Apria Healthcare 数据泄露：时间延误引发关注

关键要点

• Apria Healthcare 在 5 月 22 日通知了超过 180 万患者和员工，他们的个人、财务和健康数据在系统攻击中被访问。
• 公告显示，该公司在 18 个月前就已知晓该安全漏洞，但延迟通知客户。
• 根据《健康保险流通与问责法》（HIPAA），医疗服务提供者需及时向受影响者报告数据泄露情况。
• 黑客攻击已成为最严重的医疗信息隐私和安全威胁，相关机构呼吁医疗组织重视及时响应安全事件。

Apria Healthcare 于 5 月 22 日通知了超过 180万患者和员工，称他们的个人、财务和健康数据在一次系统攻击中被访问。然而，这家家庭医疗设备供应商于 18 个月前首次获悉此安全漏洞。

根据，受保护的健康信息（PHI）提供者和相关供应商必须及时告知患者其个人信息受到危害的情况。

根据，受保护的实体需在“发现后60天内”向受影响的个人、办公室和（在特定情况下）媒体报告影响500人及以上的泄漏事件。然而，尽管规定非常明确，但许多报告实体常常忽视这一规则，原因往往归结为调查过程漫长。

鉴于黑客攻击事件的上升以及泄露通知的延迟，最近向医疗机构发出了提醒，强调及时响应安全事件的重要性，称黑客行为是“对受到保护的健康信息隐私和安全的最大威胁”。

然而，Apria 的泄露通知并未解释为何会在超出规定的最长期限之后再通知患者他们的数据已被泄露。

该公司于 2021 年 9 月 1 日首次获悉“部分”系统被未经授权的第三方访问。Apria 迅速采取措施减轻事件的影响，并联系了 FBI和一家外部取证团队进行调查以安全解决该事件。

调查人员确定，访问事件发生在两个为期数月的时间段：从 2019 年 4 月 5 日到 2019 年 5 月 7 日，以及再次从 2021 年 8 月 27日到 2021 年 10 月 10 日。官方表示，他们认为“未经授权访问的目的是为了欺诈性地从 Apria 获得资金，而不是访问其患者或员工的个人信息。”

Apria 并未发现有资金被取出，但确认有一小部分电子邮件和文件被访问，且没有证据表明有任何数据从系统中被取走。

“潜在的访问”信息因个人而异，可能包括个人、医疗、健康保险或财务信息，部分社会安全号码也已暴露。所有受影响的患者将获得身份保护服务。

Apria 随后对“可能受影响的系统进行了全面审查”，并添加了更多安全措施以防止再次发生。官方表示：“我们非常重视您信息的保护和适当使用。”

Clearwater 咨询服务副总裁 David Bailey 表示，Apria所采取的若干步骤是建议任何处理网络事件的组织应采取的措施：立即响应、减轻威胁、确定影响并恢复正常运营。

“各组织遵循适当的联邦和州数据泄露报告指南至关重要，”Bailey 继续说道。“在 Apria的情况下，几乎18个月未报告事件的决定将引起特别关注。随着新的法律法规的发布，这一时间框架可能会缩短，低于 30 或 60 天的限制。”

即便有近 200 万个受影响个体，按单一实体这仍是今年报告的第五大医疗数据泄露事件。