根據美國衛生與公共服務部（HHS）民權辦公室（OCR）披露的安全事件數據顯示，過去一年醫療保健行業發生規模以上（500+條）數據泄露事件的數量創下了歷史新高。

　　　2020年數據洞察

　　涉及500條及以上記錄的上報醫療保健數據泄露事件多達642起，較上年增長25%。

　　泄露的醫療記錄總計超過2900萬條。

　　規模最大的泄露事件影響超1000萬條記錄，有63起事件泄露超過10萬條記錄。

　　黑客/IT事件占數據泄露事件總量的67%，泄露的記錄總量則占比92%。

　　自2009年10月以來，外泄的醫療保健記錄總量已達2.6678億條，量級上已占當前美國人口總數八成以上。

　　2020年美國所有醫療保健機構總共報告了642起規模以上數據泄露事件，涉及機構包括醫療保健服務商、醫療保健計劃管理方、醫療保健結算公司以及其他業務伙伴。稍微換算下，平均每天上報1.76起，較破紀錄的2019年多出25%。

　　過去一年上報的數據泄露事件數量是2015年的2倍以上，是2010年的3倍以上。

　　從泄露的醫療保健記錄總量來看，2020年排名第三。全年共有29,298,012條醫療記錄意外流出，這一數字比2019年減少了29.71%。自2009年10月以來，醫療保健行業總計上報3705起涉及記錄高于500條的數據泄露事件，外泄的醫療保健記錄總量則為2.6678億條。

　　2020年規模最大的醫療保健數據泄露事件

　　2020年規模最大的醫療保健數據泄露事件，是針對云服務供應商Blackbaud的勒索攻擊。黑客并未公開獲取獲取或鎖定的醫療記錄數量，但Blackbaud服務的100多家醫療保健客戶因此受到影響，至少10家有數百萬條記錄遭遇破壞。由于各受影響實體分別上報了事件，因此此次攻擊未被列入OCR違規門戶。

　　在部署勒索軟件之前，黑客竊取到大量關于客戶籌款及捐贈者身份的數據庫，其中包括姓名、聯系方式、出生日期以及某些臨床信息。受到影響的實體則包括Trinity Health（330萬條記錄）、Inova Health System（100萬條記錄）以及Northern Light Health Foundation（65萬7392條記錄）。

　　總部位于佛羅里達州的商業合作伙伴MEDNAX Services有限公司是一家專為各下轄醫師執業小組提供收入周期管理等服務的供應商。2020年，MEDNAX遭遇全年規模最大的釣魚攻擊。黑客借此成功訪問了Office 365環境，可能已經掌握1670份個人ePHI，具體包括社保號碼、駕照號碼以及健康保險與財務信息。

　　Magellan Health同樣因網絡釣魚郵件引發上百萬記錄泄露，最后又以勒索軟件攻擊收場。此次違規事件影響到其他多家關聯實體，患者信息可能因此外流。

　　Dental Care Alliance是一家牙科支持組織，覆蓋全美20個州的320多家附屬牙科診所。由于系統遭受黑客攻擊，超過100萬人的牙科診療記錄遭到竊取。

　　2020年，HIPAA覆蓋的各實體及業務伙伴共上報63起安全事件，涉及的醫療記錄數量超過10萬條。

　　2020年醫療保健數據泄露事件原因分析

　　黑客與其他IT事件在2020年的醫療保健數據泄露報告中占最大比例。這一年中，有429起上報事件與黑客/IT事件相關，占全部泄露事件的66.82%，涉及的泄露記錄數量占比更高達91.99%。黑客與IT事件包括安全漏洞利用與網絡釣魚、惡意軟件以及勒索軟件攻擊。最近幾個月來，勒索軟件攻擊的發生頻率仍在逐步提升。

　　Check Point發布的最新報告顯示，去年10月針對醫療保健服務商的勒索軟件攻擊增長了71%。而在2020年的最后兩個月中，醫療保健網絡攻擊進一步增長45%。此外，這一年內影響最大、破壞力最強的攻擊活動普遍與勒索軟件有關。在大多數情況下，醫療保健機構的系統將癱瘓數周，并給患者服務帶來嚴重影響。

　　在2020年的新冠疫情沖擊下，醫療保健行業長期成為勒索攻擊的重災區。根據Emsisoft公布的數據，2020年美國至少有560家醫療機構受到勒索軟件攻擊的影響，相關攻擊事件共80起。

