隨著攻擊者的技能日益復(fù)雜化，醫(yī)療保健服務(wù)供應(yīng)商、保險(xiǎn)公司以及醫(yī)療器械供應(yīng)商等醫(yī)療保健垂直領(lǐng)域正在淪為其重點(diǎn)攻擊目標(biāo)。因此，近年來(lái)，針對(duì)醫(yī)療保健行業(yè)的攻擊和數(shù)據(jù)泄露新聞層出不窮。而在此類(lèi)事件中，攻擊者最常用的手段依然非“有針對(duì)性的網(wǎng)絡(luò)釣魚(yú)攻擊”莫屬。

然而，在將信息安全力量緊緊地聚焦在網(wǎng)絡(luò)模型防護(hù)時(shí)，是否忽略了文件柜和檔案存儲(chǔ)設(shè)備（紙張、備份磁盤(pán)或其他數(shù)據(jù)存儲(chǔ)形式）中的信息安全性？這些信息的安全與否通常無(wú)法被企業(yè)部署的數(shù)據(jù)丟失保護(hù)（DLP）解決方案察覺(jué)到。

信息安全團(tuán)隊(duì)的工作重心必須放置在回報(bào)率最高的任務(wù)上，這聽(tīng)起來(lái)似乎是合乎邏輯的，很顯然，入侵醫(yī)院系統(tǒng)或鎖定所有醫(yī)療設(shè)備必然會(huì)引發(fā)一場(chǎng)災(zāi)難，甚至危及患者生命。

那么，一份文件或兩份三份……甚至成百上千份文件是否也能造成這種實(shí)質(zhì)性損害呢？也許只有當(dāng)你是患者，而你的個(gè)人身份信息（PII）或受保護(hù)的健康信息（PHI）遭到泄露時(shí)你才能感受到這種損害。

根據(jù)美國(guó)前總統(tǒng)克林頓簽署的《健康保險(xiǎn)攜帶和責(zé)任法案》(HIPAA)規(guī)定，任何能夠用于識(shí)別個(gè)體身份的健康信息，這些信息不管以何種媒介存貯，如電子的，還是紙質(zhì)的，還是口頭的，只要責(zé)任人持有或者傳播就是受隱私條例保護(hù)的。隱私條例將這樣的信息稱(chēng)為“受保護(hù)的個(gè)人健康信息(PHI)。

據(jù)悉，在美國(guó)，所有涉及醫(yī)療保健的機(jī)構(gòu)中，包括醫(yī)院、健康計(jì)劃部門(mén)、保健服務(wù)商、相關(guān)票據(jù)交換所、醫(yī)療信息系統(tǒng)提供商、醫(yī)科大學(xué)、甚至只有一個(gè)內(nèi)科醫(yī)生的辦公室等，對(duì)任何形式的個(gè)人健康保健信息的存儲(chǔ)、維護(hù)和傳輸都必須遵循 HIPAA 的安全條例規(guī)定。對(duì)于違反HIPAA安全條例的行為，可以處以最高為25萬(wàn)美元的罰款和最長(zhǎng)為10年的監(jiān)禁。

不過(guò)，盡管由美國(guó)聯(lián)邦公民權(quán)利辦公室(OCR)負(fù)責(zé)監(jiān)督執(zhí)行的HIPAA法案將紙質(zhì)或檔案記錄物理安全性的概念提升到了法律高度（HIPAA定義的需要保密的健康檔案信息包括：治療/隨訪文件、實(shí)驗(yàn)診斷結(jié)果、患者的預(yù)約就診日期/時(shí)間、患者的治療花費(fèi)、影像學(xué)片子和報(bào)告、病史和查體信息、患者的個(gè)人信息等），但是有關(guān)紙質(zhì)醫(yī)療記錄受損的案件仍然層出不窮。

紙質(zhì)醫(yī)療記錄受損的案例

現(xiàn)在，讓我們拋開(kāi)假設(shè)看看一些數(shù)據(jù)受損的實(shí)例，在這些實(shí)例中，員工不注重細(xì)節(jié)、故意忽視已經(jīng)建立的安全流程或是通過(guò)惡意行為，最終發(fā)生了患者的醫(yī)療記錄受到損害的情況。

