免责声明:这篇文章不是党派之争,而是侧重于基于历史和我们未来面临的威胁的风险评估。除了检查其数据安全风险外,我们不以任何方式支持任何医疗保健计划风格。
对于许多人来说,“所有人的医疗保健”一词会带来一系列情绪,从幸福的关注,以及这种政策的变化,我们并不感到惊讶。但是,除了关于这个主题的通常论据之外,我们想问一个问题:如果美国要担任美国,我们需要担心的安全风险是否会转向“所有”政策的“医疗保健?
澄清,有许多纸上的所有风格计划的医疗保健,在华盛顿和政治家的思想中进行微调。因此,出于本文的目的,除了禁止私人保险公司收集和/或储存患者数据的立法外,我们还指的是“保健的所有”计划,而不是补充私人保险计划。
“全民医疗保健”数据安全
要开始,我们将审查政府证明患者数据的轨道记录。Since we aren’t living in a world where ‘Healthcare for All’ exists in our country, we’ll use data security practices concerning Heatlhcare.gov and the department that runs it, the Centers for Medicare and Medicaid Services (CMS) to get a sense of how well patient data might be secured by government departments.
Healthcare.gov网站在2013年10月开始时遭遇了坎坷。许多问题产生只有一小部分病人能够在第一周与网站注册。
在一篇文章发布的文章中相关新闻界,以及电力前沿基金会(EFF)的独立调查,发现Healthcare.gov正在向第三方发送个人数据将个人信息放入数据请求头。
后来,2015年9月,卫生和人类服务部(HHS)督察将军完成了CMS和HealthCare.gov网站的联邦审计。他们的主要担忧不是关于患者信息受到损害的,而是违反一个名为MIDAS的数据库,存储了有关HealthCare.gov用户的很多个人身份信息.也就是说,这个数据库有许多严重程度很高的漏洞,需要修补,而且总的来说,卫生官员没有在整个系统中采用最佳做法。
最后,在2018年,美国政府问责局对医疗保险和医疗补助服务中心进行了一项调查评估其保护医疗保险数据不受外部实体影响的能力.
据HippaJournal.Com:
“该研究有三个主要目标:确定收集,储存和分享医疗保险受益人数据的主要外部实体,以确定保护Medicare数据是否与联邦指导对齐,并评估CMS监督该案件的实施要求。”
事实证明,虽然有一些要求来确保某些实体被清除访问此数据,但有些人没有,因此可以滥用他们获得的数据!有三个主要团体访问Medicare受益人数据,医疗保险管理承包商(MAC),WHO处理Medicare索赔,研究组织和使用索赔数据的实体,用于评估Medicare服务提供商的表现。
遗憾的是,只有用于清除对Mac和服务提供商实体数据的访问的流程均符合联邦指导,该指南旨在用于所有CMS承包商。另一方面,研究人员不被认为是CMS承包商。基本上,联邦法规对此数据的访问所需的监督预先应用于可以访问该数据的所有用户的2/3,因此无法保证数据已完全保护。
虽然我们列出了许多政府对照患者数据的情况,但是妥协的职位妥协,但政府控制系统中失去的医疗数据的报告实际上非常小。我找不到任何将CMS或HHS归咎于数据泄露的任何东西。
私人保险数据安全
幸运的是,尽管healthcare.gov和它的控制部门多次发现了未修补的漏洞,但没有太多的医疗数据被泄露,如果有的话,这并没有扩展到私人保险领域。
2019年7月,Premera Blue Cross,U.S的太平洋西北部的保险公司,同意支付超过1000万美元的结算众多的州办事处。Premera遭受了大量的数据泄露,在2015年暴露了1000多万患者的数据。该华盛顿州总检察长办公室的新闻稿索赔:
“从2014年5月5日到2015年3月6日,一名黑客未经授权访问了包含敏感个人信息的Premera网络,其中包括私人健康信息、社会安全号码、银行账户信息、姓名、地址、电话号码、出生日期、成员身份证号和电子邮件地址。”
除此之外,还有人抱怨说,Premera误导了消费者,使他们误解了该漏洞以及可能造成的全部潜在损害。
2018年10月,一名员工有密歇根州的蓝色十字架蓝盾丢失了一台有客户个人医疗数据的笔记本电脑救了。该公司立即采取行动,并与一家子公司合作,更改了加密笔记本电脑的访问凭据,但据他们所知,没有证据表明患者数据被泄露,但CISOMag表示:
“访问信息包括会员的姓、名、地址、出生日期、注册者身份证号、性别、药物、诊断和提供者信息。蓝十字表示:“社会保障号码和金融账户信息不包括在可访问的数据中。”
最后,在2019年,多明尼恩国家保险公司比未经授权的派对确定可能已经能够访问内部服务器,早在2010年8月!根据新闻稿:
“Dominion National已经对这些计算机服务器存储的或可能访问的数据进行了全面审查,并确定这些数据可能包括Dominion National和Avalon vision的现任和前任成员的注册和人口统计信息,以及隶属于多明尼汪国家管理牙科和视力福利组织的个人。这些服务器可能还包含与计划生产者和参与的医疗保健提供者有关的个人信息。个人信息各不相同,但可能包括姓名、地址、电子邮件地址、出生日期、社会安全号码、纳税人识别号码、银行账户和路由号码、成员ID号码、组号和用户号码。”
这些是实际健康保险公司,而不是第三方或政府对照的医疗组织发生的三个违规的例子。In two of these instances, the attacker maintained a foothold on the network for over a year (9 years in Dominion’s case!) and in another instance, someone just lost a laptop full of patient data (the same thing happened to the Department of Homeland Security & The Department of Health & Human Services over the last few years. We need to just tape our laptops to our bodies like a tourist with a passport!)
