摘要
- LifeLabs 2019 年的网络攻击之所以重要,是因为该公司披露攻击者访问了包含客户个人信息和部分实验室检测结果的系统,且事件涉及赎金支付和隐私专员调查结果。
- 问责问题在于谁实际控制健康记录安全、实验室门户访问、入侵检测、赎金应对决策、患者通知、监管证据以及证明已实施命令的安全改进。
- 此案不仅涉及隐私泄露,还涉及健康服务连续性和公众信任,因为实验室数据处于患者、医生、公共系统、保险公司和诊断工作流程的边界。
- 不列颠哥伦比亚省和安大略省的隐私专员进行了调查,发布了调查结果和命令,后来法庭程序将发布和特权问题纳入公开记录。
- 本文利用了 LifeLabs 的通知、监管报告和命令、法院判决、和解记录、隐私法指导、网络安全恢复材料和可靠的新闻报道。它不声称访问 LifeLabs 的私人取证日志、完整的赎金谈判、逐患者暴露文件或每项命令控制措施的完整实施证据。
为何此案属于风险与问责档案
LifeLabs 属于风险与问责档案,因为实验室数据不是普通账户数据。实验室服务提供商可能持有姓名、地址、电子邮件地址、登录名、密码、出生日期、健康卡号和诊断检测结果。这些记录与身体、家庭、医生、保险公司、就业决定、公共卫生和个人决定相关,患者可能永远不希望披露。当实验室数据平台遭到攻击时,损害模型跨越隐私、护理连续性、身份风险、公众信心和监管监督。
LifeLabs 于 2019 年 12 月公开披露了此次网络攻击。其在https://www.lifelabs.com/lifelabs-releases-open-letter-to-customers-following-cyber-attack/的致客户公开信称,公司识别到一次涉及未经授权访问包含客户信息的计算机系统的网络攻击,通过支付赎金取回了数据,并聘请了网络安全公司并通知了隐私专员。披露称受影响的信息可能包括姓名、地址、电子邮件、登录名、密码、出生日期、健康卡号和实验室检测结果,大多数受影响客户位于安大略省和不列颠哥伦比亚省。
这一披露立即产生了问责问题。谁实际控制健康记录安全、实验室门户访问、入侵检测、赎金应对决策、患者通知、监管证据以及证明已实施命令的安全改进?患者在选择验血前无法检查 LifeLabs 的系统。医生无法亲自审计提供者的门户安全。公共卫生系统和保险公司依赖实验室服务作为常规护理的一部分。提供者控制基础设施、访问设计、监控、保留、事件响应和修复证据。
安大略省信息与隐私专员办公室和不列颠哥伦比亚省信息与隐私专员办公室的调查成为主要的公开证据记录。IPC 的 LifeLabs 资源页面https://www.ipc.on.ca/en/resources/joint-investigation-lifelabs-data-breach以及通过隐私专员材料公开的联合报告记录了关于合理安全措施、入侵检测、通知和补救命令的调查结果。不列颠哥伦比亚省信息与隐私专员办公室在https://www.oipc.bc.ca和相关调查报告资源中提供了材料,将案例置于省级健康隐私法背景下。
该案例符合公共部门连续性、数据主权与本地性以及安全自动化等主题。LifeLabs 是一家私人组织,但其服务与公共卫生紧密相关。患者使用实验室服务是因为医生、省级卫生系统、保险公司、雇主或护理路径需要诊断检测。数据可能存储在受省级健康隐私法管辖的司法管辖区并进行处理。安全自动化很重要,因为实验室提供者无法通过希望、政策文本和信用监控手动保护数百万条记录。它需要身份控制、日志记录、加密、漏洞管理、异常检测、备份和恢复流程,以及这些控制措施正在运行的证据。
实验室泄露不仅仅是身份泄露
