专业精神/汤姆·亚迪克和明尼苏达州蓝十字蓝盾

蓝十字蓝盾协会 (BCBSA) 是一家大型 501(c)(4) 公益组织，成立于 1982 年蓝十字和蓝盾合并时 [1]。 BCBSA 由美国 35 家独立的健康保险公司组成。^[1] 2018 年，明尼苏达州蓝十字蓝盾的网络安全工程师汤姆·亚迪克对公司服务器上发现的严重漏洞提出了内部担忧。^[2] 检测到超过 20 万个关键漏洞，这些漏洞渗透到超过 2000 台独立服务器。一些最早的威胁可以追溯到 2010 年，其中一半以上的威胁存在超过三年。^[2] 这一持续存在的问题增加了明尼苏达州蓝十字蓝盾客户的风险。虽然明尼苏达州蓝十字蓝盾只是全国 BCBSA 的一个分会，但他们仍然为 390 万客户提供保险。^[3] 投保合同的货币价值约为 60 亿美元。近年来，新的基于云的医疗保健创新已经出现，并提高了医生的效率，从而允许更多患者接受医疗服务。^[3] 但是，这些系统中的漏洞可能导致潜在的医疗欺诈和其他泄漏。

2019 年 9 月，他的团队仍然无视他安装软件补丁的请求。由于蓝十字蓝盾未能充分解决检测到的漏洞，亚迪克通过在 9 月 16 日向首席执行官和董事会发送电子邮件，解释了该问题有多严重，从而将该问题升级。^[2] “我发送这封电子邮件是因为我无法通过组织提供的渠道影响这种情况，”亚迪克写道。“没有发生的事情是认真地试图解决这种情况。”^[3] 亚迪克最终离开了蓝十字蓝盾，继续他的流程改进顾问的职业生涯，但在此之前，他确认了问题将得到解决。2019 年 12 月，BSBS 在其系统缺陷在当地新闻中公开之前几天，发布了其 IT 安全主管的声明，强调他们对网络安全的承诺。^[3] 该公司在 2020 年专门花费时间修复和修补这些广泛的漏洞。亚迪克的行为体现了专业精神，同时也突出了 其他蓝十字蓝盾实体 中发生的更广泛的网络安全问题。^[3]

蓝十字蓝盾协会是美国健康保险公司的联盟，为三分之一的美国人提供保险。它的 35 个组成公司在州一级或区域一级运作，它们在非营利或营利企业的地位上也各不相同。明尼苏达州蓝十字蓝盾被归类为一个州立非营利公司。^[1]

在软件术语中，漏洞是指一个弱点，网络攻击者可以利用它获得对计算机系统的未经授权的访问权限，或对计算机系统执行未经授权的操作。漏洞可能来自多种来源，并且解决它们的难度和时间消耗各不相同。漏洞通过修补过程来解决。

在编程术语中，补丁是修复软件漏洞和其他问题的更新。虽然修补看起来很简单，但公司必须事先进行一些考虑。公司可能需要花费数小时才能将补丁应用到其软件系统，这会导致收入损失。因此，为了减少对正常业务运营的影响，许多公司很少进行修补。不经常修补存在风险，在一项针对受数据泄露影响公司的调查中，他们中 60% 的人知道漏洞将在发生数据泄露之前变成数据泄露，但出于某种原因，他们事先没有修补漏洞。^[4]

网络钓鱼攻击以虚假电子邮件的形式出现，旨在诱骗接收者放弃敏感的登录信息，不法分子和敌对组织利用这些信息访问私人数据。

在汤姆·亚迪克的专业事件发生之前，在美国还有其他客户信息泄露的例子。

2017 年，信用局 Equifax 在 2017 年发生了一起信息泄露事件。泄露事件的起因是第三方软件漏洞，该漏洞已经得到修复，但补丁没有在 Equifax 的服务器上实施，导致迄今为止最大的涉及身份盗窃的网络犯罪之一，1.48 亿成员受到影响。Equifax 在泄露事件发生前两个月就收到了对漏洞的警告，但仍然选择不进行修补。^[5]

2015 年，安瑟姆是 BCBSA 的另一家公司，在 2015 年经历了一次泄露事件。泄露事件的起因是网络钓鱼攻击，攻击者窃取了数据库管理员的登录凭据，并获得了客户私人数据的访问权限。这些数据包括姓名、出生日期、收入数据和社会安全号码，7900 万客户受到影响。^[6] 同样，在 2019 年，爱达荷州蓝十字也发生了一起由网络钓鱼造成的泄露事件，攻击者获得了包括患者姓名、账户号码和付款数据在内的客户数据的访问权限，影响了 55,000 名会员。^[7]

