax Neu Prater Eye Center（92,361 名患者） – Alabama Eye & Cataract（26,000 名患者）
– Center for Sight（41,041 名患者）

因此，整体受影响人数已达到 289 万。

ECL 事件发生在 2021 年 12 月 4 日，攻击者删除了数据库和系统配置文件。这次攻击使部分提供商的 EMR 系统出现为期一周的停机。

调查从未在 4 月 19 日之前结束，这可能解释了为什么医疗提供商直到 4 月或 5月才被通知此事件的发生。调查未能提供必要的法医证据，无法排除攻击者访问受保护健康信息或个人身份信息的可能性。

部分提供商的通知显示，在攻击发生之前，ECL 已为其数据实施了加密层，但未能对患者信息本身进行加密。ECL随后承诺将来会加密患者信息。许多客户因安全担忧正在评估与该供应商的合同，也有些人取消了与 ECL 的合作关系。

ECL 目前正在应对一场由医疗提供商发起的诉讼，该诉讼指控该供应商隐瞒了 4 月、6 月和 8月的多次勒索攻击以及客户的多周停用。法庭文件显示，双方目前正在评估和解的可能性。

Family Practice Center 开始通知患者关于 2021 年 10 月的泄露事件

位于宾夕法尼亚的 Family Practice Center 现在开始通知 83,969 名患者，他们的数据在 2021 年 10月的一次未遂网络攻击中被访问。这次攻击未成功，FPC 在事件发生期间能够继续治疗患者。

通知中解释称，延迟通知是由于长时间的调查，调查于 2022 年 5 月 21 日结束。然而，根据《健康保险可携带性与责任法案》，所有影响超过 500名患者的数据泄露必须在发现后 60 天内报告，而不是在调查结束时。

FPC 的调查确认攻击者在黑客攻击期间访问了文件，其中包括患者数据，如姓名、联系方式、医疗保险信息、治疗记录等。部分患者的社会安全号码也涉及在内。

患者的医疗记录未受到