个人信息泄露370万 美健康中心遭黑客入侵 医疗行业信息安全堪忧

个人信息泄露事件真是不缺乏案例,这次是医疗行业的个人信息泄露事件。美国亚利桑那州班纳健康中心(Banner Health Breach)遭到黑客入侵,370万患者、员工及客户的个人信息数据遭到窃取。

个人信息泄露事主发出通告

班纳健康中心警告其370万名患者、员工及食品、饮料客户,他们的个人信息可能在6月23日的入侵事件中被窃取。总部位于亚利桑那州的班纳健康中心是美国最大的非营利性医疗系统之一。 它拥有并经营29家急诊医院和诸多健康相关服务。 班纳在本周三发表的一项声明中称,它将向所有可能波及的人发送警告通知。

在其官网,Peter S. Fine , President & CEO of Banner 标识

HealthBanner is committed to maintaining the privacy and security of information of our patients, employees, plan members and beneficiaries, customers at our food and beverage outlets, as well as our providers

个人信息泄露事件经过

安全漏洞是在7月7日被发现的。攻击者访问了班纳健康中心食品和饮料销售网点的支付卡数据处理系统。 因此,任何在6月23日至7月7日期间在这些网点使用支付卡购物的人都可能受到影响。 医疗服务支付则在此次攻击中幸免。

然而,进一步调查发现7月13日攻击者还访问了存储患者信息和健康计划信息的系统,“些信息包括姓名、出生日期、地址、医生姓名、服务日期、理赔信息,以及医疗保险信息和社保号码。” 该阶段调查还显示,攻击是在6月17日发起的。目前,仅有这些信息公布于众。

组织攻击者后续进攻 联合安全公司及执法部门取证

班纳表示已“立即展开调查,聘请了领先的安全取证公司,采取措施阻止网络攻击者,并联系了执法部门。” 班纳并未透露取证公司的名字,但《亚利桑那共和报》暗指Mandiant公司。。 如果Mandiant公司在7月7日后不久就介入调查,那么发现PHI(受保护的健康信息))入侵并将其追溯到6月23日的很可能就是Mandiant公司。

从时间上来看,这很可能是同一起安全入侵事件,而非两次单独的攻击。 这说明,支付系统和记录系统都承载在同一物理或逻辑网络上(本不应该这样),或攻击者成功地桥接了两个独立网段。 如果获得足够的特权凭据,攻击者就可以完成这些。

PHI信息受到黑客注意

近年来,网络罪犯在支付卡数据上寻求PHI入侵。 PHI包含丰富的个人信息源,可用于身份盗窃。 虽然变更支付卡很简单,但改变身份却并非易事。 为此,PHI在黑市上的转售价格远高于支付卡数据的价格。2016年3月,普华永道的米克·科亚迪(Mick Coady)告诉CNBC,一条包含个人信息的医疗记录现在可以卖到1100美元…… 而2年前,这个价格是不超过50美元。

在班纳安全入侵中,攻击者似乎成功地窃取了支付卡数据和PHI数据。更多统计数据显示:
• 在去年,医疗信息安全事件飙升60%。
• 在医疗信息安全领域,修补安全漏洞的成本上升了282%
• 据第六届HIMSS安全调查,25%的受访者表示拥有的医疗身份遭到盗窃或存在安全漏洞。
• 在美国医疗行业,潜在的安全威胁包括工人窥探亲戚/朋友(80%)、财务身份盗窃(66%),和身份盗窃(51%)。
• 60%美国医疗机构,没有双重身份验证机制。(第六年度HIMSS安全调查)
• 医疗行业认为,针对最终用户的访问控制和身份管理是最大的挑战

这些信息告诉我们,整个医疗行业不够重视信息安全威胁,或他们太过自信,但无情的是,实际的数据表明,医疗行业对于这些威胁根本就是缺乏安全策略。

PHI信息是什么?

受保护的健康信息(PHI)是受美国法律保护的任何关于健康状况的信息,这些信息用于医疗保健的提供及支付,信息的收集来源于各个组织及相关的商业伙伴,并可以链接到每一个特定的个体。例如,其中将会包括每个病人医疗记录或付款历史。

发表评论