为什么这些都不是问题
好吧,到底是哪一个?是委托政府来控制患者数据更安全,还是让私人保险公司更好地管理我们?事实是,两者都不重要,因为它们都不是真正的问题。
并不是我们所依赖的保护我们数据的组织,而是与他们合作的第三方组织。从邮寄服务到实验室再到计费机构,我们的大多数患者数据泄露都发生在那些没有任何真正需要保存我们数据的机构身上,这可能是他们未能保护数据的原因。
第三方违反了
今年9月,总部位于底特律的医疗承包商金刚狼解决方案集团(Wolverine Solutions Group)也遭到了黑客攻击,可能导致全国数十万患者的妥协。WSG向医院和医疗保健公司提供邮寄以及其他服务。他们遭到勒索软件攻击,导致许多医疗机构病人的数据被勒索。
虽然对攻击的调查没有导致任何证据表明数据被盗,但在底特律的德里克利·英语的报价中,达里尔英语的报价:
“鉴于受影响文件的性质,其中一些包含各个患者信息(名称,地址,出生日期,社会安全号码,保险合同信息和数字,电话号码和医疗信息,包括一些高度敏感的医疗信息)除了丰富的谨慎,我们向所有受影响的个人邮寄信函推荐,推荐他们立即采取措施保护自己免受任何潜在的信息滥用信息,“
尽管他们认为没有获得患者数据,但底特律自由压力机的同一篇文章描述了牛津泰勒·梅雷斯的情况,世卫组织已经确定了许多欺诈性医疗费用:
“四年,我没有把刀放在刀下,”他说。“所以我有一个幻影手术,甚至我都知道的?我在邮件中收到了没有账单,并没有收到电话。我没有电子邮件。他们只是随机出现在我的信用报告中。“我认为他们不会像在那里那里出来的那样,”梅斯人说是狼獾解决方案集团违规行为。
5月,Spectrum Health Lakeland开始向大约成千上万的患者发出信件,因为他们结算服务公司(OS,INC)被违反,导致可能的盗窃患者姓名,地址和健康保险提供者,但不是社会保障和驾驶执照号码(坏人必须在其他地方找到我猜的其他地方。)
根据MLive Michigan的一篇报道,
“计费服务公司OS, Inc.于5月8日周三证实,一名未经授权的个人访问了一名员工的电子邮件账户,该账户中保存着Spectrum Health Lakeland一些患者的信息,根据Spectrum Health的新闻稿。”
在11月中旬报道,针对Solara医疗用品员工的成功网络钓鱼攻击,导致了一个持续了近一年的漏洞,并导致员工姓名丢失并潜在地址,出生日期,健康保险信息,社会安全号码,财务和识别信息,密码,引脚和各种其他多种数据。
然而,第三方供应商的员工电子邮件帐户被攻破的一个大问题是,攻击者可能利用这些受感染的系统作为集结地,利用Solara员工的电子邮件地址发起额外的恶意钓鱼攻击。
最后,2019年5月开始的证券和交换委员会正在进行调查美国医疗收集机构(AMCA)在2018年8月至2019年3月期间被攻破8个月。
然而,受影响患者的实际人数仍在统计中健康,安全,至少有六个涵盖的实体据报道,他们的患者数据受到攻击受到损害。这包括来自1200万人的患者信息,这些人使用了Quest Diagnostics和770万卢比患者。
“刚刚本周第六届提供者奥斯汀病理学伙伴们报告了至少46,500名患者受到事件的影响。不久之后,七个更多的涵盖实体报告了他们也受到影响:亚闲,美国宇宙实验室,CBLPath,南德克萨斯皮肤病学,海岸病理学,亚利桑那皮肤病学和皮肤病学症的实验室。“
当已知受影响的患者的患者中加入时,大约2500万患者由于这种攻击而受到影响。还有仍有提供者在全面弄清楚,因此您可以放心,数字可能会上升。
所以,回到我们原来的问题,看起来我们保持对医疗数据的控制的最大问题是它遍布整个地方!A ‘Medicare for All’ plan may reduce breaches to some extent because you’ll remove a few companies that could possess the data, however, just based on our own research in this article, often we see greater success by cybercriminals breaching third-party medical vendors than going after government or established insurance companies.
