医疗保健部门的数据泄露正在以惊人的速度发生。从对物联网设备的网络攻击到未能更新最新技术，医疗保健行业已经证明自己非常容易受到网络攻击和意外数据暴露的影响。必须注意的是，数据泄露不仅会导致个人身份信息(PII)的损失，还会导致更严重的后果，包括身份盗窃和金钱损失。鉴于医疗保健部门数据的敏感性，其后果可能更加严重。

医疗保健行业一直是黑客和网络犯罪分子的主要目标。根据ForgeRock的《2019年消费者泄露报告》，仅在2019年，就报告了382起数据泄露事件，造成的损失超过177.6亿美元。其中，45%的数据泄露涉及医疗保健部门。根据2020年的类似趋势，在COVID-19大流行期间，医疗违规数量大幅增加。到目前为止，截至2020年6月，共报告了92起数据泄露事件，其中96%针对PII。2020年第一季度，医疗记录占泄露事件的25%。

鉴于当前冠状病毒爆发的情况，人们比以往任何时候都更多地利用自己的数字身份进行在线活动，以维持日常生活。这为网络罪犯创造了更多的机会。未经授权的访问，其次是网络钓鱼电子邮件，是2020年第一季度最流行的入侵技术。以下是今年到目前为止报道的许多数据泄露事件中的一些:

2020年最大的医疗保健数据泄露事件

我的健康电子书

Malwarebytes的安全研究人员最近发现了一个网络钓鱼活动，旨在利用公众对冠状病毒大流行的担忧。电子邮件骗局本质上是模仿世界卫生组织(WHO)，试图鼓励用户在他们的Windows支持的机器上下载一本名为“我的健康电子书”的免费电子书。这本书假装提供了关于全球COVID-19疫情的所有重要信息，并就儿童和企业的保护措施提供了完整的指导。只要用户执行MyHealth-Ebook.zip档案中的文件，恶意软件就会自动下载，在用户的机器上运行窃取信息的有效载荷。

糖尿病串联护理

美国糖尿病患者医疗设备制造商Tandem Diabetes Care于2020年3月透露，今年1月，该公司遭受了网络钓鱼攻击，5名员工的电子邮件账户被入侵。被泄露的电子邮件账户包含重要的客户联系信息、糖尿病治疗的临床数据以及与公司产品和服务相关的重要信息。客户的社会安全号码也有可能在攻击中被泄露。预计超过14万人可能受到数据泄露的影响。

美国医疗技术

总部位于加州的医疗公司美国医疗技术公司提供全面的老年护理计划，该公司也报告了2020年5月的数据泄露事件。在此次事件中，有47767人的个人信息被泄露。被泄露的信息包括病人的诊断信息、他们的姓名和社会安全号码、健康保险政策信息、医疗记录号码和驾照号码。黑客入侵公司EMR数据库主要是为了入侵安全。

子午线健康服务公司

美国领先的医疗保健提供商子午线健康服务公司(Meridian Health Services Corp.)通报了今年影响111,372名客户的数据泄露事件。根据该案件，未经授权的第三方通过钓鱼邮件访问了该公司的数据库。患者信息包括姓名、出生日期、驾照号码、州身份证号码、支付卡信息、社会保险号和/或有限的医疗信息被泄露。

Beumont健康

据2020年4月报道，博蒙特健康中心(Beaumont Health)收治的11.4万名患者的个人信息可能在一次网络钓鱼电子邮件数据泄露中受损。包括姓名、社会保险号、医疗状况、银行账户信息和其他敏感数据在内的关键信息，通过访问员工的电子邮件账户泄露给了未经授权的第三方。

如何避免

医疗保健组织可以部署许多风险缓解策略，以改善数据泄露防御并增强整体安全性:

采用基于风险的方法

主动措施是最成功的防御层之一。医疗保健组织必须采用基于风险的方法来识别其数据库、设备和其他内部网络的潜在风险。必须查明薄弱环节，必须把相当多的注意力转向支持最容易受到攻击的地区。

让安全和合规官加入公司

医疗保健组织必须有一个内部安全和合规人员团队，他们致力于保护网络。它们的目标必须是避免因监督而受到任何管制处罚，并使安全管制的整个过程具有效力和效率。

监控不断

设备和记录必须持续监控，员工必须被反复提醒。必须提醒员工注意任何无人看管的电子设备或纸质记录。他们必须不断被告知，他们的工作是保护有价值的患者信息。必须在可能的地方部署多因素身份验证。必须制定一个规则，在离开你的位置之前锁定你的设备。

加密数据和硬件

加密是避免数据泄露的关键。尽管HIPAA不要求对数据进行加密，也不认为丢失加密数据是一种违约，但它仍然是保护重要数据的最明智的方式。建议医疗保健组织加密有价值的患者信息以及硬件设备(如服务器、网络端点和医疗设备)，以避免数据泄露。

管理身份和访问

管理患者信息用户的身份尤为重要，因为出于多种原因，这些信息经常被访问。必须设计一个适当的系统，只允许访问基于用户在层次结构中的位置的信息。这些措施将确保所有相关人员的效率和安全。

积极主动，而不是被动被动

一旦发生数据泄露，主动的事件响应是最关键的。然而，保持足够的安全卫生可以在一开始就防止数据泄露的发生。

自己的了

如果发生数据泄露，最好的解决方案是拥有它并透明地报告它。试图掩盖或未能治疗受影响的患者会破坏组织的长期信任，对声誉造成长期损害。

医疗保健组织必须采取一切可能的措施来消除安全漏洞的风险。对黑客来说，从医疗保健机构的漏洞中寻找漏洞始终是一项有利可图的活动，因为医疗保健数据的价值是信用卡记录的十倍。因此，医疗保健公司必须始终注意主动应对这一持续的威胁，以避免数据泄露。