最近一项数据安全研究中一些令人惊诧的事实。
电影《阿甘正传》中有一句名言,“生活就像一盒巧克力,你永远不知道下一块会是什么味道”,用浅显的语言道出了未来的无限可能。而在2015年5月Ponemon Institute举办的第五届年度医疗数据隐私及安全基准研究会上,给人们带来的惊诧却远远超过了一盒美味的巧克力。研究其中一项重要的发现是,目前针对医疗数据的犯罪攻击已经上升了125%,且已成为医疗数据泄露的主要原因。除此之外,其他的研究结果也同样令人不安。动脉网为您编译了这次研究会的主要发现,带您认识现今医疗数据安全的重要性及其面临的严峻挑战。
惊诧1:65%的医疗机构没有为信息丢失或被盗的患者提供任何保护服务。随着医疗数据网络威胁的愈演愈烈,这种情况无疑是不可取的。讽刺的是,Ponemon研究还发现,同样亦有65%的医疗机构相信,信息丢失或被盗的患者更易受医疗身份被盗之苦。
根据Ponemon的一项医疗身份欺诈联盟研究“2014年第五届医疗身份盗窃研究”显示,医疗身份盗窃事件在五年内几乎翻了一番,从140万成年受害者到2014年的超过230万。很多医疗身份盗用受害者说,他们已经平均花了近13500美元来恢复他们的信用、偿还对医疗保健供应商的欺诈性索赔和纠正错误的医疗记录等。对那些医疗记录被曝光的患者,医疗机构及其商业伙伴必须尽快行动起来,为其提供医疗身份监控和身份恢复服务。
另一方面,多数人仍不清楚医疗身份盗窃的严重危害。他们更注重自己的信用评分和财务信息,而对于保险的预算使用经费或医疗记录,他们则没那么关心。他们没有意识到的是,信用卡可以快速、方便地进行更换,但医疗身份可能需要好几年才能恢复。一旦他们的医疗记录被盗用,患者可能会被误诊、误治,可能得不到自己急需的医疗服务,或者为自己从未使用过的服务买单。正如ID Expert的CEO Bob Gregg所说,医疗身份盗窃可能会要了你的命。
惊诧2:医疗数据泄露的平均成本在过去五年中一直保持着一致,为210万美元。而与之相对的是,根据Ponemon最近的另一份报告,“2015年数据泄露成本研究:全球分析”,数据泄露的平均成本在过去两年中已经上涨了23%,达到379万美元。网络责任保险覆盖通知成本、更好的身份监控手段、更多能提供帮助的隐私律师等等措施,在一段时间后能减少医疗数据泄露的成本。
医疗机构可以采取积极主动的措施来降低数据泄露的可能性和影响力。这意味着它们需要解决保护患者数据的战术问题。根据Ponemon Institute的创始人兼主席Larry Ponemon博士所言,医疗机构正面临着“降低内部风险和恶意外部风险的双重挑战。两者需要有不同的应对方法,而这即使对那些最稳健的IT安全预算来说都会有些难以招架。”
根据Ponemon的报告,96%的医疗机构出现过涉及设备丢失或被盗的安全事故,而员工的疏忽是这些组织最为关心的问题。 Ponemon博士说,医疗服务供应商应“创立一个更积极的培训和提高员工安全意识的教育方案,以及投资于那些能在移动设备上保障患者数据和防止敏感信息泄露的技术。”
这些培训和教育方案应围绕着保护PHI展开,尤其是如何避免网络钓鱼电子邮件,以及怎样做才能保证数据不被泄露等。医疗机构还必须与他们的商业伙伴密切合作,确保他们也有落实有类似的计划。此外,还可参考保护患者数据十条策略。
对于外部风险,如越来越多的犯罪攻击,Ponemon博士说,医疗服务供应商必须“评估哪些敏感数据需要进行监测和保护,以及这些数据所处的位置。”需要补充的是,正如上文所述,专业黑客的目标是医疗数据和记录,而针对此的攻击是目前医疗数据泄露的首要原因;医疗机构的董事会和高级管理层必须认识到这一点,并推动企业范围内的调整,以应对网络威胁。
惊诧3:很多医疗机构采取专门方法来进行事故风险评估。研究中,只有50%的医疗机构依据HIPAA Final Rule的要求,对每个安全事件执行四大因素的风险评估。在另50%中,34%的机构使用专门的风险评估程序,而27%使用的是内部开发的手动程序或工具。
这种做法是不可取的。医疗机构现在可以用软件工具来帮助实现评估过程的自动化和简化,如风险评估和数据泄露反应等。通过支持对安全事故的一致和客观分析,为所有事故信息提供一个中央存储库,并简化文档和报告的过程,这些工具可以改善数据保护的效果,解放机构中隐私和安全人员的人力,让他们能把更多的时间花在预防上。
到目前为止,2015年在保护患者及数据上做得很糟。越来越多的网络攻击意味着更多的患者及数据正立于危墙之下。虽然安全事故避无可避,人们仍可以从Ponemon的研究中吸取经验教训,协同努力,使明年不再有惊诧,而是满满的惊喜。