2024 г. Пробивите на данни в здравеопазването разкриха 186 милиона записа в 720 инцидента
През 2024 г. секторът на здравеопазването в САЩ се сблъска със зашеметяващите 720 докладвани нарушения на данните, компрометиращи около 186 милиона потребителски записи. Тези нарушения, докладвани на Службата за граждански права на Министерството на здравеопазването и човешките услуги (HHS OCR), подчертават нарастващите рискове за киберсигурността, пред които са изправени здравните организации. Докато броят на разкритите записи е огромен , действителният брой на засегнатите лица може да е по-малък, тъй като някои може да са били засегнати от множество нарушения.
Компрометираните данни включват чувствителна лична и медицинска информация като имена, данни за контакт, социалноосигурителни номера, дати на раждане, застрахователни данни, медицински досиета и финансова информация. Доставчиците на здравни услуги са най-често набелязаните субекти , което представлява приблизително 520 инцидента. Бизнес партньори на здравни организации също бяха силно засегнати, като бяха докладвани 120 нарушения. Близо 100 инцидента са свързани със здравни планове.
Съдържание
Хакерството и ИТ инцидентите водят групата
По-голямата част от докладваните нарушения — близо 600 — бяха категоризирани като хакерски или ИТ инциденти, които често включват атаки с ransomware . Неоторизираният достъп или разкриването е втората най-честа причина за нарушения. Мрежовите сървъри са били основната цел в приблизително 450 инцидента, докато имейл системите – често използвани за фишинг и доставка на злонамерен софтуер – са участвали в 160 пробиви.
Държавна разбивка на нарушенията
Базата данни на HHS OCR разкри, че Тексас и Калифорния са имали най-голям брой инциденти, с приблизително 60 нарушения всеки. Други щати със значителен брой нарушения включват Ню Йорк (46), Илинойс (43), Флорида (37), Пенсилвания (31), Охайо (29), Масачузетс (29), Тенеси (25) и Мичиган (22).
Високопоставени пробиви от 2024 г
Сред докладваните нарушения атаката с ransomware срещу Change Healthcare се откроява като най-голямата, засягаща приблизително 100 милиона души. Само това нарушение представлява повече от половината от компрометираните записи, докладвани през 2024 г.
Други забележителни нарушения включват:
- Kaiser Permanente : 13,4 милиона записа са компрометирани
- Ascension Health : 5,5 милиона записа
- HealthEquity : 4,3 милиона записа
- Concentra Health Services : 3,9 милиона записа
- Центрове за Medicare & Medicaid Services : 3,1 милиона записа
- Acadian Ambulance Service : 2,8 милиона записа
- Sav-Rx (A&A услуги) : 2,8 милиона записа
- WebTPA : 2,5 милиона записа
- Integris Health : 2,3 милиона записа
Други здравни организации също се сблъскаха с нарушения, засягащи над един милион лица, включително Medical Management Resource Group (2,3 милиона), Summit Pathology (1,8 милиона) и Geisinger (1,2 милиона).
Нарастващата заплаха за здравеопазването
Здравната индустрия остава основна мишена за киберпрестъпниците поради чувствителните данни с висока стойност, които съхранява. Ransomware атаките, фишинг кампаниите и използването на IT уязвимости остават основните методи, използвани от нападателите за достъп до здравни системи. Тези инциденти подчертават критичната необходимост от стабилни мерки за киберсигурност в сектора, включително подобрена мрежова сигурност, обучение на служители за борба с фишинг и по-стабилни протоколи за удостоверяване.
Тъй като здравните организации продължават да дигитализират своите операции и да разчитат на базирани в облак платформи, се очаква рискът от пробиви на данни да нараства. Това подчертава необходимостта от проактивни мерки за сигурност, наблюдение на заплахи и планове за бърза реакция за смекчаване на щетите, причинени от кибератаки.
Пробивите от 2024 г. служат като ярко напомняне, че дори добре известни организации могат да станат жертва на атаки, причинявайки широко разпространени последици както за пациентите, така и за доставчиците. С толкова високи лични и финансови залози, здравната индустрия трябва да даде приоритет на защитата на данните, за да остане пред киберпрестъпниците през следващите години.