我们在做什么?
如果这是你第一次听说第三方数据共享的潜在危险,不要担心,因为政客们也在其中!采取行动遏制数据盗窃的第一步是建立一个专门负责数字隐私的部门,这个想法本月由众议员Anna G. Eshoo提出[D-CA-18]。《2019年在线隐私法案》是在11月初提交给美国众议院的。
账单的目的是:
“为与个人信息隐私有关的个人权利提供规定,为与个人信息相关的受保护实体制定隐私和安全要求,并为其他目的设立名为美国数字隐私署(United States Digital privacy agency)的机构来执行这些权利和要求。”
2019年在线隐私法案
有一些政治家们反对这项法案,并希望继续拥有联邦贸易委员会的部门关注数字隐私,但我们可以看到那种情况。
除了一个新的隐私部门,参议员标记R.华纳[D-VA]已经呼吁患者数据分享的新立法,以提出更多关于在允许患者更大洞察力的技术开发中建立控制和安全的重要性进入他们的电子健康记录(EHR)。你可以阅读一项叫做ACCESS法案的立法我们的博客上也有。
的促进卫生和人类服务部的立法(HHS)要求保险公司参与cms运行的项目,如医疗保险,允许患者以电子方式访问他们的健康信息。他们计划通过建立一个应用程序编程接口(API)来实现这一点,第三方供应商可以利用该接口来获取数据并使其对患者可见。
Sen. Warner,谁是隐私和安全的巨大倡导者,写了一封信给立法作者,要求认真关注API的安全性,以免被滥用。他在信中说:
“......我敦促CMS采取其他步骤来解决滥用这些功能时开发API周围的规则。在过去的三年中,技术提供者和政策制定者已经无法预测 - 或先发制人地解决 - 滥用消费者技术,这些技术对我们的社会和经济产生了深远的影响。正如我反复声明的那样,第三方数据管理是信息安全的关键组成部分......“
参议员马克·华纳[弗吉尼亚州民主党]
我们不知道这些努力在长期内会提供什么帮助,但我们处于一个很好的位置,开始真正讨论有关数字医疗数据的危险和解决方案,特别是它的使用和滥用。
的简讯
现在我们已经讨论了所有这些,我们回答我们的问题了吗?“全民医保”对数据安全有影响吗?答案似乎是否定的,无论我们使用何种医疗计划,数据都将继续脆弱,这在很大程度上是因为第三方共享。
当涉及数据安全时,政府和私人健康保险都没有完美得分,但两者都受到第三方违规行为的影响。就私人保险公司而言,在OS,Inc。这样的违规行为规避了蓝色交叉和其他保险公司保护其患者数据的所有努力。与此同时,政府卫生保健技术纷纷串行,坦率地使其令人难以通过网络犯罪分子完全收获的奇迹。
好消息是,每次攻击都会带来如何在未来避免一个的知识。我们的健康数据现在比任何其他数字医疗保健记录历史上更安全,它只会变得更好!随着政府立法的支持,保护不仅仅是医疗数据,而且如何转移和储存,我们可以在整个方面转身。
不幸的是数以百万计的患者的个人资料被盗,可能存储在数据库中的众多罪犯,和那些可能将不得不应对欺诈和犯罪分子盗窃,因为在可预见的未来,我们是破碎的鸡蛋在这个安全煎蛋卷。希望下一组会好一点。
评论