การละเมิดข้อมูลด้านการดูแลสุขภาพในปี 2024 เปิดเผยข้อมูล 186 ล้านรายการจากเหตุการณ์ 720 ครั้ง

ในปี 2024 ภาคส่วนการดูแลสุขภาพของสหรัฐฯ เผชิญกับการละเมิดข้อมูลจำนวนมหาศาลถึง 720 ครั้ง ส่งผลให้ข้อมูลผู้ใช้เสียหายประมาณ 186 ล้านรายการ การละเมิดเหล่านี้ซึ่งรายงานไปยังสำนักงานสิทธิพลเมืองของกระทรวงสาธารณสุขและบริการมนุษย์ (HHS OCR) เน้นย้ำถึงความเสี่ยงด้านความปลอดภัยทางไซเบอร์ที่เพิ่มมากขึ้นซึ่งองค์กรด้านการดูแลสุขภาพต้องเผชิญ แม้ว่า จำนวนข้อมูลที่เปิดเผยจะมหาศาล แต่จำนวนบุคคลที่ได้รับผลกระทบจริงอาจน้อยกว่านี้ เนื่องจากบางคนอาจได้รับผลกระทบจากการละเมิดหลายครั้ง

ข้อมูลที่ถูกบุกรุกรวมถึงข้อมูลส่วนบุคคลและข้อมูลทางการแพทย์ที่ละเอียดอ่อน เช่น ชื่อ รายละเอียดการติดต่อ หมายเลขประกันสังคม วันเกิด ข้อมูลประกัน บันทึกทางการแพทย์ และข้อมูลทางการเงิน ผู้ให้บริการด้านการดูแลสุขภาพเป็น เป้าหมายที่ได้รับผลกระทบมากที่สุด คิดเป็นประมาณ 520 เหตุการณ์ นอกจากนี้ คู่ค้าทางธุรกิจขององค์กรด้านการดูแลสุขภาพก็ได้รับผลกระทบอย่างหนักเช่นกัน โดยมีรายงานการละเมิด 120 ครั้ง เหตุการณ์เกือบ 100 ครั้งเกี่ยวข้องกับแผนสุขภาพ

การแฮ็กและเหตุการณ์ด้านไอทีเป็นหัวข้อหลัก

การละเมิดที่รายงานส่วนใหญ่เกือบ 600 กรณีถูกจัดประเภทเป็นการแฮ็กหรือเหตุการณ์ด้านไอที ซึ่งมักรวมถึง การโจมตีด้วยแรนซัมแวร์ การเข้าถึงหรือการเปิดเผยโดยไม่ได้รับอนุญาตเป็นสาเหตุที่พบบ่อยเป็นอันดับสองของการละเมิด เซิร์ฟเวอร์เครือข่ายเป็นเป้าหมายหลักในเหตุการณ์ประมาณ 450 กรณี ในขณะที่ระบบอีเมลซึ่งมักใช้ในการฟิชชิ่งและการส่งมัลแวร์มีส่วนเกี่ยวข้องในการละเมิด 160 กรณี

การแบ่งย่อยการละเมิดของรัฐ

ฐานข้อมูล OCR ของ HHS เปิดเผยว่าเท็กซัสและแคลิฟอร์เนียพบเหตุการณ์ละเมิดมากที่สุด โดยมีการละเมิดประมาณ 60 ครั้ง รัฐอื่นๆ ที่มีการละเมิดจำนวนมาก ได้แก่ นิวยอร์ก (46) อิลลินอยส์ (43) ฟลอริดา (37) เพนซิลเวเนีย (31) โอไฮโอ (29) แมสซาชูเซตส์ (29) เทนเนสซี (25) และมิชิแกน (22)

