位于路易斯安那州的Lake Charles Memorial Health System湖Charles纪念健康系统最近发生的数据泄露事件,引起了安全研究人员的疑问,为什么医院花了近两个月才通知受影响的患者。
根据医院发布的声明,此数据泄露事件发生在今年10月21日,涉及到的患者信息包括姓名、地址、出生日期、医药记录或患者识别号码、健康保险信息、支付信息以及有限的临床治疗信息。在某些情况下,还包括患者的社会安全号码。
然而,声明指出,医院在12月23日才开始寄送通知信,告知患者数据泄露事件,整整延迟了两个月。虽然后来医院在11月16日发布了一份简短声明,确认网络上出现了未授权的活动,但声称医院的网络安全团队“迅速识别并阻止了该活动”,并表示“该事件未影响LCMH的患者护理或临床操作。”声明中并未提及患者数据的被盗或泄露,但医院官员显然已通知执法部门,并承诺将与之合作,并“根据适用法律和法规通知受影响的个人。”
SC Media已联系湖Charles纪念医院以进行评论,并询问是否做出任何努力以更早通知受影响的患者。
网络安全专家指出,如果医院确实等待了两个月才通知受影响的患者,那么尚不清楚是什么原因导致要延迟通知。
“最让人担忧的是,他们在10月份已经知道数据丢失事件,却在近两个月内没有任何通知,”Netenrich的首席威胁猎人John Bambenek表示,“企业丢失PHI数据并非仅仅是监管事件。真正的受害者是那些将面临数据滥用现实伤害的患者和员工。”
根据BleepingComputer的报道,Hive勒索软件集团于2022年11月15日在其数据泄露网站上列出了湖Charles医院,这通常是在未能达成赎金谈判后采取的步骤。黑客声称加密发生在2022年10月25日,即医院在公共声明中首次报告网络入侵后四天。
医院表示,计划为社会安全号码可能受到影响的个体提供免费的信用监测和身份盗窃保护服务。患者也被鼓励查看来自健康保险公司和医疗服务提供者的账单,如果发现未接受的服务,应立即联系他们。
Delinea的首席安全科学家兼顾问CISO Joseph Carson强调,被盗的医疗信息对受害者来说极为敏感,数据收集者和处理者必须确保受害者及时收到通知,以便他们能够主动监测数据滥用情况。可惜的是,与信用卡不同,信用卡在遭到泄露后可以快速更换并回归正常,而某些医疗记录在被盗或披露后则无法替换或删除。
tk加速器“财务欺诈可以迅速解决,但被盗的身份可能需要数月甚至数年才能解决,”Carson表示,“由于医疗记录对网络犯罪分子极为敏感且价值高,医疗机构必须高度重视,采取最佳安全措施来保护PHI,例如强加密、特权访问安全和多因素认证。”
