絕大多數的醫療保健組織都處理和存儲受保護的患者健康信息（PHI），如社會保險號、病史和其他個人數據。毫無疑問，這引起了威脅行為者的注意，威脅行為者可能會泄露敏感數據，并利用這些數據謀取政治或金錢利益。隨著云計算及自帶設備（BYOD）的快速發展，以及全球疫情大流行帶來的遠程工作，2020年比歷史上任何年份都顯著不同。在Bitglass發布的2020年醫療保健信息泄露回顧報告中指出，2020年，美國共發生了599起醫療數據泄露事件，比上一年增長了55.1％，影響了2640萬人。絕大多數（67％）泄露事件歸因于來自外部攻擊者的“黑客和IT事件”，其泄露的數據占比達91％以上。其次是端點設備的丟失或失竊，影響了58.4萬人，以及系統未經授權地泄露數據，影響了76.3萬人。盡管受害人數比2019年的2750萬人略有下降，但每條泄露數據的平均成本從429美元增加到499美元，總共造成132億美元損失。總體而言，黑客攻擊和IT事故都呈上升趨勢。

　　一、主要調查結果

　　2020年，黑客和IT事件導致了67.3%的醫療泄漏事件，是排名第二的此類事件的三倍多。此外，由黑客和IT事件造成的入侵暴露了2020年醫療保健領域所有被破壞記錄的91.2%，這些結果表明，網絡安全漏洞的影響加劇，惡意行為者的戰略發生變化，以及醫療保健機構在當今動態的、以云為基礎的世界中如何應對網絡安全。其余的類別，雖然比例很小，仍然暴露了大約230萬人數據，受害者易受到身份盜竊、網絡釣魚和其他形式的網絡攻擊。

　　2014年，設備丟失和被盜是醫療行業安全漏洞的主要原因，而黑客攻擊和IT事件是最不常見的原因。然而時至今日，情況基本上發生了逆轉。黑客攻擊和IT事件現在是醫療數據泄漏背后的主要力量，自2017年以來每年都是如此。隨著組織繼續接受云遷移和數字轉型，醫療保健組織必須利用適當的工具和戰略來成功地保護患者記錄，并應對其IT生態系統日益增長的威脅。

　　自2015年以來，每年黑客和IT事件暴露的記錄都比任何其他類型的入侵記錄都要多。此外，自2018年以來，這些事件的規模每年都在增加，這表明組織越來越依賴它們的IT資源，犯罪分子也越來越多地將其作為攻擊目標。由于受到影響的個人超過2400萬人，企業必須配備能夠防止黑客攻擊和IT事件以及防止數據泄露的現代工具。

　　二、2020年數據泄露成本

　　根據Ponemon的數據，2020年醫療保健泄漏的平均成本仍然高于其他所有行業，自2019年以來上漲了10.5%。同樣，每條數據泄露的成本也在增加，從429美元增加到499美元（增加了16.3%）。平均而言，醫療保健公司識別漏洞的時間最長，約為96天，從漏洞中恢復的時間最長，約為236天。

　　逐年變化如下所示，醫療違規總成本的計算方法是每年每個違規記錄的成本乘以每年違規記錄的數量。數據顯示，由于網絡安全疏忽或使用傳統工具無法在現代工作環境中保護數據，每年都有數十億美元的資金被浪費。為了應對這一挑戰，醫療保健公司應該轉向綜合平臺，旨在保護任何設備、應用程序、web目的地、本地資源或基礎設施之間的任何交互。

　　三、2020年最大規模的醫療數據泄露事件

　　2020年最大的醫療保健數據泄露事件是對云服務提供商Blackbaud Inc.的勒索軟件攻擊。黑客暴露和獲取的實際記錄數量尚未公開，但Blackbaud的100多個醫療保健客戶受到影響，已知1000多萬條記錄被泄露。該漏洞不會出現在OCR違規門戶網站上，因為每個受影響的實體都分別報告了該漏洞。

　　在部署勒索軟件之前，黑客竊取了許多客戶的籌款和捐贈者數據庫，其中包括姓名、聯系信息、出生日期和一些臨床信息。受害者包括Trinity Health（330萬記錄），Inova Health System（100萬記錄）和Northern Light Health Foundation（657392記錄）。

　　總部位于佛羅里達州的商業伙伴MEDNAX Services Inc.是一家為其附屬醫生執業團體提供收入周期管理和其他行政服務的公司，該公司經歷了今年最大的網絡釣魚攻擊。黑客侵入了它的Office365環境，可能獲得了1670個人的社會安全號碼、駕照號碼、醫療保險和財務信息。

　　麥哲倫健康公司的百萬記錄數據泄露事件也始于一封釣魚電子郵件，但最終以部署勒索軟件告終。這次入侵影響了它的幾個附屬實體，并可能導致患者信息被盜。

　　牙科護理聯盟是一家牙科支持組織，在20個州擁有320多家附屬牙科診所，其系統遭到黑客攻擊，100多萬人的牙科記錄可能被盜。

　　四、2020年醫療數據泄露的主要原因

　　黑客和其他IT事件在2020年的醫療數據泄露報告中占主導地位。這些事件包括漏洞利用、網絡釣魚、惡意軟件和勒索軟件攻擊，后者在最近幾個月大幅增加。

　　根據Check Point報告顯示，2020年10月份，針對醫療保健提供商的勒索軟件攻擊增加了71%，2020年最后兩個月，醫療保健網絡攻擊又增加了45%。2020年影響醫療保健行業的一些年度最大、最具破壞性的入侵都涉及勒索軟件。在許多情況下，系統連續數周無法工作，病人服務受到影響。Ryuk、Sodinokibi（REvil）、Conti和Egregor勒索軟件是罪魁禍首。在整個大流行期間，醫療保健行業一直是嚴重的目標。Emsisoft的數據顯示，2020年，美國至少有560家醫療機構在80起不同的事件中受到勒索軟件攻擊的影響。

　　未經授權的訪問/披露事件占全年違規事件的22.27%和2.69%。這些事件包括訪問醫療記錄的惡意內部人員、醫療工作者窺探醫療記錄、意外向未經授權的個人泄露PHI數據、以及暴露患者數據的人為錯誤。