许多泄露通知使用身份盗窃语言,因为姓名、出生日期、健康卡号和密码会带来明显的欺诈风险。LifeLabs 为受影响的客户提供了身份盗窃和欺诈保护服务,这一应对措施对部分暴露是合理的。但实验室泄露不仅仅是身份泄露。检测结果可能揭示怀孕、感染、慢性疾病、药物监测、癌症筛查、激素水平、遗传信号或其他敏感健康现实。即使特定暴露的结果是普通的,其类别也是私密的。
隐私专员的公开声明和调查记录,包括https://www.ipc.on.ca/en/news-release/investigation-finds-lifelabs-failed-protect-personal-health-information和https://www.oipc.bc.ca/news-releases/3351的相关材料,强调泄露涉及个人健康信息,公司未能采取合理措施保护它。这些发现比通用的“网络事件”标签更强有力。它们将案件置于对患者的注意义务内,这些患者的数据是为健康服务目的收集的,而非可选消费者娱乐。
健康数据的特性也影响通知。患者需要知道受影响的信息是人口统计信息、登录相关信息、健康卡相关信息还是检测结果相关信息。实验室结果可能被暴露的患者有不同的疑问,与电子邮件地址被暴露的客户不同。暴露的结果是否包括近期检测?家庭成员是否受影响?医生是否被通知?泄露是否影响在线门户、后端数据库、归档记录还是运营实验室系统?哪些步骤保护身份,哪些步骤保护健康隐私?
CBC 在https://www.cbc.ca/news/canada/british-columbia/lifelabs-cyberattack-15-million-customers-1.5399577的报道和 Global News 在https://globalnews.ca/news/6303995/lifelabs-data-breach/的报道捕捉了公众对泄露规模和敏感性的震惊。这些报道不能替代监管文件。它们有用,因为它们展示了患者如何经历事件:作为健康服务关系的泄露,而不仅仅是受损网站。
公共卫生邻近的特性也意味着损害超出直接受害者。医生和诊所需要患者信任检测系统。公共项目需要参与。保险公司和护理管理者依赖可靠的诊断工作流程。如果患者因数据环境感觉不安全而犹豫使用门户、避免检测或不信任实验室结果,泄露就成为连续性问题。隐私和护理获取是相连的。
监管命令将案件从事件响应转变为修复证明
LifeLabs 案之所以突出,是因为监管机构不仅承认了泄露。他们进行了调查,发布了调查结果,并命令采取补救行动。IPC 在https://www.ipc.on.ca/en/resources/joint-investigation-lifelabs-data-breach的页面和安大略省在https://www.ipc.on.ca/en/news-release/investigation-finds-lifelabs-failed-protect-personal-health-information的新闻发布描述了 LifeLabs 未能采取合理措施保护个人健康信息的调查结果。不列颠哥伦比亚省专员在https://www.oipc.bc.ca/news-releases/3351的材料同样将案件框定为未能保护高度敏感信息。
命令之所以重要,是因为它们将问责问题从“公司是否回应?”转变为“公司能否证明实施?”公开声明可以说安全已改进。监管命令要求具体的补救措施。关于 LifeLabs 的公开记录包括与信息安全计划、漏洞管理、日志记录和监控、访问控制、数据最小化、保留和独立审查相关的要求。确切的法律措辞属于报告和命令,但问责原则很直接:泄露后的承诺必须变为可审计的控制措施。
LifeLabs 寻求司法审查,并就调查报告提出了特权和保密异议。安大略省高等法院分庭在https://www.canlii.org/en/on/onscdc/doc/2024/2024onsc2194/2024onsc2194.html的判决以及后来的安大略省上诉法院材料(包括关于 LifeLabs LP 诉安大略省信息与隐私专员的报道和案号引用)使报告的发布成为公共问责故事的一部分。关于什么可以发布的法律争议之所以重要,是因为监管证据是公众信任的一部分。如果调查结果永久隐藏,患者无法评估健康数据泄露。
