为什么 Change Healthcare 泄露事件被认为如此重大？

这是有史以来规模最大的医疗数据泄露事件，在一次攻击中暴露了 1.927 亿人的个人和健康信息——超过美国人口的一半。

Change Healthcare 在美国医疗系统中扮演什么角色？

它是一家中央清算所，为数千家医院、诊所、药房和保险公司处理账单和保险交易，因此能够接触到横跨多个层面的海量患者数据。

攻击者是如何入侵如此多记录的？

攻击者入侵了 Change Healthcare 的网络，在内网横向移动，窃取敏感数据，然后部署勒索软件，从而获取了连接众多医疗实体的中央数据存储库。

泄露事件中被盗的是哪类数据？

被盗数据包括健康记录、保险详情和个人身份标识，形成了医疗、财务和个人信息独一无二的密集组合。

为什么医疗组织经常成为网络犯罪分子的目标？

健康记录在黑市上价值极高，且许多医疗组织利润微薄、基础设施老旧，导致它们长期容易受到攻击。

Change Healthcare 的 1.927 亿条记录泄露事件：对患者隐私意味着什么

这些数字令人难以想象。2024 年，针对 Change Healthcare 的勒索软件攻击导致 1.927 亿人的个人和健康信息被盗。Change Healthcare 是一家清算所，为美国医疗系统的大部分机构处理账单和保险交易。这一单次医疗数据泄露事件现已成为有史以来规模最大的一次，远超以往任何事件。

从背景来看，这一数字超过了美国人口的一半。它不是来自一年中几十起独立事件，而是源于一次攻击、一家公司，而这家公司正处在医疗服务提供商、保险公司和患者紧密互联的网络中心。

一次攻击如何波及 1.927 亿人

Change Healthcare 在美国医疗系统中的角色使其成为价值极高的攻击目标。作为清算所，它处理着连接数千家医院、诊所、药房和保险公司的理赔和交易。当攻击者入侵其网络时，他们访问的不仅是一家机构的数据，而是触及了整个医疗行业巨大断面的中央数据存储库。

此次泄露遵循了大规模勒索软件事件的常见模式：攻击者获得初始访问权限，在内网横向移动，识别并窃取敏感数据，然后部署勒索软件扰乱运营。仅运营中断一项，就导致医疗服务提供商数周无法处理理赔，在整个医疗行业引发连锁问题。但更持久的损害在于，近 1.93 亿人的健康记录、保险信息和个人身份标识暴露在外。

这类第三方供应商风险并非 Change Healthcare 独有。TriZetto 泄露事件导致 340 万份患者记录被盗，也遵循了类似的模式，攻击者以医疗技术中介为目标，而非直接攻击医院。当一家供应商服务于数百家医疗客户时，一次成功的入侵就可能向外扩散，影响到数百万从未与受入侵公司直接打过交道的人。

为何医疗行业持续成为攻击目标

医疗组织已成为最常遭受入侵的行业之一，原因错综复杂。健康记录包含了个人信息、财务信息和医疗信息的独特密集组合，对犯罪分子来说比标准财务记录更有价值。与此同时，许多医疗组织利润微薄，依赖老旧的基础设施，并面临监管和运营压力，这些都可能延缓安全改进的步伐。

Change Healthcare 泄露事件的规模极端，但医疗数据泄露的频率并不罕见。近年来，影响大量患者群体的事件屡见不鲜，从大型公共卫生系统到较小的专科医疗机构均有发生。纽约健康与医院公司泄露事件暴露了 180 万枚指纹，表明即便是公共机构持有的生物识别数据，也可能因第三方供应商网络防护不足而受到侵害。

这些事件的共同模式是：攻击者找到薄弱点，通常是通过泄露的凭据、未打补丁的系统或防护不足的远程访问，然后在不具备遏制顽固入侵者能力的网络中肆意移动。

这对你意味着什么

如果你在 2024 年之前或期间在美国接受过医疗服务，那么你的信息很有可能就在 Change Healthcare 泄露事件暴露的记录之列。受影响的资料据报道包括姓名、地址、社会安全号码、保险信息，且在许多情况下还包括详细的医疗记录。

对患者而言，这意味着风险不仅仅是身份盗用。它还包括保险欺诈的可能性、利用个人健康细节进行定向网络钓鱼攻击，以及敏感病史的长期暴露。与信用卡号码不同，健康信息无法更改。

对医疗工作者和管理者来说，这次泄露事件尖锐地提醒人们，患者数据的安全不仅取决于自身机构的防御，还取决于与其系统相连的每个供应商和合作伙伴。与第三方供应商相关的泄露事件继续在医疗事件中占据很大比重，Change Healthcare 的案件引发了关于这些关系被审查和监控有多彻底的紧迫问题。

具体而言，对医疗组织来说，这次泄露事件凸显了几个值得审视的具体领域：

第三方访问控制： 能够访问内部系统的供应商应受到与内部用户同等程度的审查，包括严格的凭据策略和网络分段，以限制任何单一访问点的可触及范围。
远程访问安全： 强制多因素认证的 VPN 是远程访问内部系统的基本防护。Change Healthcare 泄露事件表明，泄露的凭据可以成为入侵点，但仅靠 VPN 并不能构成完整的防御。它需要与网络分段、监控和响应能力相结合。
数据最小化： 组织应审查与第三方供应商共享的数据，仅保留和传输运营所需的信息。

需要明确指出像 VPN 这样的安全工具能做什么和不能做什么。VPN 保护的是数据传输的通道，特别是对于远程访问临床系统的员工或需要保持私密性的远程医疗通信而言。它们是为在临床网络之外工作的医疗人员提供的重要防护层。但 Change Healthcare 泄露事件主要不是远程访问安全故障。它涉及网络架构和横向移动方面更深层的系统性问题，这些问题需要的防御层次远远超越任何单一工具。

可操作的建议

如果你认为自己的数据可能受到 Change Healthcare 泄露事件或任何类似事件的影响，可以采取一些具体措施。监控自己的健康保险账单，留意不认识的就医理赔。向主要信用机构设置欺诈警报或信用冻结。留意那些利用个人健康细节以显得真实的网络钓鱼尝试。

对医疗专业人员和行政管理者来说，从 2024 年创纪录的泄露事件中得到的教训是：供应商关系就是安全关系。每个连接临床网络的第三方都是一个潜在的入侵点，值得持续严格评估。Change Healthcare 事件之所以达到如此规模，反映的不仅是一家公司的脆弱性，更是整个行业建立在紧密互联、防护不足的基础设施之上所带来的风险。应对这些风险需要在链条的每一个环节进行安全投资，而不仅仅是在最显眼的地方。