萨斯喀彻温省的信息和隐私专员表示,黑客窃取了超过7000人的医疗和个人信息。此次数据泄露事件发生在今年早些时候,涉及由医疗公司Innomar在萨省运营的四家诊所的电子病历。此次攻击并未影响Innomar在该省的药房。
这些私人诊所提供实验室检测和血液检查服务,分布在里贾纳、萨斯卡通、北巴特尔福德和普林斯阿尔伯特四个城市。
根据萨省信息与隐私专员罗纳德·克鲁泽尼斯基(Ronald Kruzeniski)的报告,Innomar Strategies Inc.及其母公司Cencora于2024年2月21日首次发现其系统遭到入侵。而首次“未经授权的访问”发生在一个月前。自2月21日以来,Innomar表示未发现进一步的入侵行为。
2024年4月21日,Innomar确认以下信息已从其系统中被“外泄”:
- 姓名、地址、出生日期
- 身高、体重
- 电话号码、电子邮件地址
- 服务日期和地点
- 健康诊断/状况
- 药物/处方信息
- 病历编号、患者编号、健康保险/订阅编号
- 签名、实验室结果和医疗记录
2024年5月9日,Innomar向隐私专员办公室(IPC)报告了此次泄露事件。
“Innomar主动向我的办公室报告了此次隐私泄露,包括他们认为有7293名萨省居民受到了影响,”克鲁泽尼斯基的报告中写道。
延迟通知受影响用户
报告指出,Innomar在向受影响用户报告泄露信息方面存在延迟。直到2024年5月31日,Innomar才通过信件通知了受影响的个人。
“Innomar解释称,尽管2024年2月21日发现数据外泄,但直到2024年4月10日才确定个人健康信息被泄露,”克鲁泽尼斯基表示。
泄露分两阶段发生
克鲁泽尼斯基还表示,此次泄露分为两个阶段发生:
“首先,威胁者成功入侵了Cencora某子公司的一台服务器。随后,利用当时的网络分段策略,威胁者获得了凭据,从该子公司的系统横向移动至Innomar的系统。”最终,黑客获取了个人健康信息。
改进措施与建议
Innomar表示,已采取措施防止类似事件再次发生,并为受影响的个人提供了两年的信用监测服务。隐私专员办公室建议将该服务延长至至少10年,称“数据在威胁者手中可以长期保存,可能会在个人最意想不到的时候被泄露。”
此次事件再次引发了人们对个人健康数据保护的关注。克鲁泽尼斯基呼吁采取更多措施,提高信息安全标准,并加强对违规行为的监管。