监管命令路径也显示了为何健康数据泄露需要独立监督。公司有动机安抚、限制责任、保护特权并维持客户关系。监管机构有不同的角色:检查证据、适用法定义务、命令补救并告知公众能告知的内容。这并不意味着监管机构完美。它意味着在患者无法自行审计实验室时,监管机构是必要的。
对于实验室提供者,修复证明应具体。它应识别哪些系统持有受影响数据,攻击者如何获得访问权限,凭证如何轮换,易受攻击系统如何修复,日志记录如何变化,监控将如何检测类似活动,数据保留如何减少,访问如何限制,独立测试将如何验证改进,以及公司如何向监管机构报告实施情况。关于认真对待安全的笼统陈述无法回答这些要点。
赎金支付是应对事实,而非修复控制
LifeLabs 在其公开信中表示通过支付赎金取回了数据。这一事实引起了关注,因为赎金支付可能让人感觉结束:数据被取走,支付完成,数据归还。但就问责而言,支付不是修复控制。它可能是危机管理的一部分,但它不证明删除,不证明没有副本留存,不修复访问路径,也不告诉患者记录是否被查看或共享。
加拿大网络安全中心的勒索软件指南https://www.cyber.gc.ca/en/guidance/ransomware-how-prevent-and-recover-cyber-attack-itsap00099和 CISA 的 StopRansomware 资源https://www.cisa.gov/stopransomware提供了总体公共政策框架。勒索软件和勒索应对应侧重于预防、备份、遏制、恢复、报告和韧性。支付决策可能在压力下做出,但不能替代安全架构。
LifeLabs 案涉及健康信息增加了敏感性。如果公司支付取回数据,患者仍需知道什么证据支持这一说法,存在什么不确定性,以及存在什么独立验证。支付可以减少一种风险,同时留下另一种。攻击者可能说谎。攻击者可能保留副本。其他方可能在支付前已访问系统。日志可能不完整。因此,监管机构不仅需要评估支付的业务决策,还要评估围绕支付的检测、遏制和修复证据。
勒索应对问责还包括治理。谁授权支付?考虑了哪些替代方案?是否通知了执法部门?是否评估了制裁或法律限制?备份是否不可用,还是为速度选择了支付?数据被加密、泄露还是两者兼有?公司如何决定客户通知的措辞?公开记录无需透露每个战术细节,但应存在成熟的治理过程并可供监管机构审查。
危险在于支付可能造成一种印象,即数据问题在安全问题解决前就已解决。患者不需要戏剧效果。他们需要控制措施。数据可能被取回,但系统仍可能脆弱。攻击者可能承诺删除但仍保留访问权限。提供者可能提供信用监控但仍未能最小化旧检测结果保留。问责要求公司将勒索应对视为更大修复计划中的一个事件。
数据主权与本地性是实践性的,而非抽象
LifeLabs 在加拿大省级健康隐私环境中运营,根据公司披露,大多数受影响客户位于安大略省和不列颠哥伦比亚省。因此,数据主权和本地性并非口号。它们定义了哪些法律适用,哪些专员进行调查,哪些患者收到通知,记录存储或访问的位置,以及跨境供应商或事件响应者如何与敏感健康数据交互。
安大略省根据《个人健康信息保护法》的健康隐私框架由 IPC 在https://www.ipc.on.ca/en/health-organizations/health-privacy解释,不列颠哥伦比亚省的《个人信息保护法》框架由不列颠哥伦比亚省专员在https://www.oipc.bc.ca/for-private-organizations/和相关指南中解释。这些法律框架很重要,因为 LifeLabs 处理的不仅仅是普通消费者数据。它处理的是在健康服务背景下收集的数据,通常受省级规则和期望约束。
