2021-ben több mint 17 milliónyi egészségügyi adatrekordot érintett biztonsági incidens az Egyesült Államokban

Az egészségügy sehol nincs könnyű helyzetben. A nagymennyiségű és meglehetősen érzékeny adatokkal dolgozó egészségügyi informatika gyakran a modern technológiáktól jócskán lemaradva, a kibertámadásokkal szemben különösen kitetten működik, ezért a legtöbb ország jelentős erőforrásokat fordít az egészségügyi informatika fejlesztésére. 

Nincs ez másképp az Egyesült Államokban sem. Az Obama-kormányzat még 2009-ben fogadta el az egészségügyi informatika fejlesztését, használatát ösztönző "HITEC Act." névre keresztelt törvénycsomagot, amely ösztönzi az egészségügyi IT befogadását és ésszerű használatát. 

Az amerikai Egészségügyi Minisztérium a HITEC Act. 13402(e)(4) pontja alapján gyűjti és listázza az olyan biztonsági incidenseket, amelyekben egészségügyi adatok is érintettek. A listán olyan események szerepelnek, amelyek legalább 500 vagy több személyt érintenek. 

Az adatbázis szerint 2021 májusáig összesen 244 incidens következett be, amely együttesen legalább 17 162 677 személyt érintettek. 

A listán csak olyan események szerepelnek, amelyek 500 vagy több személyt érintettek

Látható, hogy az esetek csaknem 70%-ban közvetlenül az informatikai rendszert érintő és behatolással vagy hackeléssel összefüggésbe hozható események következtek be, amelyek együttesen 16,4 millió személyt érintő adatszivárgásért felelősek. 

A jogosulatlan hozzáférések vagy véletlen közzétételek miatt bekövetkező 62 esemény  csak a második a vektorok listáján és "alig" 660 ezer személy egészségügyi adatainak kompromittálódásáért felelős. 

Az események források, tárolási helyek alapján csoportosítva

Érdekes tény, hogy több mint 102 ezer személy esetében az adatszivárgás nem az IT területet, hanem a "klasszikusabb" papír, mikrofilm vagy egyéb képi adattárolásokat érintette.

Ez mindenképpen rámutat arra, hogy az adatszivárgás nem csak informatikai rendszereket érintve következhet be, ezért az adatszivárgás elleni védelmi intézkedéseknek ki kell terjednie például a papíralapú adathordozók kezelésére is.

Erre jó példa az az egy esemény is, amely "csak" csak 58 ezer személyt érintett, azonban a papíralapú adathordozók selejtezésének és megsemmisítésének hiányossága miatt következhetett be (Improper Disposal).

Ez az eset különösen érdekes abból a szempontból, hogy az érintett New England Dermatology 10 éven keresztül nem foglalkozott azzal, hogy a használt mintavételes üvegeken  ott szerepel a betegek neve, születési dátuma, a mintavétel dátuma és egyéb adatai. Csak 2021 márciusában jöttek rá arra, hogy ezeket az üvegeket nem feltétlenül kellene az egészségügyi hulladék közé dobni anélkül, hogy a személyes adatokat tartalmazó címkéket ne tennék olvashatatlanná. 

Forrás: U.S. Department of Health and Human Services Office for Civil Rights - Breach Portal