医疗保健的电子邮件安全问题是一个合规性和取证的噩梦 媒体

• 2025-11-13 19:09:35

医疗行业中的电子邮件安全挑战

关键要点

在医疗行业，电子邮件被频繁黑客攻击，这不仅带来了安全问题，也从合规角度上增加了报告的复杂性。Fortified Health Security的首席执行官Dan L Dodson指出，电子邮件是主要的攻击途径，其主要通过 phishing 攻击方式进行，因为“终端用户显然是组织风险最大的入侵点之一”。

根据SC Media的调查，2022年，针对健康和人类服务部报告的电子邮件相关事件超过122起，受影响的患者超过133万人。这些事件的规模从500名患者通常以此方式标记以指示调查正在进行中到高达502869名患者不等。

尽管有些时间段内的漏洞事件值得注意，更令人担忧的是从发现到通知受影响患者和监管机构之间的时间间隔。

例如，在2022年报告的最大电子邮件黑客事件中，Christie Business Holdings在四月报告了一起单一电子邮件账户的黑客事件。这家位于伊利诺伊州的大型多专业医疗集团在通知中没有包含发现日期，仅提到调查结束的时间。该调查在2022年1月27日结束，而黑客事件发生在六个月前，即2021年7月14日至8月19日。

调查结束后，通知在接下来的三个月才发送。根据《健康保险可携带性和责任法案》，被覆盖实体及相关商业合作伙伴必须在发现数据泄露后的60天内报告，而不是在调查结束后。

当含有健康数据时，“转折点”无效

在许多情况下，黑客并不真正关注这些账户中保存的数据。他们的目标通常是通过服务器黑客或社会工程攻击，寻找未受保护或半保护的数据。“大多数情况下，黑客攻击是一次便利的犯罪，”Golder表示。他们通常并不会具体针对某一个人，而只是寻找那些能输入密码的对象。有时他们甚至会通过伪装成技术支持的电话进行真正的社会工程攻击。

提到电子邮件的趋势时，Golder还审查了OCR的漏洞报告工具，并对这些事故的规模感到震惊。“简直令人难以置信”有多少人受到影响。“这里的风险简直超出预期。”

电子邮件相关漏洞报告的常见问题

许多电子邮件相关的漏洞通知还包含一个重大警示：“然而，证据无法明确判断哪些账户中的数据被访问过。”Long解释道，这通常是因为缺乏对账户内操作的可见性。

黑客可能会重置密码并欺骗员工窃取他们的密码，然后进入其他系统，导致进一步的损害。他们还可能会钓鱼其他内部账户以发起勒索软件攻击或其他黑客攻击，而对这些账户中的数据并不感兴趣。

隐私团队会立刻想知道攻击者访问的电子邮件账户中有什么受保护的健康信息。Long指出，问题在于，许多电子邮件系统并不记录哪个电子邮件被打开或阅读。在一些监管不严格的行业中，或许不需要这样的洞察。但在涉及受保护健康信息的情况下，被覆盖实体失去了对任何系统或账户的控制，责任就完全落在了其身上，需要证明或否定是否存在未授权访问PHI的情况。

验证电子邮件的合规性噩梦

如果一个实体的电子邮件账户中有数万个电子邮件，在账户被黑之后，隐私团队需要知道该账户中的数据。安全团队需要提取整个账户的数据，并通过扫描引擎查找PHI和信用卡信息。

这种情况下，“是个巨大的挑战，因为大多数隐私合规和法律团队的立场是‘如果他们进去了，我们就必须假设他们看到了数据，因为我们不能证明他们没有看过’。”Long补充道。于是这些团队“必须逐一检查”这些账户。如果是医生的账户，取证期间可能会包含