美国医疗保健行业的网络安全事件汇总

关键要点

最近，美国各地的多个医疗保健组织经历了一系列网络安全事件，导致敏感患者数据受到泄露。在这些事件中，患者的个人和健康信息被暴露，引发了公众对医疗信息安全的广泛关注。

Warner Norcross & Judge 最近通知卫生与公众服务部，因违反《健康保险流动性与问责法案》（HIPAA）导致的数据泄露事件影响了
255,160 名个人。该律师事务所向医疗机构提供就业和移民服务，包括密歇根州三大医院系统之一。

事件始于 2021 年 10 月 22 日，WNJ发现在其某些系统上出现未经授权的活动，并采取措施加强网络安全。事后，数字取证公司被资助进行了“数据挖掘和人工审查”。

WNJ发现受保护系统中包含个人和健康保护信息，包括姓名、出生日期、社会安全号码、驾驶执照、护照、政府身份证、年薪、福利贡献细节、信用卡或借记卡号码和密码、金融账户或路由号码等敏感数据。

通知解释了延迟通知患者的原因，表示这与其数据挖掘工作有关，以确定受影响的信息和个人。然而，根据 HIPAA，覆盖实体和商业伙伴须在发现后 60天内报告，而不是在调查结束后。

WNJ 此后“采取措施帮助防止类似事件再次发生”。

在阿拉巴马州的 Henderson & Walton Women’s Center，34,306名患者的受保护健康信息在员工邮箱被黑的过程中遭到泄露。通知中并未说明黑客入侵的具体时间，仅指调查于 6 月 24 日结束。

霍华德和沃尔顿妇女中心（HWWC）在发现邮箱系统遭到入侵后，立即对账户进行保护并实施了额外的安全措施。通知指出，“所有 HWWC内部发送的电子邮件均经过加密，黑客没有访问 HWWC 的服务器或其他数据存储设施。”

受影响的数据因患者而异，可能包括出生日期、社会安全号码、医疗数据、健康保险详情、驾驶执照和州身份证号码。

HWWC随后实施了额外的安全和隐私政策，加强了加密电子邮件系统的保护，并启动了处理患者信息的电子邮件协议，包括在三天后自动删除此类信息。该医疗提供者还计划实施“系统，阻止通过电子邮件共享任何个人信息”。

作为乔治亚州的监狱医疗保健提供者，CorrectHealth 最近通知约 54,000 名个体，一起发生在 2021 年 11月的“网络安全事件”导致他们的个人和健康信息泄露。

该事件最早是在 2021 年 11 月 10 日发现，一名威胁者获取了多个员工邮箱账户的访问权限。在发现后，CorrectHealth 发起了调查，并于 1月 28 日完成。接下来进行了为期三个月的系统审查，以核实披露信息的类型及潜在受影响人群的身份。

调查发现，受害者的全名、联系信息和社会安全号码在事件中可能被暴露。所有受影响人员将获得免费的信用监测服务。自事件发生以来，CorrectHealth 已与
FBI 合作，进行更广泛的“针对负责此威胁组的调查”。

该提供者也为所有员工重置了密码，与其电子邮件平台的