　　未授權訪問/披露事件占全年違規事件的22.27%，涉及的泄露記錄占比則為2.69%。此類事件包括內部人員惡意訪問醫療記錄、醫護人員窺探病患信息、將PHI意外泄露給未授權個人、以及因人為錯誤導致患者數據外泄等。

　　受影響醫療信息的存儲位置

　　醫療保健行業正越來越多地使用加密及云服務存儲數據，這一實踐能夠顯著控制因丟失/盜竊事件引發的數據泄露問題。此外，網絡釣魚攻擊仍是醫療保健數據泄露事件的一大重要誘因，通常也代表著多段式攻擊的第一步。在后續階段，攻擊方可能會部署惡意軟件或勒索軟件。

　　根據報告，2020年電子郵件賬戶違規事件的發生率已經高于每兩天1起，但針對網絡服務器的入侵活動頻率還要更高。網絡服務器中往往存儲有大量患者數據，因此成為黑客與勒索軟件團伙的主要指向目標。

　　盡管大多數醫療保健數據泄露事件涉及的是受到保護的電子病歷信息，但2020年也有相當一部分泄露事件影響到病歷的紙質/膠片副本。這些副本往往被未授權個人接觸、丟失或未能以安全方式得到妥善處置。

　　2020年哪些實體遭遇的數據泄露事件最多？

　　以下餅狀圖所示，為HIPAA覆蓋下各實體的數據泄露事件細分情況。這些實體在2020年內皆遭受到涉及記錄數量超過500條的重大事件影響。

　　其中，醫療保健服務商成為受害者主體，共上報497起事件。業務伙伴上報73起事件；但需要注意的是，相當一部分業務伙伴的數據泄露事件是由與之合作的實體所上報。這一年內，共有258起違規事件與業務伙伴相關，占所有違規事件的40.19%。醫療計劃管理方上報了70起違規事件，醫療保健結算公司則上報2起違規事件。

　　2020年全美各州醫療保健數據泄露情況

　　2020年，懷俄明州、佛蒙特州以及南達科他州的居民們非常幸運，沒有遭遇任何醫療保健數據泄露事件。但除此之外的所有其他州，外加哥倫比亞特區，全部上報有數據泄露事件。

　　加利福尼亞州成為受影響最嚴重的州，總計上報51起事件。其次是佛羅里達州與得克薩斯州，各上報44起事件。紐約州有43起，賓夕法尼亞州則為39起。

　　2020年HHS HIPAA執法措施

　　從執法方面來看，2020年對HIPAA來說無疑是繁忙的一年。作為HIPAA合規工作的主要執法機構，HHS民權辦公室共發起19項最終做出經濟處罰決定的HIPAA合規性調查。這也是民權辦公室自開始執行HIPAA合規性要求以來，做出處罰決定最多的一年。19起調查總罰款數額達到1355萬4900美元。

　　沒錯，從啟動調查到實際征收罰款往往需要幾年時間。2020年內最大的執法行動甚至可以追溯到2015年之前。但2020年罰款總額的大幅增長，主要源自民權辦公室于2019年年底發起的HIPAA執法運動，旨在解決HIPAA病歷查閱權規定執行不暢的問題。

　　到2020年，HIPAA共與醫療服務商達成11項和解協議，顯著緩和了服務方無法及時獲取個人病歷的問題。

　　2020年各州檢察長HIPAA執法措施

　　除民權辦公室之外，州檢察長同樣有權對有違HIPAA監管要求的實體施以懲處。目前，各州檢察總長還建立起廣泛共識，即多州共同集中資源處理有違HIPAA規則的法律訴訟。2020年內出現了兩起與HIPAA涵蓋實體/業務伙伴相關的多州訴訟。

　　首先是健康保險公司Anthem案。此案源于2015年，泄露數據為7880萬條。為了懲處一系列有違HIPAA及各州法律的行為，該公司需要支付4820萬美元罰款。

　　CHSPSC是一家位于田納西州的管理公司，負責為其各下轄醫院運營企業以及Community Health Systems的多家分支機構提供服務。由于存在違反HIPAA要求的行為，該公司同樣在多州訴訟中支付500萬美元罰金。此案源自2014年上報的數據泄露事件，期間黑客竊取到612萬1158位患者的ePHI。