การละเมิดที่เป็นข่าวโด่งดังในปี 2024

จากรายงานการละเมิดข้อมูล การโจมตีด้วยแรนซัมแวร์ต่อ Change Healthcare ถือเป็นการโจมตีครั้งใหญ่ที่สุด โดยส่งผลกระทบต่อผู้คนประมาณ 100 ล้านคน การละเมิดข้อมูลครั้งนี้เพียงอย่างเดียวคิดเป็นมากกว่าครึ่งหนึ่งของข้อมูลที่ถูกบุกรุกที่รายงานในปี 2024

การละเมิดที่สำคัญอื่น ๆ ได้แก่:

• ไกเซอร์ เปอร์มาเนนเต : บันทึก 13.4 ล้านรายการถูกบุกรุก
• Ascension Health : 5.5 ล้านรายการ
• HealthEquity : 4.3 ล้านรายการ
• Concentra Health Services : 3.9 ล้านรายการ
• ศูนย์บริการ Medicare และ Medicaid : 3.1 ล้านรายการ
• Acadian Ambulance Service : บันทึก 2.8 ล้านรายการ
• Sav-Rx (บริการ A&A) : 2.8 ล้านรายการ
• WebTPA : 2.5 ล้านรายการ
• Integris Health : 2.3 ล้านรายการ

องค์กรด้านการดูแลสุขภาพอื่นๆ ยังเผชิญกับการละเมิดที่ส่งผลกระทบต่อบุคคลมากกว่าหนึ่งล้านคน รวมถึง Medical Management Resource Group (2.3 ล้านคน) Summit Pathology (1.8 ล้านคน) และ Geisinger (1.2 ล้านคน)

ภัยคุกคามต่อการดูแลสุขภาพที่เพิ่มมากขึ้น

อุตสาหกรรมการดูแลสุขภาพยังคงเป็นเป้าหมายหลักของอาชญากรไซเบอร์เนื่องจากข้อมูลที่ละเอียดอ่อนและมีมูลค่าสูงที่จัดเก็บไว้ การโจมตี ด้วยแรนซัมแวร์ การฟิชชิ่ง และการใช้ประโยชน์จากช่องโหว่ด้านไอทียังคงเป็นวิธีการหลักที่ผู้โจมตีใช้เพื่อเข้าถึงระบบการดูแลสุขภาพ เหตุการณ์เหล่านี้เน้นย้ำถึงความจำเป็นที่สำคัญสำหรับมาตรการรักษาความปลอดภัยทางไซเบอร์ที่แข็งแกร่งในภาคส่วนนี้ รวมถึงการรักษาความปลอดภัยเครือข่ายที่เพิ่มขึ้น การฝึกอบรมพนักงานเพื่อต่อสู้กับฟิชชิ่ง และโปรโตคอลการตรวจสอบสิทธิ์ที่เข้มงวดยิ่งขึ้น

เนื่องจากองค์กรด้านการดูแลสุขภาพยังคงดำเนินการดิจิทัลไลเซชั่นการดำเนินงานและพึ่งพาแพลตฟอร์มบนคลาวด์ ความเสี่ยงในการละเมิดข้อมูลจึงมีแนวโน้มเพิ่มมากขึ้น ซึ่งเน้นย้ำถึงความจำเป็นในการใช้มาตรการรักษาความปลอดภัยเชิงรุก การตรวจสอบภัยคุกคาม และแผนตอบสนองอย่างรวดเร็วเพื่อบรรเทาความเสียหายที่เกิดจากการโจมตีทางไซเบอร์

การละเมิดข้อมูลในปี 2024 ถือเป็นการเตือนใจอย่างชัดเจนว่าแม้แต่องค์กรที่มีชื่อเสียงก็อาจตกเป็นเหยื่อของการโจมตีได้ ซึ่งก่อให้เกิดผลกระทบอย่างกว้างขวางต่อทั้งผู้ป่วยและผู้ให้บริการ ด้วยผลกระทบด้านบุคคลและการเงินที่สูงมาก อุตสาหกรรมการดูแลสุขภาพจึงต้องให้ความสำคัญกับการปกป้องข้อมูลเพื่อให้ก้าวล้ำหน้าอาชญากรทางไซเบอร์ในปีต่อๆ ไป