本地性也影响监管机构协调。跨越省级人口的泄露需要不止一个通知模板。它需要共享的调查记录、适当情况下的共同调查结果以及针对特定司法管辖区的命令。联合调查模式是有意义的,因为患者不会将泄露体验为管辖难题。他们将其体验为一个实验室提供者持有敏感记录。
数据本地性也塑造供应商风险。实验室提供者可能使用云服务、身份提供商、外部取证公司、呼叫中心、邮件供应商和监控服务。每个供应商可能是必要的,但每个都产生证据义务。调查期间数据去了哪里?谁访问了它?什么合同管理它?如何保护它?是否涉及跨境传输?公开文章无法回答所有这些问题,但监管机构应要求公司能够回答。
患者在此几乎没有实际控制权。一个人不会在验血前协商数据处理条款。患者提供样本是因为医生开了检测或公共系统要求。这种选择的缺失提高了提供者的问责标准。当同意在功能上受护理约束时,安全证明必须具有更大分量。
安全自动化决定控制是否真实
实验室环境可能拥有数千个端点、门户、数据库、接口、仪器、供应商连接、用户账户和归档记录。政策是必要的,但它们本身无法保护该环境。安全自动化决定控制是否一致运行到足以产生效果。相关类别包括资产清单、补丁管理、漏洞扫描、端点检测、身份治理、特权访问管理、集中日志记录、异常检测、备份验证、加密、数据丢失监控和保留执行。
隐私专员的调查结果,根据公开的监管材料总结,侧重于合理的安全措施和补救。这种语言听起来可能很法律化,但其背后是一个技术问题:LifeLabs 能否看到并控制自己的环境?如果提供者不知道哪些系统持有检测结果、哪些账户可以访问它们、哪些漏洞是开放的、哪些日志显示异常行为以及哪些备份可以信任,那么提供者无法证明合理的保护。
NIST 的网络安全框架https://www.nist.gov/cyberframework和 NIST SP 800-184https://csrc.nist.gov/pubs/sp/800/184/final提供了恢复词汇。加拿大网络安全中心针对中小型组织的基线网络安全控制https://www.cyber.gc.ca/en/guidance/baseline-cyber-security-controls-small-and-medium-organizations及其勒索软件指南https://www.cyber.gc.ca/en/guidance/ransomware-how-prevent-and-recover-cyber-attack-itsap00099提供了加拿大公共部门控制语言。LifeLabs 不是小型组织,但基线控制概念是有用的:控制必须具体、可重复和可测试。
安全自动化也影响通知质量。如果日志集中并保留,公司可以更自信地描述发生了什么。如果访问是身份管理的,公司可以更快地轮换和撤销凭证。如果数据清单是最新的,公司可以告知患者检测结果是否涉及。如果漏洞管理是可测量的,公司可以向监管机构展示什么发生了变化。弱自动化导致模糊的通知,因为公司本身缺乏清晰度。
这就是为什么命令的改进很重要。监管机构可以要求安全计划,但其价值取决于实施证据。仪表盘、日志、独立评估、渗透测试、漏洞关闭记录、访问审查签字、备份恢复测试和事件演习是证明计划超出政策文本存在的工件。
和解与诉讼不能替代监管证明
LifeLabs 泄露还产生了集体诉讼和解活动。和解材料在https://www.lifelabssettlement.ca和相关通知中记录了符合条件的集体成员的赔偿流程。这一流程很重要,因为它为受影响的人提供了获得金钱补偿的途径。然而,它不能替代监管机构对修复的证明。赔偿和控制补救回答不同的问题。
和解询问受影响的人如何获得利益或解决索赔。监管证明询问提供者的系统是否已修复,以及公众能否信任未来对敏感健康数据的处理。公司可以在仍欠实施证据的同时和解索赔。公司可以在仍面临赔偿问题的同时实施控制。将一方视为另一方的替代品会削弱问责。
