MediSecure数据泄露:对医疗服务和患者的影响

MediSecure数据泄露事件突显了医疗保健行业易受此类攻击的脆弱性,单位和医疗保健提供者必须共同努力,更好地保护敏感的健康数据。MediSecure是一家澳大利亚的处方配送服务提供商,2024年4月遭遇了一次勒索软件攻击(时间表见表1)。此次攻击影响了约1290万澳大利亚人,导致敏感的个人和健康信息被泄露到暗网上出售。

据报道,被盗数据包括姓名、出生日期、地址、医疗保健标识符、Medicare卡号和处方详情。医疗保健行业易受此类攻击的原因之一是健康数据对网络犯罪分子的高价值,使其成为主要目标。此次事件加剧了澳大利亚日益频繁的医疗数据泄露趋势。2019年至2020年之间,澳大利亚医疗保健部门报告的网络安全事件增加了84%。这些大规模的网络安全事件凸显了保护医疗记录机密性的重要性,因为数据泄露可能造成实际伤害。

报告显示,64%的澳大利亚人对大型组织保护其个人数据的能力缺乏信心。尽管澳大利亚人对隐私问题感到担忧,但许多人可能并未意识到身份盗窃或诈骗对他们个人的影响。最近的一项关于个人对数据泄露的认知、感知和反应的研究表明,73%的参与者受到了至少一次泄露的影响,74%的参与者不知道泄露影响了他们。尽管一些人表示有意采取行动,但大多数参与者认为泄露不会对他们产生影响。

此外,研究表明,许多人不了解潜在的长期后果,包括身份盗窃和个人健康信息的滥用。这些犯罪的影响可能很严重,这凸显了在医疗保健中建立强有力的信息安全治理的重要性。紧急需要改革
澳大利亚信息专员办公室(OAIC)一直强调需要对隐私法进行全面改革,以应对不断变化的威胁环境,更好地保护澳大利亚人的个人信息。OAIC的报告,如“可通知数据泄露”

(NDB)计划报告,表明医疗保健行业仍然是数据泄露最严重的行业之一。这些泄露通常是由于数据处理过程不完善、人为错误和恶意攻击造成的,指出需要更强有力的法律框架和组织实践。由OAIC和总检察长部门支持的《隐私法》修订案,旨在确保隐私法律跟上技术进步的步伐,并在数据泄露频率和严重性增加的情况下,提供更强有力的个人数据处理框架。

关于将隐私和信息安全的各个方面整合到特定于医疗保健环境中全面的组织治理策略,仍存在重大的证据缺口。表1中提到的策略与澳大利亚信号局的“基本8项”框架一致,该框架旨在帮助组织减轻网络安全风险。然而,为了真正保护敏感的健康数据,这些策略必须作为医疗保健组织中全面信息安全治理框架的一部分加以实施。

大多数现有证据要么集中在网络安全的技术方面,要么集中在孤立的组织和行为因素上,组织和个人可能没有意识到他们面临的风险的重要性。表2列出了个人保护其信息的动作,以及澳大利亚信号局的“基本8项”,该框架用于使组织能够减轻网络安全风险。我们的研究
我们正在开展一项研究计划,通过理解技术系统、人为因素和组织治理控制之间的相互依赖关系,帮助弥合这一鸿沟。

这需要全面理解信息安全治理,特别是在持续的数字化转型(包括人工智能的使用)和健康数据敏感性的背景下。在我们的研究计划中,我们寻求探索一种全面的信息安全治理方法,强调整合技术和非技术控制以防范网络威胁。我们正在澳大利亚各地开展涉及多样化医疗保健利益相关者的混合方法研究。我们预计这种方法将为医疗保健专业人员对当前信息安全实践的看法以及采用更强有力的治理机制的障碍提供新的见解。

这可能会为更有效地保护存储在医疗保健组织中的敏感和重要的健康数据提供更合适的信息安全机制。展望未来,单位和医疗保健提供者必须实施适当且有效的信息安全措施,改革过时的立法,并培养全面的主动性风险管理文化。通过这样做,我们可以共同努力,更好地保护敏感的健康数据,并保持公众对数字健康系统及相关创新的信任。Lisa Pomrey女士目前管理昆士兰卫生部增长最快的公共健康和医院服务的信息安全团队。

她在医疗、临床科学、信息通信技术、商业和网络安全领域拥有30年的经验。她也是昆士兰科技大学正在攻读博士学位的研究生,研究领域是医疗保健信息安全治理的创新。Shane Black博士是一位技术顾问和学者,拥有超过30年的IT经验,专注于数字化转型和流程改进。他在多个行业工作,提供战略领导以优化技术流程并推动创新。Amina Tariq是昆士兰科技大学公共卫生与社会工作学院的数字健康副教授。

她的研究强化了全球数字健康议程,使健康利益相关者能够采用基于证据的方法,以减少与技术相关的患者安全风险,同时最大化效率收益。Steven McPhail教授是健康系统创新者、健康服务研究员、健康经济学家和临床医生。他是澳大利亚健康服务创新中心(AusHSI)和昆士兰科技大学医疗转型中心的主任,担任健康服务研究教授。

他的工作在国内外具有影响力,包括在世界银行、欧盟、经合组织和世界卫生组织的相关政策文件中被引用。本文中表达的观点或意见反映了作者的观点,不一定代表澳大利亚医学协会(AMA)、《澳大利亚医学杂志》(MJA)或InSight+的官方政策,除非另有说明。作者不在本文中提及的任何公司或组织中工作、咨询、持有股份或获得资助,并且除学术任命外,无其他相关关系。