NEWS

医疗卫生服务企业 PHM 47.5 G 数据泄露:15万患者病历曝光. 2017-10-13


  医疗卫生服务企业Patient Home Monitoring(简称PHM)的一套Amazon S3存储桶配置错误并提供公开访问,泄露数据包含约47.5 GB数据,共存在约31万6千个PDF文件档案,根据上个月安全研究人员们的在线调查结果,预计约美国15万患者的姓名、地址、医生和病例纪录以及周常血液检查结果等敏感隐私信息。

  这些文件与Patient Home Monitoring Corporation(简称PHM)这家医疗卫生服务企业有关,该公司专门为美国患者提供家庭监测与疾病管理服务。

  

  来自Kromtech安全中心的研究人员们发现的这批记录被存储在一套未经保护的Amazon S3存储桶内。Kromtech方面表示,这些泄露的文件可供公开访问且未受密码保护。

  今年9月29日改数据泄露事件被首次发现,Krometch安全研究员Bob Diachenko(鲍勃·迪亚琴科)随即向Gizmodo(一个美国科技博客)作出报告。

  10月5日,PHM方面发布警告,指出归属于该公司的敏感医疗记录确已遭到外泄。同一天,该Amazon S3存储桶亦被保护起来。然而,PHM方面并没有对Kromtech提出的查询请求给予回应。

  Amazon S3存储桶配置错误导致数据泄露。Kromtech 公司战略联盟副总裁Alex Kernishniuk(亚历克斯·柯尼什纽克)指出,“这套Amazon存储库存在配置错误,导致其可供公开访问,任何接入互联网的人士皆可访问这些保密医疗记录。然而,这样的问题即使是最为基本的安全举措也足以预防此类数据泄露问题。”

  与涉及Amazon服务器的大部分数据泄露事故一样,文件暴露的具体时长并不清楚,也无法断定在该公司发布通告之前是否有其他人士下载了相关记录。根据Kromtech方面的说法,这些记录与今年夏季进行的医疗测试有关。

  Gizmodo方面审查的泄露记录之一显示,一名居住在田纳西州的患者被诊断患有心房纤维性颤动,属于一种严重疾病,具体症状包括心跳异常(心律不齐),已知可能导致心脏衰竭、中风以及多种其它严重健康风险。记录显示,该患者一直在接受一系列家庭内血液检测,旨在及时向医生报告血块以及由血液稀释药物所引发的意外内出血等问题。

  美“HIPAA法案”对医疗数据泄露有何要求?

  除了姓名、居住地址以及其它联系信息之外,大部分记录还包含病患的出生日期、诊断结果以及负责监督患者护理情况的医生姓名。这些皆属于美国《健康保险流通与责任法案》(简称HIPAA)要求需要严格保护的信息范围。

  PHM作为相关实体,有责任遵循法律规定以制定并实施政策与规程,从而确保其“创建、接收、维护或者传输”的任何电子健康信息(简称ePHI)受到严格保护。

  通报患者要求

  根据HIPAA提出的“违规通知规定”,医疗卫生服务供应方必须在“避免不合理的延误”且“在不晚于违约事件发现后60天”的周期内向数据泄露影响到的病患发出通知。另外,如果供应商面对超过10名联系信息“不充分”或者已经过期的病患,则必须以90天为周期在其官方网站上保留通知信息,或者立足受影响患者所在地区通过主要印刷与广播媒体发布安全违规信息。

  除此之外,HIPAA还要求服务供应商在受影响病患超过500名的情况下,立足其所在管辖区或州通过主要媒体发布新闻报道。

  对服务供应商的罚款标准

  HIPAA还会对安全违规行为进行经济处罚。如果服务供应商有合理理由而未能确定发生安全违规情况的原因,则单次事故的罚款可能低至100美元;但在极端情况一,例如服务供应商被发现存在“故障忽视”的行为,则每次违规行为的年罚款可高达150万美元(约合人民币988万元)。

  Kromtech方面此前一直在披露数据泄露事故,同时协助相关方保护受到影响的医疗卫生信息。今年早些时候,该公司在网络上发现数万条(总量甚至可能达到数百万条)医疗记录,其归属于纽约布朗克斯-黎巴嫩中心医院。这些记录中包含广泛的且高度敏感的病患文件,例如因化学品成瘾而入院的病患的登记资料。该公司目前已提供免费软件设计服务,可帮助各企业了解其Amazon存储桶是否安全。

  美国对医疗数据的保护欠佳

  美国拥有着一套几乎从任何角度来讲都成本高昂但却效率低下的医疗卫生系统。复杂的保险规则与扭曲的市场信号令效率一路走低,沮丧的患者与服务供应方因为大量文书工作的压力而备感困扰。

  而尽管数字记录与病患家庭监控确实能够有效提升相关效率,但对医疗数据的保护无疑是一件需要加以高度重视的优先事项。

  如果您有数据加密软件的需求,欢迎致电上海网腾信息科技有限公司!



上一篇:数据防泄漏没做好 知名调研机构知识产权信息被窃
下一篇:9月份发生的重要网络安全事件