位于俄克拉荷馬州瑪麗埃塔的mercy health/love county醫(yī)療診所就曾發(fā)生過(guò)此類(lèi)案件，該醫(yī)院之前的一名員工也因竊取醫(yī)療記錄和一臺(tái)來(lái)自“醫(yī)院存儲(chǔ)單元”的筆記本電腦而被定罪。該醫(yī)院在對(duì)外發(fā)布的公告中強(qiáng)調(diào)，“只有少數(shù)患者記錄遭到破壞”，共計(jì)只有10名，顯然很少！但是，美國(guó)健康和人類(lèi)服務(wù)部(HHS)提交的數(shù)據(jù)泄露報(bào)告卻指出，大約有13,000名患者的信息受到了損害。

根據(jù)法庭文件顯示，該醫(yī)院的前任雇員（一名護(hù)士）專(zhuān)門(mén)從事金融身份盜竊活動(dòng)，且開(kāi)發(fā)了各種信用工具，他在竊取到這些醫(yī)療信息后就馬不停蹄地將存儲(chǔ)單元中的數(shù)據(jù)賣(mài)出獲利，金額高達(dá)24萬(wàn)美元。

然后就是發(fā)生在佐治亞州哥倫布的一起案例，一家名為“圣弗朗西斯”的醫(yī)院錯(cuò)誤地將“一些行政文件”放進(jìn)了垃圾箱而不是碎紙機(jī)中。根據(jù)該醫(yī)院的說(shuō)法，此次事件屬于管理失誤，“某些患者的個(gè)人和/或賬單信息，包括患者的姓名、出生日期、社會(huì)安全號(hào)碼、地址、診斷信息、賬號(hào)、最終賬單日期、最后付款日期、保險(xiǎn)余額或帳戶余額等均受到影響?！彪m然公開(kāi)聲明中并沒(méi)有明確受損規(guī)模，但是根據(jù)美國(guó)健康和人類(lèi)服務(wù)機(jī)構(gòu)（HHS）給出的數(shù)據(jù)顯示，此次事件共有1,412人受到影響。

接下來(lái)就到了發(fā)生在2018年1月的一起事件，位于新澤西州米爾維爾的ShopRite藥店“在沒(méi)有事先擦除相關(guān)數(shù)據(jù)的情況下，就淘汰了用于捕獲客戶簽名的設(shè)備。”在該事件中，約有10,000名藥店客戶受到了影響。

最容易預(yù)防的安全威脅

上述只是最近發(fā)生的一些事例，大家可以看出這些案件中的數(shù)據(jù)丟失與我們以往經(jīng)常閱讀到的網(wǎng)絡(luò)入侵和黑客攻擊有所不同。不得不說(shuō)，對(duì)于紙質(zhì)醫(yī)療記錄的安全防護(hù)通常是容易被忽略的，但是也是最容易防護(hù)的。如果把醫(yī)療保健信息生態(tài)系統(tǒng)比作一棵大樹(shù)，那么這些紙質(zhì)文件就是最觸手可及的果實(shí)。

僅今年美國(guó)就已經(jīng)有54家醫(yī)療機(jī)構(gòu)報(bào)告了醫(yī)療記錄泄露的事件。這些泄露事件主要是由電子郵件誤送（向患者發(fā)送屬于他人的文件是常見(jiàn)的錯(cuò)誤類(lèi)型）、設(shè)備丟失或被盜，以及還有IT事故造成的。但在所有這54起醫(yī)療記錄泄露事件中，有大約20％涉及紙質(zhì)記錄。

在未來(lái)，希望相關(guān)醫(yī)療機(jī)構(gòu)能夠把紙質(zhì)醫(yī)療記錄的防護(hù)作為醫(yī)療保健內(nèi)部人員的考察重點(diǎn)，并通過(guò)保護(hù)電子記錄和紙質(zhì)記錄來(lái)最大限度地保護(hù)病人的隱私。

本文轉(zhuǎn)自：安全牛，原文鏈接：https://mp.weixin.qq.com/s/WgrwBaHPDFXKJ32qcJy_qg