Nhà cung cấp dịch vụ chăm sóc sức khỏe làm rò rỉ nhiều dữ liệu

Nghiên cứu mới từ Đại học bang Michigan và Đại học Johns Hopkins cho thấy hơn một nửa số thông tin y tế cá nhân gần đây, hoặc PHI, vi phạm dữ liệu là do các vấn đề nội bộ với các nhà cung cấp dịch vụ y tế - không phải vì tin tặc hoặc bên ngoài.

"Không có cách nào hoàn hảo để lưu trữ thông tin, nhưng hơn một nửa số trường hợp chúng tôi xem xét không được gây ra bởi các yếu tố bên ngoài - mà là do sơ suất nội bộ", John (Xuefeng) Jiang, tác giả chính và phó giáo sư về hệ thống kế toán và thông tin tại Trường Kinh doanh Eli Broad của MSU.

Nghiên cứu được công bố trên JAMA Internal Medicine, theo nghiên cứu chung năm 2017 cho thấy mức độ vi phạm dữ liệu bệnh viện tại Hoa Kỳ. Nghiên cứu cho thấy gần 1.800 lần xuất hiện các vi phạm dữ liệu lớn trong thông tin bệnh nhân trong 7 năm, với 33 bệnh viện trải qua nhiều lần vi phạm đáng kể.

Đối với bài báo này, Jiang và đồng tác giả Ge Bai, phó giáo sư tại Trường Kinh doanh Cares Johns Hopkins, nghiên cứu sâu hơn để xác định các yếu tố gây ra sự vi phạm dữ liệu PHI. Họ đã xem xét gần 1.150 trường hợp từ tháng 10 năm 2009 đến tháng 12 năm 2017 đã ảnh hưởng đến hơn 164 triệu bệnh nhân.

"Mỗi lần một bệnh viện có một số loại vi phạm dữ liệu, họ cần phải báo cáo cho Sở Y tế và Dịch vụ Nhân sinh và phân loại những gì họ tin là nguyên nhân", Giang, Plante Moran Fellow, cho biết. "Những nguyên nhân này rơi vào sáu loại: trộm cắp, truy cập trái phép, hack hoặc sự cố CNTT, mất mát, xử lý không đúng cách hoặc 'khác'."

Sau khi xem xét các báo cáo chi tiết, đánh giá các ghi chú và phân loại lại các trường hợp với các tiêu chuẩn cụ thể, Jiang và Bai nhận thấy rằng 53% là kết quả của các yếu tố bên trong trong các tổ chức y tế.

"Một phần tư của tất cả các trường hợp là do truy cập trái phép hoặc tiết lộ - gấp hơn hai lần số tiền do các tin tặc bên ngoài gây ra", Jiang nói. "Đây có thể là nhân viên lấy PHI về nhà hoặc chuyển tiếp đến tài khoản cá nhân hoặc thiết bị, truy cập dữ liệu mà không được ủy quyền hoặc thậm chí thông qua lỗi email, như gửi nhầm người nhận, sao chép thay vì sao chép hoặc chia sẻ nội dung không được mã hóa."

Trong khi một số lỗi có vẻ là thông thường, Jiang nói rằng những sai lầm lớn có thể dẫn đến tai nạn lớn hơn và những lỗi dường như vô hại có thể làm tổn hại đến dữ liệu cá nhân của bệnh nhân.

"Các bệnh viện, văn phòng bác sĩ, công ty bảo hiểm, văn phòng bác sĩ nhỏ và thậm chí cả các nhà thuốc đều đang mắc các loại lỗi này và khiến bệnh nhân gặp rủi ro", Jiang nói.

Trong số các vi phạm từ bên ngoài, hành vi trộm cắp chiếm 33% với việc hack chỉ chiếm 12%.

Trong khi một số vi phạm dữ liệu có thể dẫn đến hậu quả nhỏ, chẳng hạn như lấy số điện thoại của bệnh nhân, những người khác có thể có nhiều tác dụng xâm lấn hơn. Ví dụ: khi Anthem, Inc. bị vi phạm dữ liệu vào năm 2015, 37,5 triệu bản ghi đã bị xâm phạm. Nhiều nạn nhân đã không được thông báo ngay lập tức và không nhận thức được tình hình cho đến khi họ nộp thuế, chỉ để phát hiện ra rằng bên thứ ba đã gửi cho họ một cách gian lận dữ liệu họ thu thập được từ Anthem.

Trong khi phần mềm và bảo mật phần cứng chặt chẽ có thể bảo vệ khỏi trộm cắp và tin tặc, Jiang và Bai đề nghị các nhà cung cấp chăm sóc sức khỏe áp dụng các chính sách và quy trình nội bộ có thể thắt chặt các quy trình và ngăn chặn các bên nội bộ rò rỉ PHI bằng cách thực hiện theo một loạt các giao thức đơn giản. Các thủ tục để giảm thiểu vi phạm PHI liên quan đến lưu trữ bao gồm chuyển từ giấy sang hồ sơ y tế kỹ thuật số, lưu trữ an toàn, chuyển sang các chính sách phi di động cho thông tin được bảo vệ bởi bệnh nhân và triển khai mã hóa. Các thủ tục liên quan đến giao tiếp PHI bao gồm xác minh bắt buộc người nhận thư, tuân theo giao thức "sao chép so với bản sao ẩn" (bcc so với cc) cũng như mã hóa nội dung.

"Không đặt trên toàn bộ áo giáp mở các thực thể chăm sóc sức khỏe để tấn công của kẻ thù," Bai nói. "Tin tốt là áo giáp không phải là khó khăn để đưa vào nếu giao thức đơn giản được theo sau."

Tiếp theo, Jiang và Bai dự định xem xét kỹ hơn các loại dữ liệu bị tấn công từ các nguồn bên ngoài để tìm hiểu chính xác những kẻ trộm kỹ thuật số hy vọng sẽ ăn cắp dữ liệu bệnh nhân nào.