Naruszenia danych opieki zdrowotnej w 2024 r. ujawniły 186 milionów rekordów w 720 incydentach
W 2024 r. sektor opieki zdrowotnej w USA doświadczył oszałamiającej liczby 720 zgłoszonych naruszeń danych, które zagroziły szacunkowo 186 milionom rekordów użytkowników. Naruszenia te, zgłoszone do Biura Praw Obywatelskich Departamentu Zdrowia i Opieki Społecznej (HHS OCR), podkreślają rosnące ryzyko cyberbezpieczeństwa, z jakim mierzą się organizacje opieki zdrowotnej. Chociaż liczba ujawnionych rekordów jest ogromna , rzeczywista liczba dotkniętych osób może być niższa, ponieważ niektóre mogły zostać dotknięte wieloma naruszeniami.
Naruszone dane obejmowały poufne informacje osobiste i medyczne, takie jak nazwiska, dane kontaktowe, numery ubezpieczenia społecznego, daty urodzenia, dane ubezpieczeniowe, dokumentację medyczną i informacje finansowe. Dostawcy usług opieki zdrowotnej byli najczęściej atakowanymi podmiotami , co stanowiło około 520 incydentów. Partnerzy biznesowi organizacji opieki zdrowotnej również zostali poważnie dotknięci, zgłoszono 120 naruszeń. Prawie 100 incydentów dotyczyło planów zdrowotnych.
Spis treści
Hakerzy i incydenty IT przodują
Większość zgłoszonych naruszeń — blisko 600 — została sklasyfikowana jako incydenty hakerskie lub IT, które często obejmują ataki ransomware . Nieautoryzowany dostęp lub ujawnienie danych było drugą najczęstszą przyczyną naruszeń. Serwery sieciowe były głównym celem w około 450 incydentach, podczas gdy systemy poczty e-mail — często używane do phishingu i dostarczania złośliwego oprogramowania — były zaangażowane w 160 naruszeń.
Podział naruszeń w stanie
Baza danych HHS OCR ujawniła, że Teksas i Kalifornia doświadczyły największej liczby incydentów, z około 60 naruszeniami w każdym. Inne stany ze znaczną liczbą naruszeń to Nowy Jork (46), Illinois (43), Floryda (37), Pensylwania (31), Ohio (29), Massachusetts (29), Tennessee (25) i Michigan (22).
Głośne naruszenia z 2024 r.
Wśród zgłoszonych naruszeń, atak ransomware na Change Healthcare wyróżniał się jako największy, dotykając około 100 milionów osób. Samo to naruszenie stanowiło ponad połowę naruszonych rekordów zgłoszonych w 2024 r.
Do innych poważnych naruszeń zalicza się:
- Kaiser Permanente : 13,4 miliona rekordów zagrożonych
- Ascension Health : 5,5 miliona rekordów
- HealthEquity : 4,3 miliona rekordów
- Concentra Health Services : 3,9 miliona rekordów
- Centra usług Medicare i Medicaid : 3,1 miliona rekordów
- Acadian Ambulance Service : 2,8 miliona rekordów
- Sav-Rx (A&A Services) : 2,8 miliona rekordów
- WebTPA : 2,5 miliona rekordów
- Integris Health : 2,3 miliona rekordów
Inne organizacje zajmujące się opieką zdrowotną również doświadczyły naruszeń, które dotknęły ponad milion osób, w tym Medical Management Resource Group (2,3 miliona), Summit Pathology (1,8 miliona) i Geisinger (1,2 miliona).
Rosnące zagrożenie dla opieki zdrowotnej
Branża opieki zdrowotnej pozostaje głównym celem cyberprzestępców ze względu na poufne i wartościowe dane, które przechowuje. Ataki ransomware , kampanie phishingowe i wykorzystywanie luk w zabezpieczeniach IT pozostają głównymi metodami stosowanymi przez atakujących w celu uzyskania dostępu do systemów opieki zdrowotnej. Incydenty te podkreślają krytyczną potrzebę solidnych środków cyberbezpieczeństwa w sektorze, w tym zwiększonego bezpieczeństwa sieci, szkoleń pracowników w zakresie zwalczania phishingu i silniejszych protokołów uwierzytelniania.
W miarę jak organizacje opieki zdrowotnej nadal digitalizują swoje operacje i polegają na platformach opartych na chmurze, ryzyko naruszeń danych prawdopodobnie wzrośnie. Podkreśla to potrzebę proaktywnych środków bezpieczeństwa, monitorowania zagrożeń i szybkich planów reagowania w celu złagodzenia szkód spowodowanych przez cyberataki.
Naruszenia z 2024 r. stanowią surowe przypomnienie, że nawet znane organizacje mogą paść ofiarą ataków, powodując szeroko zakrojone konsekwencje zarówno dla pacjentów, jak i dostawców. Biorąc pod uwagę tak wysokie osobiste i finansowe stawki, branża opieki zdrowotnej musi nadać priorytet ochronie danych, aby wyprzedzić cyberprzestępców w nadchodzących latach.