2024 年醫療資料外洩導致 720 起事件的 1.86 億筆記錄暴露

2024 年，美國醫療保健產業報告的資料外洩事件達到驚人的 720 起，估計洩漏了 1.86 億筆用戶記錄。向美國衛生與公眾服務部民權辦公室 (HHS OCR) 報告的這些違規行為凸顯了醫療機構面臨的日益增長的網路安全風險。雖然暴露的記錄數量龐大，但受影響的實際人數可能會更少，因為有些人可能受到多次違規的影響。

洩漏的資料包括敏感的個人和醫療信息，例如姓名、聯絡方式、社會安全號碼、出生日期、保險資料、醫療記錄和財務資訊。醫療保健提供者是最常成為攻擊目標的實體，共發生約 520 起事件。醫療保健組織的業務夥伴也受到嚴重影響，已通報 120 起違規事件。近 100 起事件涉及健康計劃。

駭客和 IT 事件首當其衝

大多數報告的違規行為（接近 600 起）被歸類為駭客或 IT 事件，其中通常包括勒索軟體攻擊。未經授權的存取或揭露是造成違規的第二常見原因。網路伺服器是大約 450 起事件的主要目標，而電子郵件系統（通常用於網路釣魚和惡意軟體傳送）則涉及 160 起違規事件。

違規行為的狀態細分

HHS OCR 資料庫顯示，德州和加州的違規事件數量最多，各約 60 起。其他違規數量較多的州包括紐約州（46）、伊利諾州（43）、佛羅裡達州（37）、賓州（31）、俄亥俄州（29）、麻薩諸塞州（29）、田納西州（25）和密西根州（22）。

2024 年引人注目的違規行為

在通報的違規事件中， 針對 Change Healthcare 的勒索軟體攻擊最為嚴重，影響了約 1 億人。僅此一次洩漏就佔 2024 年報告的洩漏記錄的一半以上。

其他值得注意的違規行為包括：

• Kaiser Permanente ：1,340 萬筆記錄遭到洩露
• Ascension Health ：550 萬筆記錄
• HealthEquity ：430 萬筆記錄
• Concentra Health Services ：390 萬筆記錄
• 醫療保險和醫療補助服務中心：310 萬筆記錄
• 阿卡迪亞救護車服務：280 萬筆記錄
• Sav-Rx（A&A 服務） ：280 萬筆記錄
• WebTPA ：250萬筆記錄
• Integris Health ：230 萬筆記錄

其他醫療保健組織也面臨影響超過 100 萬人的資料洩露，包括 Medical Management Resource Group（230 萬人）、Summit Pathology（180 萬人）和 Geisinger（120 萬人）。

對醫療保健的威脅不斷上升

由於醫療保健產業儲存敏感和高價值的數據，因此仍然是網路犯罪分子的主要目標。勒索軟體攻擊、網路釣魚活動和利用 IT 漏洞仍然是攻擊者獲取醫療保健系統存取權限的主要方法。這些事件凸顯了該行業迫切需要強有力的網路安全措施，包括增強網路安全、打擊網路釣魚的員工培訓以及更強大的身份驗證協議。

隨著醫療保健組織繼續數位化其營運並依賴基於雲端的平台，資料外洩的風險預計會增加。這凸顯了採取主動安全措施、威脅監控和快速回應計畫的必要性，以減輕網路攻擊造成的損害。

2024 年的違規事件清楚地提醒我們，即使是知名組織也可能成為攻擊的受害者，對患者和提供者造成廣泛的後果。由於個人和財務風險如此之高，醫療保健產業必須優先考慮資料保護，以便在未來幾年領先於網路犯罪分子。