2024 年,各组织向美国政府通报了 580 多起医疗保健数据泄露事件,共影响近 1.8 亿条用户记录。
对美国卫生与公众服务部民权办公室 (HHS OCR) 维护的 医疗保健违规数据库进行分析,该数据库存储了影响 500 多名个人受保护健康信息的事件信息。
OCR 获悉,2024 年 1 月 1 日至 2024 年 12 月 31 日期间发生了 585 起事件。将每次违规行为的数字加起来,大约有 1.8 亿人受到影响。
然而,同一个人可能受到 HHS 披露的多次数据泄露事件的影响,由于这些事件存在重叠,实际受影响的总人数可能少于 1.8 亿。更准确的说法是,有 1.8 亿用户记录在数据泄露中被泄露。
受影响的信息可能包括姓名、联系方式、出生日期、社会安全号码、保险信息、医疗信息甚至财务信息。
在全部数据泄露事件中,有 440 起影响到了医疗保健提供商。另一种受影响最严重的实体类型是医疗保健业务合作伙伴,该类事件占了近 100 起。医疗计划涉及近 60 起事件。
近 500 起事件被描述为“黑客/IT 事件”,其中包括勒索软件攻击。第二大常见事件类型涉及未经授权的访问或披露。
其中近 400 起违规行为涉及网络服务器,约 130 起涉及电子邮件。
OCR 数据库还会跟踪受影响组织所在的州。德克萨斯州发生的事件最多(56 起),其次是加利福尼亚州(43 起)、纽约州(34 起)、伊利诺伊州(33 起)、佛罗里达州(28 起)、俄亥俄州(26 起)、马萨诸塞州(22 起)、密歇根州(22 起)、田纳西州(21 起)和宾夕法尼亚州(21 起)。
2024 年最大的医疗保健数据泄露事件影响了Change Healthcare。针对该公司的勒索软件攻击导致约 1 亿个人的信息被盗。
受到重大数据泄露影响的组织名单还包括Kaiser Permanente(1340 万)、Ascension Health(550 万)、HealthEquity(430 万)、Concentra Health Services(390 万)、医疗保险和医疗补助服务中心(310 万)、Acadian Ambulance Service(280 万)、A&A Services, dba Sav-Rx(280 万)、WebTPA(250 万)和Integris Health(230 万)。
其他医疗保健数据泄露事件受害者人数均超过一百万,涉及的机构包括医疗管理资源集团(230 万)、Summit Pathology(180万)和Geisinger(120 万)。
