У 2024 році витоки даних охорони здоров’я розкрили 186 мільйонів записів у 720 інцидентах
У 2024 році сектор охорони здоров’я США зіткнувся з приголомшливими 720 повідомленнями про витоки даних, що поставило під загрозу приблизно 186 мільйонів записів користувачів. Ці порушення, про які повідомляє Управління з питань громадянських прав Департаменту охорони здоров’я та соціальних служб (HHS OCR), підкреслюють зростаючі ризики кібербезпеки, з якими стикаються організації охорони здоров’я. Хоча кількість відкритих записів величезна , фактична кількість постраждалих осіб може бути нижчою, оскільки деякі з них могли постраждати від кількох порушень.
Зламані дані включали конфіденційну особисту та медичну інформацію, таку як імена, контактні дані, номери соціального страхування, дати народження, дані страхування, медичні записи та фінансову інформацію. Постачальники медичних послуг були найбільш часто об’єктами нападу , на які припадало приблизно 520 випадків. Ділові партнери медичних організацій також сильно постраждали, було зареєстровано 120 порушень. Майже 100 інцидентів стосувалися планів охорони здоров'я.
Зміст
Хакерство та ІТ-інциденти лідирують
Більшість зареєстрованих порушень — близько 600 — були класифіковані як хакерські або ІТ-інциденти, які часто включають атаки програм-вимагачів . Несанкціонований доступ або розголошення були другою за поширеністю причиною порушень. Мережеві сервери були основною мішенню приблизно в 450 інцидентах, тоді як системи електронної пошти, які часто використовуються для фішингу та доставки зловмисного програмного забезпечення, були залучені до 160 порушень.
Розбивка порушень за станом
База даних HHS OCR показала, що Техас і Каліфорнія зазнали найбільшої кількості інцидентів, приблизно по 60 порушень кожна. Інші штати зі значною кількістю порушень включають Нью-Йорк (46), Іллінойс (43), Флориду (37), Пенсільванію (31), Огайо (29), Массачусетс (29), Теннессі (25) і Мічиган (22).
Резонансні зломи 2024 року
Серед зареєстрованих порушень наймасштабнішою була атака програми-вимагача на Change Healthcare , яка вразила приблизно 100 мільйонів осіб. Тільки це порушення стало причиною більше половини зламаних записів, про які повідомлялося у 2024 році.
Серед інших помітних порушень:
- Kaiser Permanente : скомпрометовано 13,4 мільйона записів
- Ascension Health : 5,5 мільйонів записів
- HealthEquity : 4,3 мільйона записів
- Concentra Health Services : 3,9 мільйона записів
- Центри надання послуг Medicare & Medicaid : 3,1 мільйона записів
- Acadian Ambulance Service : 2,8 мільйона записів
- Sav-Rx (A&A Services) : 2,8 мільйона записів
- WebTPA : 2,5 мільйона записів
- Integris Health : 2,3 мільйона записів
Інші організації охорони здоров’я також зіткнулися з порушеннями, які стосуються понад мільйона осіб, у тому числі Medical Management Resource Group (2,3 мільйона), Summit Pathology (1,8 мільйона) і Geisinger (1,2 мільйона).
Зростання загрози для охорони здоров’я
Галузь охорони здоров’я залишається основною мішенню для кіберзлочинців через конфіденційні та високоцінні дані, які вона зберігає. Атаки програм-вимагачів , фішингові кампанії та використання вразливостей ІТ залишаються основними методами, які використовують зловмисники для отримання доступу до систем охорони здоров’я. Ці інциденти підкреслюють критичну потребу в надійних заходах кібербезпеки в секторі, включаючи посилену мережеву безпеку, навчання співробітників для боротьби з фішингом і більш надійні протоколи автентифікації.
Оскільки організації охорони здоров’я продовжують оцифровувати свою діяльність і покладаються на хмарні платформи, очікується, що ризик витоку даних зростатиме. Це підкреслює необхідність профілактичних заходів безпеки, моніторингу загроз і планів швидкого реагування для пом’якшення збитків, завданих кібератаками.
Зломи 2024 року служать яскравим нагадуванням про те, що навіть відомі організації можуть стати жертвами атак, що призведе до широкомасштабних наслідків як для пацієнтів, так і для постачальників. З огляду на такі високі особисті та фінансові ставки, індустрія охорони здоров’я повинна надати пріоритет захисту даних, щоб випередити кіберзлочинців у найближчі роки.