紙質醫療記錄漏洞大開卻經常被忽視

隨著攻擊者的技能日益複雜化，醫療保健服務供應商、保險公司以及醫療器械供應商等醫療保健垂直領域正在淪為其重點攻擊目標。

因此，近年來，針對醫療保健行業的攻擊和資料洩露新聞層出不窮。而在此類事件中，攻擊者最常用的手段依然非“有針對性的網路釣魚攻擊”莫屬。

然而，在將資訊安全力量緊緊地聚焦在網路模型防護時，是否忽略了檔櫃和檔案存放裝置（紙張、備份磁片或其他資料存儲形式）中的資訊安全性？這些資訊的安全與否通常無法被企業部署的資料丟失保護（DLP）解決方案察覺到。

資訊安全團隊的工作重心必須放置在回報率最高的任務上，這聽起來似乎是合乎邏輯的，很顯然，入侵醫院系統或鎖定所有醫療設備必然會引發一場災難，甚至危及患者生命。

那麼，一份檔或兩份三份……甚至成百上千份檔是否也能造成這種實質性損害呢？也許只有當你是患者，而你的個人身份資訊（PII）或受保護的健康資訊（PHI）遭到洩露時你才能感受到這種損害。

根據美國前總統克林頓簽署的《健康保險攜帶和責任法案》(HIPAA)規定，任何能夠用於識別個體身份的健康資訊，這些資訊不管以何種媒介存貯，

如電子的，還是紙質的，還是口頭的，只要責任人持有或者傳播就是受隱私條例保護的。隱私條例將這樣的資訊稱為“受保護的個人健康資訊(PHI)。

據悉，在美國，所有涉及醫療保健的機構中，包括醫院、健康計畫部門、保健服務商、相關票據交換所、醫療資訊系統提供商、醫科大學、甚至只有一個內科醫生的辦公室等，對任何形式的個人健康保健資訊的存儲、維護和傳輸都必須遵循 HIPAA 的安全條例規定。對於違反HIPAA安全條例的行為，可以處以最高為25萬美元的罰款和最長為10年的監禁。

不過，儘管由美國聯邦公民權利辦公室(OCR)負責監督執行的HIPAA法案將紙質或檔案記錄物理安全性的概念提升到了法律高度（HIPAA定義的需要保密的健康檔案資訊包括：治療/隨訪檔、實驗診斷結果、患者的預約就診日期/時間、患者的治療花費、影像學片子和報告、病史和查體資訊、患者的個人資訊等），

但是有關紙質醫療記錄受損的案件仍然層出不窮。

紙質醫療記錄受損的案例

現在，讓我們拋開假設看看一些資料受損的實例，在這些實例中，員工不注重細節、故意忽視已經建立的安全流程或是通過惡意行為，最終發生了患者的醫療記錄受到損害的情況。

位於奧克拉荷馬州瑪麗埃塔的mercy health/love county醫療診所就曾發生過此類案件，該醫院之前的一名員工也因竊取醫療記錄和一台來自“醫院存儲單元”的筆記型電腦而被定罪。該醫院在對外發佈的公告中強調， “只有少數患者記錄遭到破壞”，

共計只有10名，顯然很少！但是，美國健康和人類服務部(HHS)提交的資料洩露報告卻指出，大約有13,000名患者的資訊受到了損害。

根據法庭檔顯示，該醫院的前任雇員（一名護士）專門從事金融身份盜竊活動，且開發了各種信用工具，他在竊取到這些醫療資訊後就馬不停蹄地將存儲單元中的資料賣出獲利，金額高達24萬美元。

然後就是發生在佐治亞州哥倫布的一起案例，一家名為“聖法蘭西斯”的醫院錯誤地將“一些行政文件”放進了垃圾箱而不是碎紙機中。根據該醫院的說法，此次事件屬於管理失誤， “某些患者的個人和/或帳單資訊，包括患者的姓名、出生日期、社會安全號碼、位址、診斷資訊、帳號、最終帳單日期、最後付款日期、保險餘額或帳戶餘額等均受到影響。 ”雖然公開聲明中並沒有明確受損規模，但是根據美國健康和人類服務機構（HHS）給出的資料顯示，此次事件共有1,412人受到影響。

接下來就到了發生在2018年1月的一起事件，位於新澤西州米爾維爾的ShopRite藥店“在沒有事先擦除相關資料的情況下，就淘汰了用於捕獲客戶簽名的設備。”在該事件中，約有10,000名藥店客戶受到了影響。

最容易預防的安全威脅

上述只是最近發生的一些事例，大家可以看出這些案件中的資料丟失與我們以往經常閱讀到的網路入侵和駭客攻擊有所不同。不得不說，對於紙質醫療記錄的安全防護通常是容易被忽略的，但是也是最容易防護的。如果把醫療保健資訊生態系統比作一棵大樹，那麼這些紙質檔就是最觸手可及的果實。

僅今年美國就已經有54家醫療機構報告了醫療記錄洩露的事件。這些洩露事件主要是由電子郵件誤送（向患者發送屬於他人的檔是常見的錯誤類型）、設備丟失或被盜，以及還有IT事故造成的。但在所有這54起醫療記錄洩露事件中，有大約20％涉及紙質記錄。

在未來，希望相關醫療機構能夠把紙質醫療記錄的防護作為醫療保健內部人員的考察重點，並通過保護電子記錄和紙質記錄來最大限度地保護病人的隱私。

”雖然公開聲明中並沒有明確受損規模，但是根據美國健康和人類服務機構（HHS）給出的資料顯示，此次事件共有1,412人受到影響。

最容易預防的安全威脅

紙質醫療記錄漏洞大開 卻經常被忽視

紙質醫療記錄漏洞大開卻經常被忽視