Vi phạm dữ liệu chăm sóc sức khỏe năm 2024 đã làm lộ 186 triệu hồ sơ trong 720 sự cố
Vào năm 2024, ngành chăm sóc sức khỏe Hoa Kỳ đã phải đối mặt với 720 vụ vi phạm dữ liệu được báo cáo, ước tính ảnh hưởng đến 186 triệu hồ sơ người dùng. Những vụ vi phạm này, được báo cáo cho Văn phòng Dân quyền (HHS OCR) thuộc Bộ Y tế và Dịch vụ Nhân sinh, nêu bật những rủi ro an ninh mạng ngày càng tăng mà các tổ chức chăm sóc sức khỏe phải đối mặt. Mặc dù số lượng hồ sơ bị lộ là rất lớn , nhưng số lượng cá nhân bị ảnh hưởng thực tế có thể thấp hơn, vì một số người có thể đã bị ảnh hưởng bởi nhiều vụ vi phạm.
Dữ liệu bị xâm phạm bao gồm thông tin cá nhân và y tế nhạy cảm như tên, thông tin liên lạc, số An sinh xã hội, ngày sinh, dữ liệu bảo hiểm, hồ sơ y tế và thông tin tài chính. Các nhà cung cấp dịch vụ chăm sóc sức khỏe là những thực thể bị nhắm mục tiêu thường xuyên nhất , chiếm khoảng 520 vụ việc. Các đối tác kinh doanh của các tổ chức chăm sóc sức khỏe cũng bị ảnh hưởng nặng nề, với 120 vụ vi phạm được báo cáo. Gần 100 vụ việc liên quan đến các chương trình bảo hiểm y tế.
Mục lục
Sự cố tin tặc và CNTT dẫn đầu
Phần lớn các vụ vi phạm được báo cáo—gần 600 vụ—được phân loại là các vụ tấn công tin tặc hoặc sự cố CNTT, thường bao gồm các cuộc tấn công bằng phần mềm tống tiền . Truy cập hoặc tiết lộ trái phép là nguyên nhân phổ biến thứ hai gây ra các vụ vi phạm. Máy chủ mạng là mục tiêu chính trong khoảng 450 vụ, trong khi các hệ thống email—thường được sử dụng để lừa đảo và phân phối phần mềm độc hại—có liên quan đến 160 vụ vi phạm.
Phân tích tình hình vi phạm của tiểu bang
Cơ sở dữ liệu OCR của HHS cho thấy Texas và California có số vụ việc xảy ra nhiều nhất, với khoảng 60 vụ vi phạm mỗi vụ. Các tiểu bang khác có số vụ vi phạm đáng kể bao gồm New York (46), Illinois (43), Florida (37), Pennsylvania (31), Ohio (29), Massachusetts (29), Tennessee (25) và Michigan (22).
Những vi phạm nghiêm trọng năm 2024
Trong số các vụ vi phạm được báo cáo, vụ tấn công ransomware vào Change Healthcare nổi lên là vụ lớn nhất, ảnh hưởng đến khoảng 100 triệu cá nhân. Chỉ riêng vụ vi phạm này đã chiếm hơn một nửa số hồ sơ bị xâm phạm được báo cáo vào năm 2024.
Những vi phạm đáng chú ý khác bao gồm:
- Kaiser Permanente : 13,4 triệu hồ sơ bị xâm phạm
- Ascension Health : 5,5 triệu hồ sơ
- HealthEquity : 4,3 triệu hồ sơ
- Concentra Health Services : 3,9 triệu hồ sơ
- Trung tâm dịch vụ Medicare & Medicaid : 3,1 triệu hồ sơ
- Dịch vụ xe cứu thương Acadian : 2,8 triệu hồ sơ
- Sav-Rx (Dịch vụ A&A) : 2,8 triệu hồ sơ
- WebTPA : 2,5 triệu bản ghi
- Integris Health : 2,3 triệu hồ sơ
Các tổ chức chăm sóc sức khỏe khác cũng phải đối mặt với các vụ vi phạm ảnh hưởng đến hơn một triệu cá nhân, bao gồm Medical Management Resource Group (2,3 triệu), Summit Pathology (1,8 triệu) và Geisinger (1,2 triệu).
Mối đe dọa ngày càng tăng đối với chăm sóc sức khỏe
Ngành chăm sóc sức khỏe vẫn là mục tiêu chính của tội phạm mạng do dữ liệu nhạy cảm và có giá trị cao mà ngành này lưu trữ. Các cuộc tấn công bằng phần mềm tống tiền , chiến dịch lừa đảo và khai thác lỗ hổng CNTT vẫn là những phương pháp chính mà kẻ tấn công sử dụng để truy cập vào hệ thống chăm sóc sức khỏe. Những sự cố này làm nổi bật nhu cầu cấp thiết về các biện pháp an ninh mạng mạnh mẽ trong ngành, bao gồm tăng cường bảo mật mạng, đào tạo nhân viên để chống lừa đảo và các giao thức xác thực mạnh hơn.
Khi các tổ chức chăm sóc sức khỏe tiếp tục số hóa hoạt động của mình và dựa vào các nền tảng đám mây, nguy cơ vi phạm dữ liệu dự kiến sẽ tăng lên. Điều này nhấn mạnh nhu cầu về các biện pháp bảo mật chủ động, giám sát mối đe dọa và các kế hoạch phản ứng nhanh để giảm thiểu thiệt hại do các cuộc tấn công mạng gây ra.
Các vụ vi phạm năm 2024 là lời nhắc nhở nghiêm khắc rằng ngay cả các tổ chức nổi tiếng cũng có thể trở thành nạn nhân của các cuộc tấn công, gây ra hậu quả rộng rãi cho cả bệnh nhân và nhà cung cấp. Với rủi ro cá nhân và tài chính cao như vậy, ngành chăm sóc sức khỏe phải ưu tiên bảo vệ dữ liệu để đi trước tội phạm mạng trong những năm tới.