隨著世界逐漸數位化,每天都有新的應用程式問世。近年來,我們可以看到健康照護、保健養生以及健身產業也紛紛推出行動應用程式,被統稱為「行動健康應用程式」(mHealth APPs)。
自 2020 年的 Covid-19 疫情開始,醫院與健康照護等廠商便更加傾向使用 mHealth APPs ,透過此類技術與病患交流並提供豐富資訊。mHealth APPs 首先標榜創新,其次才是資料安全,如此導致病患的敏感寶貴資訊暴露於攻擊者的威脅。不論是使用mHealth APP健身或是健康照護,這些 APP 能讓您獲取各式各樣的資料:從睡眠監測、分析代謝率到查看血液檢測都包含在內。這些都是網路犯罪分子可能竊取的寶貴健康資訊。
資安威脅的動機為金錢,而販售健康照護紀錄正是眼下最有利可圖網路盜竊之一。網路犯罪分子知道健康照護機構擁有顧客與病患大量寶貴的個人資訊,且可攻擊面非常廣泛,他們可以輕易存取支付和保險資訊,讓應用程式資安[F1] 存在於高風險下。
Excess Scripts 是一個行動應用程式,能讓病患透過手機或平板裝置輕鬆存取並管理醫療處方。Excess Scripts 先前公布了一起資料外洩事件,與透過其行動應用程式進行的未授權存取有直接關係。根據顧客收到的通知,遭洩漏的資訊包括事發前 24 個月的醫療處方紀錄,其中可能包含留有病患姓名、用藥、劑量、醫師以及藥局的紀錄。
TechTarget 表示,Excess Scripts 資料外洩事件並非特例:「在 2022 年 1 月到 5 月間,健康照護資料外洩的案例數幾乎是去年同期的兩倍。」為了維護敏感健康照護資料的安全,領導人必須將資料資訊安全視為企業價值核心並採取妥善行動,方能將威脅屏除在外。
HIPAA,也就是美國健康保險流通與責任法案,目的是保護敏感的病患資訊在未經病患同意或知悉下不會被揭露。然而,本項政府準則並非在任何情況下都能保護行動健康應用程式以及其所收集的資料,因為許多供應商都不屬於該法案所涵蓋的實體或業務夥伴。事實上,大多數的行動應用程式都不會屬於該規範的合規應用程式,因為它們多是為了個人用途所開發,且不是以受保護健康資訊(protected health information ,PHI)為重點。
病患使用者平台、救護車派發、醫療處方管理等的應用程式仍屬 HIPAA 規則與法規涵蓋之範疇,因此僅在病患直接同意下才能分享病患電子健康紀錄。但其他如睡眠監測、健身應用程式、妊娠期和心理健康等應用程式類型,則可以收集使用者提供的資料,並且與廣告商或其他第三方分享。在監控及存取與您健康相關的資料方面,mHealth APP 有極佳的優勢,但也為隱私帶來極大的威脅。
時間演進到2019年,此時市面上已經出現超過325,000個行動健康應用程式以及不計其數的行動健康物聯網(IoT)公開供民眾使用,而妥善保護這些應用程式與設備,能追蹤並存取的所有健康資料,也成為令人擔憂的挑戰。行動健康產業的迅速發展也帶來有趣的統計資料:在2015年,2/3 的美國民眾比起實體健康照護管理,更加偏好數位健康照護管理。
HIPAA 定義之受保護實體,指的是如健康照護資料交換中心、由雇主負擔之健康保險計畫、健康保險公司等實體類別,而本規則旨在保障由此類機構持有之個人醫療紀錄與其他個人健康資訊之安全。隱私規則限制了未經病患同意下允許及不允許揭露或使用之範圍。
本規則之目的為保護個人經由受保護實體產生、取得、使用和/或儲存之電子個人健康資訊(ePHI)。
為維護個人健康資訊之機密性、完整性與安全性,通常需要採取三種類型的防護措施:行政管理、實體設備、系統技術。
外洩指的是非受保護實體方進行任何 PHI之未授權使用或揭露。外洩通知規則之目的是確保在病患的受保護健康資訊遭不正當使用或揭露時,病患會得到通知警示。
本規則負責嚴格監督資安規則、外洩通知規則與隱私規則的合規性,並詳列針對合規性、調查、聽證以及違規罰款事項之執行法規。
如果企業違反本規則,美國衛生及公共服務部(HHS)保留對企業進行懲戒與實施其他制裁的權力。
根據最終規則,健康照護提供者務必遵照 HIPAA 之規範修訂其業務夥伴協定。
本規則可變更資安、隱私、外洩通知規則,以達加強資料分享之機密性與安全性之目的。
符合 HIPAA 規範之行動健康應用程式須由特殊專家開發製成。您必須十分嚴謹並恪遵 HIPAA 規則與規範,而在大部分案例中,行動資安專家的協助將不可或缺。
我們了解行動健康應用程式被視為安全的條件,但是在健康與健身類別中,又有多少應用程式真的符合這些條件呢?我們整合了過去 2 年來一些健康與健身類應用程式中的資料。自 2021 年起,Quokka (前身為 Kyptowire)掃描了 70,000 款Android 和 iOS 應用程式,總共有超過 30 億行的程式碼。在這些掃描結果中,只有 384 款 iOS 專屬應用程式以及 269 款Android 專屬應用程式被判定為行動健康應用程式。
我們使用自家的行動應用程式資安檢測平台測定了這些應用程式的威脅指數,為其資安與隱私的齊備狀態等級評分。 Android 應用程式的平均威脅指數為 58.7,iOS 應用程式的平均威脅指數雖為較低的 43.2 ,但仍不容忽視。所有應用程式的綜合平均威脅指數則為 58.7。
各軟體平台的首要 IoRs,也就是跨組織關係(inter-organizational relationships):
Quokka 是業界頂尖的網路資安公司,而應用程式資安就是我們最關鍵的任務。我們提供專業、安全的端對端行動應用程式資安解決方案,因為我們深信使用或開發行動應用程式的所有人,都值得享有最高等級的安全與隱私。我們的行動應用程式資安檢測將遠遠超越您的期望,在確保您應用程式安全的同時,還能驗證您行動健康應用程式的資安等級,倍添心安。今天就來與 Quokka 一起了解您的資安、隱私以及合規風險吧。