Az egészségügy vezet az incidenssel járó költségek tekintetében
14. egymást követő évben az egészségügy rendelkezik a legmagasabb incidenssel járó költségekkel bármely ágazathoz képest. Az IBM 2025-ös jelentése az átlagot 7,42 millió dollárra teszi incidensenkénti alapon. Ez csökkent a 2024-es 9,77 millió dollárról. De még mindig messze felülmúlja bármely más területet.
Az összes ágazatra vonatkozó globális átlag: 4,44 millió dollár.
Legfontosabb számok
| Mutató | Érték | Forrás |
|---|---|---|
| Átlagos incidens-költség | 7,42 M USD | IBM 2025 |
| Érintett rekordonkénti költség | 398 USD | IBM 2025 |
| Felfedezés és megállítás ideje | 279 nap | IBM 2025 |
| Nagy incidensek (2025) | 710 | HHS OCR |
| Érintett személyek (2025) | 62 millió | HHS OCR |
| Zsarolóvírus-támadások | 445 | Comparitech 2025 |
Az egészségügyi incidensek felfedezése és megállítása 279 napot vesz igénybe. Ez öt héttel több a globális átlagnál. Közel 10 hónap nyitott kockázat.
Miért kelnek el magas áron az orvosi nyilvántartások?
Az orvosi nyilvántartások a sötét weben a bankkártyákhoz képest 10–40-szeres áron kelnek el. Miért? Egyetlen rekord rengeteg adatot tartalmaz.
Gazdag személyazonosító adatok
Minden egyes rekord tartalmazhat:
- Teljes nevet, születési dátumot, TAJ-számot
- Lakcímet, telefonszámot és e-mail-címet
- Biztosítási és munkáltatói adatokat
- Családtagok adatait
Sokféle csalási lehetőség
Ellopott nyilvántartások lehetővé teszik:
- Egészségügyi személyazonosság-lopást
- Biztosítási csalást
- Vényhamisítást
- Adócsalást TAJ-számmal
Megváltoztathatatlan adatok
Egy bankkártyát le lehet tiltani. Az egészségügyi múltját, TAJ-számát vagy születési dátumát azonban nem tudja megváltoztatni. Ezért maradnak ezek a nyilvántartások a bűnözők számára évekig értékesek.
A Change Healthcare-támadás
A valaha rögzített legnagyobb egészségügyi adatbiztonsági incidens 2024 februárjában érte a Change Healthcare-t. A BlackCat/ALPHV zsarolóvírus-csoport hajtotta végre a támadást.
| Mutató | Érték |
|---|---|
| Érintett nyilvántartások | 192,7 millió |
| Teljes költség | 3,1 milliárd USD |
| Kifizetett váltságdíj | 22 millió USD |
| Leállított rendszerek | Hetek |
A támadás megszakította az igénylés- és gyógyszerfeldolgozást az egész USA-ban. A szolgáltatók nem tudtak igényléseket benyújtani. A betegek nem kaphatták meg gyógyszereiket. A bevétel megállt.
A csoport felvette a 22 millió dolláros váltságdíjat — majd online is közzétette a betegadatokat. A fizetés nem segített.
Hogyan változott a zsarolóvírusos fenyegetés?
Az egészségügyben a zsarolóvírus 2024-től 2025-re sokat változott.
| Mutató | 2024 | 2025 | Változás |
|---|---|---|---|
| Fájlzárolási arány | 74% | 34% | −54% |
| Adatlopási arány | 94% | 96% | +2% |
| Átlagos váltságdíj-követelés | 4 M USD | 343 E USD | −91% |
| Átlagosan kifizetett váltságdíj | 1,47 M USD | 150 E USD | −90% |
A támadók ma már az adatlopásra összpontosítanak, nem a fájlzárolásra. A biztonsági mentések fejlődtek, így a fájlzárolás kevésbé hatékony. Az ellopott adatok a támadás után is hosszú ideig megőrzik értéküket.
A 96%-os adatlopási arány azt jelenti, hogy szinte minden támadás most adatokat is lop.
