美国健康与人类服务部对医疗数据安全调查

重点概述

美国健康与人类服务部HHS对Change Healthcare的安全和隐私实践展开了广泛调查，主要是针对上个月发生的严重勒索软件攻击。该调查将评估Change Healthcare及其母公司UnitedHealthcare Group是否符合健康保险可移植性和责任法案HIPAA的合规要求。自攻击被揭露以来，美国医疗体系部分领域仍在努力恢复正常，这起事故被美国医院协会称为美国卫生系统历史上最重大的事件之一。

HIPAA合规性受关注

在3月13日发给医疗服务提供者的公开信PDF，OCR主任梅拉尼方特斯雷纳表示，此事件的调查是基于“此次网络攻击前所未有的规模，以及在患者和医疗提供者的最佳利益下进行”。

OCR负责执行HIPAA的隐私、安全和泄露通知规则，这些规则涉及医疗信息的保护，以及医疗提供者和其他从事医疗行业的组织。

“OCR对Change Healthcare和UHG的调查将关注是否发生了受保护健康信息的泄露，以及Change Healthcare和UHG是否遵守HIPAA规则。” 方特斯雷纳表示。

作为美国最大支付交换平台，Change Healthcare与超过70000家药房、医生和其他服务提供者有着广泛的关联。方特斯雷纳指出，此次调查虽然“优先考虑”的是与Change Healthcare和UHG有合作关系的实体，但仍提醒相关方关注自己的合规义务和责任。

“虽然OCR并不优先对与此攻击相关的医疗提供者、健康计划和商业合作伙伴实施调查，但我们提醒那些与Change Healthcare和UHG合作的实体确保业务伙伴协议得以落实，并及时向HHS及受影响个人进行泄露通知，以遵守HIPAA规则。”她说。

她还补充道，OCR鼓励所有相关方紧急审查他们现有的网络安全措施，以确保必要的患者护理能够持续进行，同时保护健康信息。

大型医疗数据泄露的上升趋势

HHS表示，勒索软件和黑客攻击是医疗领域面临的主要网络威胁。在过去五年中，涉及黑客攻击的大型泄露事件报告增加了256，而勒索软件事件的增加幅度更是高达264。

根据HHS，去年的大型数据泄露事件影响了超过134亿美国人，比2022年增加了141。在2023年，79的大型泄露事件都是由于黑客引起的。

在对Change Healthcare发动攻击后，ALPHV/BlackCat团伙收取了被认为是UHG支付的2200万美元赎金，随后其勒索软件运营在显然是一次跑路诈欺的情况下随之关闭。这一变化使得该团伙的一名宣称参与了黑客攻击的联盟成员对未能获得自己分成感到不满，并公开表示自己被诈骗的情况。