醫療保險業巨頭聯合健康保險(United Health Group)旗下公司2月遭受網絡攻擊後,母公司經過整整8個月才披露影響範圍,承認事件中共有1億多用戶的敏感資料外洩,創下醫療行業最大宗的黑客盜竊案。
綜合TechCrunch及英國《每日郵報》報道,聯合健康保險公開數字後,衛生及公共服務部24日已在政府平台上通報受影響人數,外洩的信息包括民眾姓名、地址、出生日期、電話號碼及電郵地址;社安號、駕駛執照、護照號碼等身分信息;以及診斷結果、配藥紀錄、護理與治療詳情、醫療保險計劃等等,犯罪分子若整理資料,更可從保險理賠和付款數據中,掌握大量用戶的財物與銀行信息。
事發在今年2月21日,聯合健康保險旗下的Change Healthcare遭受黑客入侵,公司為了能保護系統而將大部分服務撤離網絡,導致多家醫療機構無法處理患者保險及賬單事宜,因此事件曝光。聯合健康保險表示,這次攻擊來自俄羅斯網絡勒索團夥ALPHV/BlackCat,該組織後來亦承認責任。
但在過去幾個月中,聯合健康保險對事件影響一直諱莫如深,7月時一度表示,預料只有500人受影響,公司也從7月下旬開始通知相關民眾,但這次外界赫然發現,牽連人數竟然超過1億人。
事件已經驚動國會,議員要求修改法例,讓玩忽職守的醫療機構面對罰款時,不再受到上限保護,管理層若向政府謊報網絡安全狀況的話,甚至可以被判入獄。
現行法律規定,業者每次違反《醫療保險流通與責任法案》(HIPPA),最高可被罰款200萬元,之前最嚴重的醫療資料外洩個案是2015年的安森(Anthem)事件,當年7880萬名用戶資料外洩,安森事後被罰款1600萬元。專家表示,這個程度的罰款對醫保巨頭無法起到震懾作用。本報訊