A HIPAA 18 azonosítótípusa
A HIPAA 18 típusú Védett Egészségügyi Információt (PHI) határoz meg, amelyek védelmet igényelnek. Az ezekhez kötött egészségügyi adatok a törvény alapján PHI-nek minősülnek.
| # | Azonosító | Példák |
|---|---|---|
| 1 | Nevek | Beteg neve, családtagok nevei |
| 2 | Földrajzi adatok | Lakcím, város, irányítószám |
| 3 | Dátumok | Születés, látogatás, elbocsátás |
| 4 | Telefonszámok | Minden telefonszám |
| 5 | Faxszámok | Minden faxszám |
| 6 | E-mail-címek | Minden e-mail-cím |
| 7 | TAJ-szám | Társadalombiztosítási azonosítók |
| 8 | Orvosi nyilvántartási számok | Kórlapszámok |
| 9 | Egészségbiztosítási azonosítók | Juttatási számok |
| 10 | Számlaszámok | Betegszámlák |
| 11 | Engedélyszámok | Jogosítvány stb. |
| 12 | Járműazonosítók | Alvázszám, rendszám |
| 13 | Eszközazonosítók | Orvosi eszközök sorozatszámai |
| 14 | Web URL-ek | Betegportál URL-jei |
| 15 | IP-címek | Minden IP-cím |
| 16 | Biometrikus adatok | Ujjlenyomatok, hangminták |
| 17 | Arcképek | És hasonló képek |
| 18 | Egyéb egyedi azonosítók | Kódok, jellemzők |
A szállítók a leggyengébb láncszemek
Egy fontos tény minden egészségügyi CISO számára:
Az ellopott PHI több mint 80%-a harmadik feles szállítóktól érkezett, nem kórházaktól.
A Change Healthcare nem egyedi kórházakat érintett. Egy igényléseket feldolgozó elszámoló házat ért el, amely ezer szolgáltatóval állt kapcsolatban. Egyetlen szállítói meghibásodás az összesre kiterjedt.
A PHI-jének biztonsága csak annyira erős, mint a leggyengébb szállítója.
A HIPAA-bírságok növekednek
A HHS Polgárjogi Hivatal (OCR) lépéseket tesz. 2025-ben:
| Mutató | Érték |
|---|---|
| Bírságolt ügyek | 21 |
| Összes bírság | 8,33 millió USD |
| Fő fókusz | Kockázatelemzési hiányosságok |
Az OCR azokat a szervezeteket veszi célba, amelyek kihagyják a megfelelő kockázatértékelést. Ez az Adatbiztonsági Szabályzat egyik alapkövetelménye — és egy általánosan hiányzó lépés.
Hogyan védi az anonym.legal a PHI-t?
Mind a 18 HIPAA-azonosítótípus
Az anonym.legal mind a 18 HIPAA-azonosítótípust lefedi ellenőrzőösszeg-vizsgálatokkal. Nevek, dátumok, TAJ-számok, orvosi nyilvántartási számok, telefon, fax, e-mail — minden kezelt. Részletekért lásd a HIPAA-megfelelőségi útmutatónkat.
Visszafordítható titkosítás
Sok csapatnak szüksége van az adatok visszaállítására vizsgálatok, auditok vagy jogi felülvizsgálat céljából. Az anonym.legal AES-256-GCM titkosítást alkalmaz, amely a megfelelő hozzáférési kulcsokkal visszafordítható.
Safe Harbor megfelelőség
A HIPAA Safe Harbor módszer megköveteli mind a 18 azonosítótípus eltávolítását. Az anonym.legal HIPAA-beállítása ezt elvégzi Ön helyett:
- Nevek → [PERSON]
- Dátumok → Csak az év
- Irányítószámok → Első 3 számjegy (ha a népesség >20 000)
- Közvetlen azonosítók → Titkosított tokenek
Helyi feldolgozás
7,42 millió dolláros incidens-kockázat mellett nem engedheti meg magának, hogy PHI-t külső szerverekre küldjön. Az anonym.legal Desktop alkalmazása a saját gépén fut. A védett egészségügyi adatok nem hagyják el a hálózatát.
A tétlenség ára
| Forgatókönyv | Költség |
|---|---|
| Átlagos egészségügyi incidens | 7,42 M USD |
| anonym.legal Business csomag | 29 €/hó |
| Éves költség | 348 € |
| Megtérülési küszöb | Az incidens-megelőzés 0,005%-a |
Ha az anonym.legal egy incidens-költség mindössze 0,005%-át megakadályozza, már megtérül. A Change Healthcare-támadás 3,1 milliárd dollárba került. Jobb PHI-kontrollok az adott szállítói láncon keresztül megakadályozhatták volna.
Összefoglalás
Az egészségügy továbbra is kiemelt célpont marad. A PHI értékes. A rendszerek összetettsége nagy. A szállítói láncok kockázatot hoznak. Az átlagos incidens felderítése 279 napot vesz igénybe.
Mire tudomást szerez egy incidensről, a kár már megtörtént. A legjobb lépés a megelőzés — mielőtt egy incidens elkezdődik.
Első lépések
- Desktop alkalmazás letöltése — A fájlok a gépén maradnak
- Office Add-in telepítése — Védje a klinikai dokumentumokat
- Ingyenes próba indítása — 200 token a teszteléshez