同样的区分适用于信用监控。身份保护服务可能有助于欺诈风险,但它们不保护暴露的实验室结果。它们不证明访问控制发生了变化。它们不减少旧数据保留。它们不告诉医生诊断工作流程更安全。它们是针对部分损害模型的事后缓解措施,而非核心修复。
患者也面临实际障碍。许多人可能不理解自己是否是集体成员,暴露的数据是否包括实验室结果,或如何监控健康数据滥用。上网受限、语言障碍、残疾、住房不稳定或健康状况不佳的人可能不易驾驭和解和监控流程。健康数据提供者的问责包括为实际受影响的人群设计沟通,而不仅仅是法律精明的读者。
什么样的证据才能结案
能够结案的证据首先来自监管命令的实施。这意味着记录在案的所需信息安全计划改进的完成、命令的独立评估、访问控制变更、漏洞管理证据、监控和日志改进、加密和数据保留决策、员工培训、事件响应演习和治理报告。它还应包括面向患者的解释,区分哪些被暴露、哪些被取回、哪些仍不确定、哪些已修复以及哪些支持仍然可用。
最强的证据是系统特定的,且不暴露新的安全风险。例如,LifeLabs 可以报告控制类别而非敏感架构细节:经过审查的特权账户百分比、凭证重置完成情况、持有个人健康信息系统的日志覆盖范围、漏洞修复时间表、备份恢复测试、保留政策变更、独立评估里程碑以及监管机构确认的命令项目关闭。患者不需要防火墙图。他们需要证明“改进的安全”不是口号。
证据还应涉及治理。谁拥有健康数据安全?领导层多久审查一次风险?安全职能在延迟部署、要求补救或上报未解决漏洞方面拥有什么权力?如何评估第三方供应商?公共卫生客户如何被告知重大安全变化?如果未来事件影响检测结果,患者如何被通知?这些不是抽象的合规点。它们决定下一次事件是否被快速检测、准确界定和诚实沟通。
法庭程序后的公开记录也是结案的一部分。如果监管调查结果仍存在争议或延迟,患者可能等待多年才能获得清晰信息。安大略省高等法院分庭的判决和相关上诉进展显示法律程序如何延缓公众理解。法律权利很重要,包括特权和程序公正。但健康数据问责系统不应让受影响的人永远依赖碎片。发布监管调查结果,并在法律保护下处理敏感细节,是信任的核心。
门户访问是护理路径控制
LifeLabs 案还显示了为何患者门户和实验室访问系统应被视为护理路径控制,而非普通客户网站。门户账户可能看起来像便利功能,但其背后的信息可能影响一个人是否给医生打电话、改变行为、寻求后续护理或与家人分享结果。如果门户凭证、密码或后端访问控制薄弱,风险不仅限于账户接管。它成为患者诊断关系保密性和可靠性的风险。
门户治理有几个层面。首先,注册必须证明获得访问权限的人有权查看记录。其次,身份验证必须抵抗凭证重用、钓鱼和自动攻击。第三,会话管理必须防止轻易劫持。第四,员工访问必须基于角色并记录。第五,异常访问模式必须触发审查。第六,患者通知必须解释门户凭证、人口统计记录、健康卡号或检测结果是否受影响。任何一个层面的失败都可能将门户变成暴露途径。
患者无法合理评估这些层面。患者可能知道密码是否感觉强壮,但不知道 LifeLabs 是否正确存储它,是否提供或要求多因素身份验证,员工账户是否拥有过多权限,日志是否被审查,或旧门户记录是否保留超过必要时间。提供者拥有这些选择。这种所有权就是监管调查结果重要的原因。它们是测试健康门户不可见层面是否合理的公共机制。
门户访问还与医生工作流程交互。患者可能在医生有机会讨论前在线收到结果,或可能将门户用作个人档案。如果泄露影响对门户的信任,患者可能避免数字访问并转而打电话给诊所。诊所可能承担支持负担。医生可能不得不向患者保证他们未存储的记录。这是一个并不总能出现在泄露统计中的连续性成本。受损系统属于实验室,但服务关系跨越护理网络。
