Wolfe Clinic 数据泄露事件引发关注

关键点总结

最近，Wolfe Clinic 向卫生与公众服务部披露，与 2021 年 12 月的 Eye Care Leaders 勒索攻击相关，约有 542,776名患者的数据被访问、删除或可能被盗。这一事件让其患者数据泄露的总数接近 360 万，成为今年迄今报道的最大医疗数据泄露事件。

值得注意的是，许多受影响的医疗提供者在规定的 60 天内未能接到通知，这意味着其通知延误了几周甚至几个月。对于 Wolfe Clinic来说，其通知是在首次 ECL 客户发布类似通知的四个月后发出的。

此外，2021 年 12 月报告的这一事件发生在多个其他勒索攻击和系统故障之后，ECL 有医疗提供者声称相关事件被隐瞒。最近的 SC Media分析详细揭示了这一指控。

Wolfe Clinic 的公告未具体说明 ECL 何时首次通知其关于此攻击的信息。公告确认了之前的通知内容：在“2021 年 12 月 4日左右”，ECL myCare Integrity 系统遭到勒索攻击，攻击者访问了系统中存储的数据，并删除了数据库和系统配置文件。

ECL 缺乏必要的法医证据，无法排除个人识别信息和某些受保护健康信息被曝露的可能性。对于 Wolfe Clinic来说，受影响的数据可能包括姓名、联系方式、出生日期、社会安全号码、诊断细节及健康保险信息。

公告指出，彼时该诊所正在使用 ECL 的电子病历平台，这可能暗示该提供者已经更换了供应商。该提供者还强调，此事件完全局限于 ECL的网络环境内，并且“没有其他补救措施可供 Wolfe 使用。”

SC Media 联系了该提供者，以获取对延迟通知的评论，但在发布时未收到回应。

值得注意的是，由于收到了延迟通知，这是 Wolfe Clinic 在过去一年中第二次因勒索相关事件而发生的通知延迟事件。2021 年 6 月，该提供者曾通知
527,378 名患者，其数据在恶意攻击中被访问并可能被盗，通知则是在事件暴露四个多月后发布的。

在调查过程中，安全团队发现攻击者在 2 月 8日试图访问网络，后来发现此行为导致了姓名、联系方式、出生日期、社会安全号码以及小部分患者的医疗和健康信息的未经授权披露。

当时，Wolfe Clinic 解释称延迟的原因是事件的复杂性和范围，直到 6 月 8日才充分了解。医疗提供者在处理数据泄露响应时经常面临挑战，同时还需调查和缓解安全事件的影响。不过，未能平衡这些因素可能会导致声誉损害和监管罚款。关于时间安排，HIPAA的要求是明确的，但报告缺口并非总是出于故意。

调查通常很复杂，尤其是在电子邮件环境或基于供应商的事件中。

如需了解更多信息，请访问以下链接： – –
[医疗机构数据泄露响应挑战](https://www.scworld.com/news/breach/