醫(yī)療衛(wèi)生服務企業(yè)Patient Home Monitoring（簡稱PHM）的一套Amazon S3存儲桶配置錯誤并提供公開訪問，泄露數(shù)據(jù)包含約47.5 GB數(shù)據(jù)，共存在約31萬6千個PDF文件檔案，根據(jù)上個月安全研究人員們的在線調(diào)查結(jié)果，預計約美國15萬患者的姓名、地址、醫(yī)生和病例紀錄以及周常血液檢查結(jié)果等敏感隱私信息。

　　這些文件與Patient Home Monitoring Corporation（簡稱PHM）這家醫(yī)療衛(wèi)生服務企業(yè)有關(guān)，該公司專門為美國患者提供家庭監(jiān)測與疾病管理服務。

　　　　來自Kromtech安全中心的研究人員們發(fā)現(xiàn)的這批記錄被存儲在一套未經(jīng)保護的Amazon S3存儲桶內(nèi)。

Kromtech方面表示，這些泄露的文件可供公開訪問且未受密碼保護。

　　今年9月29日改數(shù)據(jù)泄露事件被首次發(fā)現(xiàn)，Krometch安全研究員Bob Diachenko（鮑勃·迪亞琴科）隨即向Gizmodo（一個美國科技博客）作出報告。

　　10月5日，PHM方面發(fā)布警告，指出歸屬于該公司的敏感醫(yī)療記錄確已遭到外泄。

同一天，該Amazon S3存儲桶亦被保護起來。

然而，PHM方面并沒有對Kromtech提出的查詢請求給予回應。

　　Amazon S3存儲桶配置錯誤導致數(shù)據(jù)泄露。

Kromtech 公司戰(zhàn)略聯(lián)盟副總裁Alex Kernishniuk（亞歷克斯·柯尼什紐克）指出，“這套Amazon存儲庫存在配置錯誤，導致其可供公開訪問，任何接入互聯(lián)網(wǎng)的人士皆可訪問這些保密醫(yī)療記錄。

然而，這樣的問題即使是最為基本的安全舉措也足以預防此類數(shù)據(jù)泄露問題。

”　　與涉及Amazon服務器的大部分數(shù)據(jù)泄露事故一樣，文件暴露的具體時長并不清楚，也無法斷定在該公司發(fā)布通告之前是否有其他人士下載了相關(guān)記錄。

根據(jù)Kromtech方面的說法，這些記錄與今年夏季進行的醫(yī)療測試有關(guān)。

　　Gizmodo方面審查的泄露記錄之一顯示，一名居住在田納西州的患者被診斷患有心房纖維性顫動，屬于一種嚴重疾病，具體癥狀包括心跳異常（心律不齊），已知可能導致心臟衰竭、中風以及多種其它嚴重健康風險。

記錄顯示，該患者一直在接受一系列家庭內(nèi)血液檢測，旨在及時向醫(yī)生報告血塊以及由血液稀釋藥物所引發(fā)的意外內(nèi)出血等問題。

　　美“HIPAA法案”對醫(yī)療數(shù)據(jù)泄露有何要求？　　除了姓名、居住地址以及其它聯(lián)系信息之外，大部分記錄還包含病患的出生日期、診斷結(jié)果以及負責監(jiān)督患者護理情況的醫(yī)生姓名。

這些皆屬于美國《健康保險流通與責任法案》（簡稱HIPAA）要求需要嚴格保護的信息范圍。

　　PHM作為相關(guān)實體，有責任遵循法律規(guī)定以制定并實施政策與規(guī)程，從而確保其“創(chuàng)建、接收、維護或者傳輸”的任何電子健康信息（簡稱ePHI）受到嚴格保護。

　　通報患者要求　　根據(jù)HIPAA提出的“違規(guī)通知規(guī)定”，醫(yī)療衛(wèi)生服務供應方必須在“避免不合理的延誤”且“在不晚于違約事件發(fā)現(xiàn)后60天”的周期內(nèi)向數(shù)據(jù)泄露影響到的病患發(fā)出通知。

另外，如果供應商面對超過10名聯(lián)系信息“不充分”或者已經(jīng)過期的病患，則必須以90天為周期在其官方網(wǎng)站上保留通知信息，或者立足受影響患者所在地區(qū)通過主要印刷與廣播媒體發(fā)布安全違規(guī)信息。

　　除此之外，HIPAA還要求服務供應商在受影響病患超過500名的情況下，立足其所在管轄區(qū)或州通過主要媒體發(fā)布新聞報道。

　　對服務供應商的罰款標準　　HIPAA還會對安全違規(guī)行為進行經(jīng)濟處罰。

如果服務供應商有合理理由而未能確定發(fā)生安全違規(guī)情況的原因，則單次事故的罰款可能低至100美元；但在極端情況一，例如服務供應商被發(fā)現(xiàn)存在“故障忽視”的行為，則每次違規(guī)行為的年罰款可高達150萬美元（約合人民幣988萬元）。

　　Kromtech方面此前一直在披露數(shù)據(jù)泄露事故，同時協(xié)助相關(guān)方保護受到影響的醫(yī)療衛(wèi)生信息。

今年早些時候，該公司在網(wǎng)絡上發(fā)現(xiàn)數(shù)萬條（總量甚至可能達到數(shù)百萬條）醫(yī)療記錄，其歸屬于紐約布朗克斯-黎巴嫩中心醫(yī)院。

這些記錄中包含廣泛的且高度敏感的病患文件，例如因化學品成癮而入院的病患的登記資料。

該公司目前已提供免費軟件設計服務，可幫助各企業(yè)了解其Amazon存儲桶是否安全。

　　美國對醫(yī)療數(shù)據(jù)的保護欠佳　　美國擁有著一套幾乎從任何角度來講都成本高昂但卻效率低下的醫(yī)療衛(wèi)生系統(tǒng)。

復雜的保險規(guī)則與扭曲的市場信號令效率一路走低，沮喪的患者與服務供應方因為大量文書工作的壓力而備感困擾。

　　而盡管數(shù)字記錄與病患家庭監(jiān)控確實能夠有效提升相關(guān)效率，但對醫(yī)療數(shù)據(jù)的保護無疑是一件需要加以高度重視的優(yōu)先事項。

　　如果您有數(shù)據(jù)加密軟件的需求，歡迎致電深圳維創(chuàng)信息科技有限公司！