这就是为什么数据最小化不是隐私口号。如果旧门户凭证、遗留检测结果或不活跃记录仍对受损系统可用,泄露人群就会扩大。提供者应能解释为什么每类记录仍在线上、谁能访问它、保留多长时间以及它是否仍为护理、法律、计费或患者服务所需。没有目的的保留变成了风险存储。在健康环境中,风险存储可能成为人口规模的个人暴露。
公共部门连续性依赖私营提供者证据
LifeLabs 是私人组织,但其提供的服务可能嵌入公共护理交付。这使得连续性模型更加复杂。公共机构、医生、患者和私人提供者都可能依赖同一实验室网络,然而只有提供者直接控制许多技术安全措施。当泄露发生时,即使公共机构未运营受损系统,公众对整个卫生系统的信心也可能受到影响。
这种依赖为采购和监督创造了证据问题。公共系统和大型健康客户不应仅依赖供应商声誉。他们需要可在事件前测试和事件后验证的安全陈述。合同语言应要求泄露通知、监管合作、独立评估、访问控制证据、数据位置承诺、分包商披露、备份和恢复证明以及可衡量的补救期限。处理敏感记录作为公共邻接工作流一部分的实验室提供者应期望这种审查水平。
连续性还包括在安全工作进行时保持检测服务可用的能力。如果实验室提供者必须隔离系统、轮换凭证、重建门户或审查数据库,患者仍需要检测。医生仍需要结果。公共卫生项目仍需要数据流。因此,提供者的恢复计划必须在可能的情况下将临床或实验室运营与受损的管理或门户环境分开。公开记录并未确立 LifeLabs 事件中每个运营依赖关系,但该类别对问责至关重要:健康数据安全不能在盲目中断护理的情况下修复。
监管机构的作用很重要,因为受影响的患者分散。单个患者可能没有资源挑战实验室提供者的安全架构。医生可能只看到下游影响。公共采购方可能看到合同合规但非患者痛苦。隐私专员可以汇总证据并要求系统性补救。这种汇总是在技术领域中的民主功能。它使隐藏的控制措施足够可见,以进行公共问责。
私营提供者的证据标准还应经受公司交易、领导层变动和技术更新。事件响应可能在一个领导团队下开始,在另一个领导下结束。门户可能被替换。安全供应商可能改变。实验室网络可能扩展或收缩。因此,命令的补救应嵌入持久治理中,而不仅仅是项目计划。即使系统和人员变化,修复证明也应可供监管机构使用。
患者通知必须诚实处理不确定性
健康数据通知面临着艰难的平衡。如果通知过于技术化,许多患者无法使用。如果过于笼统,患者无法做出明智决定。如果过于安慰,可能隐藏不确定性。如果过于令人担忧,可能阻碍护理。负责任的通报必须清晰、具体,并诚实地说明已知和未知情况。
对于 LifeLabs,有用的通知类别包括身份数据、健康卡信息、门户凭证、密码和实验室结果。每个类别都有不同的行动。身份和健康卡暴露可能需要欺诈监控和意识。门户凭证需要密码重置和更强身份验证。实验室结果暴露可能需要隐私支持、医生沟通以及小心处理敏感的个人情况。一个通用指令无法满足所有类别。
通知还必须认识到患者存在差异。有些人精通数字,可以立即更改密码。有些人是老年人、病患、残疾者、生活在不稳定条件下或依赖家庭成员的人。有些人可能是未成年人,其父母或监护人在管理记录。有些人可能有敏感的检测结果,产生个人安全或污名担忧。健康数据提供者应为这种多样性设计泄露支持。义务不是通过发布通知并等待担心的患者找到它来满足的。
不确定性应作为不确定性传达,而非隐藏在被动措辞中。如果日志无法显示特定数据是否被查看,就说明这一点。如果赎金支付取回了数据但无法证明删除,就说明这一点。如果一部分检测结果被涉及但确切的患者影响不同,就解释类别。如果安全改进正在进行但尚未完成,提供时间表和监管监督路径。患者可以处理不完整的事实,而不是精心打磨的含糊其辞。
诚实的不确定性也保护提供者的可信度。过于自信的声明可能在新事实出现时失败。基于证据的谨慎通知可以在不显得回避的情况下更新。在健康数据中,可信度是安全资产。信任提供者的患者更可能遵循保护步骤、使用官方支持渠道并继续必要的检测。
命令的补救应成为可衡量的安全计划
