2009年2月20日

4分鐘閱讀

醫院工作人員分享音樂?他們可能也在分享您的醫療記錄

達特茅斯大學研究人員發現,使用 Gnutella 或其他點對點 (P2P) 網路共享音樂和影片的醫護人員,可能會使您面臨醫療身份盜竊的風險

作者:拉里·格林邁爾

支援科學新聞

如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。透過購買訂閱,您正在幫助確保未來能夠繼續講述關於塑造我們當今世界的發現和想法的具有影響力的故事。

如果奧巴馬總統如願以償,每位美國人的醫療記錄將在 2014 年之前數字化。《經濟刺激方案》(在此閱讀文字) 包括 $190 億 美元的資金用於支付這項工作,並呼籲任命一位首席隱私官,就如何最好地保護這些敏感資訊向 美國衛生與公眾服務部 提供建議。如果一項關於他人可以線上輕鬆找到您的醫療記錄的新研究表明了什麼,那麼新的首席隱私官(將在未來 12 個月內任命)將面臨艱鉅的任務,因為數字醫療記錄的增加可能意味著醫療身份盜竊的增加。

達特茅斯學院塔克商學院運營管理教授 埃裡克·約翰遜 及其同事最近使用專門為掃描基於網際網路的點對點 (P2P) 檔案共享網路而編寫的軟體,發現了涉及數千人的機密醫療檔案,包括包含社會安全號碼、出生日期、醫療診斷和精神病學評估的患者賬單記錄和保險索賠。(即使沒有特殊的搜尋軟體,也可以找到相同型別的資訊,但速度不會那麼快,因為研究人員必須在他們訪問的每個 P2P 網路上搜索單個計算機。)

約翰遜的團隊透過在 P2P 網路(如 GnutellaFastTrackAriese-donkey)上搜索資料。 (訪問 eDonkey2000 網路表明它已不再可用。)洩露的資訊來自醫療保健組織本身、遠端工作的員工以及為這些組織執行賬單和其他服務的企業。“我們的目標是檢視洩露出來的資訊型別,而 P2P 只是瞭解這些組織的一個視窗,”約翰遜說,他將於週一在巴貝多舉行的 金融密碼學和資料安全 '09 會議上展示他的發現。

在 P2P 中,人們在特定網路上與其他使用者共享儲存在他們計算機上的資訊,這種做法最初由音樂交換服務 Napster 推廣開來。通常,P2P 使用者必須在他們的計算機上下載軟體,以便其他人可以搜尋他們的計算機以查詢不同的檔案。然而,允許其他 P2P 使用者訪問您的計算機意味著放棄您的防禦(包括旨在阻止窺探者和駭客的防火牆)。

例如,研究人員在搜尋 P2P 網路時,發現了一份政府僱傭申請,其中包含詳細的背景資訊,包括申請人的社會安全號碼、全名、出生日期和地點以及母親的孃家姓。具有諷刺意味的是,該檔案還包括一份三頁的介紹,重點介紹了政府為保護檔案中資訊而採取的 《電子通訊隱私法》措施。然而,達特茅斯大學 Glassmeyer/McNamee 數字戰略中心主任約翰遜補充說,“它不知何故最終出現在 P2P 網路上。”

根據約翰遜及其同事早先的一項研究,P2P 使用者——2007 年估計有 1000 萬用戶——通常認為,因為他們只是想分享音樂,所以他們計算機上的其餘檔案是禁止訪問的,SANS 研究所研究主管艾倫·帕勒說。“但是一旦你讓別人進入你的電腦,就沒有任何防禦措施了。”

在去年為期兩週的時間裡,約翰遜和他的團隊使用了位於賓夕法尼亞州克蘭berry Township 的 Tiversa, Inc. 開發的特殊 P2P 網路分析軟體,搜尋與美國前 10 家公開交易的醫療保健提供商相關或提及的資訊,其中包括田納西州的兩家:位於納什維爾的 美國醫院公司,以及位於富蘭克林的 Community Health Systems,後者 於 2007 年收購了醫療保健巨頭 Triad Hospitals。當他們的搜尋在一個特定的計算機上找到包含醫療資訊的檔案時,研究人員能夠使用網際網路協議 (IP) 地址將該計算機追溯到特定的位置。在某些情況下,這些檔案位於從工作場所連線到網路的計算機上,在其他情況下,計算機從家庭、酒店或星巴克無線連線。

在一個案例中,約翰遜和他的團隊從一家為醫院工作的收款機構的計算機中發現了兩個資料庫,其中包含超過 20,000 名住院患者的詳細資訊。另一次搜尋發現了一份 1,718 頁的報告,其中包含近 9,000 名患者姓名、社會安全號碼、出生日期、保險公司、組號和識別號碼。研究人員還發現了一份用於開處方的 pdf 表格,該表格是空白的,除了底部的醫生簽名。“這份檔案可能被處方藥販子和濫用者用於醫療欺詐,”約翰遜在他的報告中指出。

約翰遜說,被盜的醫療資訊可能被用來竊取您的身份並破壞您的信用,或影響您的醫療記錄。“如果我冒用您的身份來獲得醫療服務,例如使用您的保險資訊去醫院接受治療,這不僅是保險欺詐,還會將虛假資訊新增到您的醫療記錄中,”他補充道。

紐約市技術研究公司 The 451 Group 副總裁兼研究主管尼克·塞爾比說,P2P 檔案共享已成為許多公司“安全主管生活中的禍根”,因為善意的員工將他們的個人資訊以及他們公司的專有資訊置於風險之中。人們經常出於個人原因使用他們的工作計算機,因為他們在辦公室擁有更高的頻寬,這使得下載大型音樂和影片檔案更容易。塞爾比補充說,雖然某些 P2P 軟體允許使用者指定他們想要向網路公開哪些資訊,但該軟體很容易被錯誤配置,敏感資料會被公開到網路,因為人們在使用技術時並沒有真正瞭解其工作原理。

約翰遜指出,向數字醫療記錄的轉變並非易事。“(奧巴馬)政府正在朝著國家電子醫療記錄系統邁進,”他說,“但轉型將是痛苦的。只有當他們瞭解如何保護這些記錄時,我們才會安全。”(新的首席隱私官不僅要保護新的數字醫療記錄,還要推廣保護現有資料的方法。) 理想的解決方案是將這些資訊儲存在安全的高階資料庫系統中,而不是儲存在可能留在某人 PC 上的電子表格、電子郵件和 Word 文件中,他說,並補充道:如果這不能很快完成,醫院和其他醫療保健組織將需要限制員工對患者資料的訪問許可權。

© .