2019年6月3日,领先的临床实验室检测公司QuestDiagnostics向美国证券交易委员会(SEC)提交文件称,一名未经授权的用户访问了1190万名客户的个人信息,包括社会保障号码、银行账户信息、信用卡号及医疗信息。
第三方过失
美国医疗收款机构(AMCA)——作为Quest承包商Optum360的账单收款服务提供商——已通知Quest,其支付页面在2018年8月1日至2019年3月30日期间遭到未经授权的访问。 AMCA尚未明确说明哪些个人的数据遭到泄露,而Optum360的母公司联合健康集团(UnitedHealth)表示其Optum360系统未受此次数据泄露事件影响。作为应对措施,Quest已暂停向AMCA提交的收款请求。
一个日益严重的大问题
Quest数据泄露事件的规模凸显了第三方风险对组织可能造成的巨大威胁。此次事件之所以重要,不仅在于其相对规模,更在于它反映出一个更广泛的趋势——黑客正瞄准医疗企业窃取患者财务信息,这堪称攻击者的"圣杯"。
尽管Quest公司数据泄露事件的规模仅为史上最大医疗数据泄露事件的一小部分,但仍导致大量数据外泄。历史上最大的医疗数据泄露事件是2014年针对安泰保险公司的攻击,黑客窃取或破坏了7900万人的医疗记录。 Quest数据泄露事件暴露的数据量仅为Anthem事件的零头,但已超越去年规模最大的泄露事件——该事件导致265万客户数据遭窃。显然,这一问题正日益严峻。
此外,Quest公司是通过AMCA的支付页面遭到入侵的。医疗信息本身难以直接变现,因此像AMCA这样的账单收款公司反而更容易成为黑客的目标。
需要采取全面的第三方风险管理方法
此次安全漏洞凸显了企业实施全面第三方风险管理计划的必要性,尤其需要监控支付和登录门户等高风险领域。Prevalent可提供解决方案。我们的第三方风险管理平台具备域名监控功能,确保支持行业标准加密协议并强制执行HTTP严格传输安全(HSTS)机制。 事实上,Forrester近期在《Forrester New Wave™:网络安全风险评级解决方案》报告中将Prevalent评为领导者,并指出:"对于需要集成网络风险评级的统一TPRM工具的企业而言,Prevalent是最佳选择。凭借其强大的风险情报和全面的风险管理功能,Prevalent是安全与风险专业人士寻求统一管理所有网络TPRM活动的理想工具。"
作为业内唯一专为企业与供应商协作而打造的统一平台,Prevalent集成了强大的自动化评估、持续监控及证据共享功能,为构建高效运作的第三方风险管理项目提供了最完整的解决方案。
要了解Prevalent如何助您实现第三方风险管理的自动化、可视化与规模化,请下载我们的最佳实践白皮书,或联系我们获取演示。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