监管命令只有在其背后的实施系统强大时才有效。实验室提供者应将命令转化为具有负责人、截止日期、证据工件、测试标准和报告节奏的补救登记册。每个项目应有关闭标准。“改进监控”在工具购买时并未关闭。它在相关系统发送日志、告警规则调整、员工响应告警、保留满足调查需求以及独立审查确认覆盖时关闭。“加强访问控制”在政策编写时并未关闭。它在特权账户盘点、不必要的权限移除、身份验证加强、审查重复进行以及异常情况被追踪时关闭。
同样的可衡量方法适用于数据保留。提供者应识别记录类别、法律保留要求、护理需求、计费需求、患者服务需求以及删除或归档规则。它应知道哪些存储持有历史结果、哪些系统暴露它们、哪些员工可以访问它们以及哪些供应商处理它们。如果旧数据必须保留,保护级别应反映敏感性。如果旧数据不再服务于目的,它不应仅仅因为删除不便而留在热环境中。
独立评估只有在具有范围和后果时才有用。评估者应能够审查对个人健康信息重要的控制,而不仅仅是通用边界态势。调查结果应跟踪直至关闭。领导层应收到未解决的高风险项目。监管机构应收到足够证据以判断合规。患者应收到不揭示敏感架构但说明命令工作是否完成的公开摘要。
这种可衡量计划的观点是问责的实际含义。它不要求公开每个防火墙规则或数据库表。它要求提供者知道自己的控制状态并将其提交监督。在实验室数据环境中,“相信我们”在泄露后过于薄弱。替代品必须是可检查的证据。
可衡量计划还必须在日常运营中生存。许多泄露之后是密集的修复项目,但当截止日期过去、高管离开、预算收紧或新系统添加时,风险会回归。因此,实验室提供者应将命令的控制融入采购、软件部署、供应商审查、员工入职、门户设计、数据保留审查和事件演习中。仅存在于泄露后项目文件夹中的控制会减弱。嵌入日常治理中的控制可以在公众关注消退后继续工作。
最终的证明是可重复性。如果两年后出现类似告警,提供者应知道哪个团队接收它、哪些日志可用、哪些系统包含个人健康信息、哪些监管机构必须通知、哪些患者群体受影响、哪些沟通已准备好以及哪些高管可以授权遏制。这种可重复性正是患者和公共系统从实验室提供者所需。他们不需要事件永远不会发生的承诺。他们需要提供者能够在不重新发现自身环境的情况下检测、界定、解释和修复事件的证明。
可重复性也是公平问题。患者不应等到诉讼、媒体压力或监管升级后才使有关敏感健康数据保护的基本事实变得可理解和可验证。及时的证据很重要。
可重复性应包括第三方证据。实验室提供者通常依赖门户供应商、管理基础设施、安全监控、索赔管理员、快递系统、计费接口和公共部门数据交换。仅关注内部政策的监管命令计划可能错过敏感记录被访问、移动或支持的外部路径。负责任的提供者应知道哪些供应商可以接触个人健康信息、哪些合同控制适用、哪些日志被保留以及哪些方必须在遏制期间行动。供应商证据不是修复的附带时间表。它是患者信任表面的一部分。
问责结论
LifeLabs 2019 年的网络攻击是一个问责案例,因为公司在患者几乎没有实际能力选择、检查或协商安全环境的关系中持有敏感的实验室数据。提供者实际控制系统设计、门户访问、监控、数据保留、赎金应对决策、患者通知、监管证据以及命令改进的实施。患者、医生和公共系统不得不依赖这种控制。
事件应对不能止于支付、通知和信用监控。这些步骤可能是必要的,但它们不能证明健康数据工作流程变得更安全。决定性的证据是 LifeLabs 是否实施了命令的控制、加强了安全自动化、减少了不必要的数据暴露、改进了检测,并给了监管机构足够的证据来核实修复。
更广泛的教训是,实验室服务提供商即使作为私人公司,也是健康基础设施的一部分。它们为公共卫生邻近目的处理私密记录。它们的网络安全失败可能变成患者信心失败。因此,它们的修复工作必须以证据衡量:完成的命令补救、测试的控制、具体的通知以及未来暴露的减少。这就是 LifeLabs 使之可见的监管命令问责测试。