丹·阿普莱盖特 是康维尔喷气式飞机的产品工程总监。阿普莱盖特意识到了货舱门闩系统存在的安全威胁，并表达了对飞机安全运行的担忧。在管理层未能解决问题后，阿普莱盖特并没有揭露公司的错误决定。阿普莱盖特未能向公众披露公司飞机存在缺陷，导致一架满载乘客的飞机在巴黎郊外坠毁，机上 346 名乘客全部遇难。虽然航空和网络安全是两个不同的行业，但这两个案例都表明了企业疏忽。一位在风险管理和技术控制目标方面拥有独特经验的专业人士接受了采访，以解释 Yardic 案例的重要性。 ^[8] 他解释说，“信息是当今医疗保健中最关键的资产，而将信息保存在未更新和未受保护的系统中则是疏忽。”^[8] Yardic 向 BCBSA 高管发出警报的决定，挽救了数百万人的敏感医疗数据。他将他人的安全置于自身职业发展之上，体现了专业精神。

本案的主要结果包括明尼苏达州提出了一项新的隐私保护法，以防止未来发生敏感数据的泄露事件，以及 BCBS 内部做出的加强系统防范未来攻击的企业变更。明尼苏达州州长蒂姆·沃尔兹已提议明尼苏达州议会通过一项有关保险隐私安全的统一法律。 ^[9] 这项法律由国家保险专员协会 (NAIC) 编写，目前已由 8 个州通过。 ^[9] 目标是让所有州都通过这项立法，以便在全国范围内统一保护敏感的患者信息。这项法律将使州商务部能够调查保险公司对患者信息泄露事件进行调查，并要求保险公司向州政府报告他们在系统中发现的泄露事件。 ^[9] 最终结果将是，由于问责制的提高，患者信息系统将得到更好的保护。除了即将颁布的立法之外，BCBS 还采取了自愿措施来提高其系统完整性，以防止未来发生令人尴尬的患者数据泄露事件。 ^[10] 这次泄露事件是由于没有花足够的时间来修补系统而导致的。现在，BCBS 正致力于投入时间和资源来修补系统中的这些漏洞，以防止再次发生泄露事件，这与 Yardic 最初提出的建议本质上是一致的。 ^[10] 这种将系统安全置于首位的新的企业战略将有助于确保未来敏感患者数据的完整性。

总之，可以看出，明尼苏达州的蓝十字蓝盾公司在拒绝修补其网络方面存在疏忽。他们为了利润而牺牲患者隐私，没有投入时间和资源来修复 Tom Yardic 发现的系统中存在的重大漏洞。虽然黑客非法侵入 BCBS 系统并非法访问了受保护的患者数据，但很明显，负责保管这些患者数据的保险公司应对其保护负责。因此，明尼苏达州提议的通过政府监管确保保险公司问责制的法律应该由州议会通过，以降低更多敏感患者数据被泄露的风险。此外，所有保险公司都应效仿 BCBS 的策略，自愿改进其系统，在修补方面投入比以往更多的时间。在新的提议法律和企业内部变革之间，州政府和私人保险公司将协同努力，防止未来发生数据泄露事件，从而保护公司承保患者的隐私。

不幸的是，除了保险行业之外，还有许多其他数据泄露事件，其中一些事件与泄露私人医疗信息一样具有破坏性。通常情况下，就像明尼苏达州 BCBS 的案例一样，公司内部员工会向高层发出警报，警告系统中存在的漏洞。然而，这些警告往往石沉大海。未来伦理案例的作者应该研究保险行业之外类似的告密案例，尤其是与数据泄露有关的案例。他们应该调查在泄露事件发生之前系统中漏洞的预警信号，并查看是否最终应认定泄露事件是由被泄露组织中的管理人员和其他相关方疏忽造成的。

1. ↑ ^{a b} 明尼苏达州蓝十字蓝盾。（2021 年）。我们的故事。https://www.bluecrossmn.com/about-us/our-story#:~:text=We%20are%20a%20nonprofit%20Minnesota,the%20lowest%20in%20the%20country.
2. ↑ ^{a b c} 史蒂夫·奥尔德（2019 年）。明尼苏达州蓝十字蓝盾公司开始修复 200,000 个严重漏洞。https://www.hipaajournal.com/blue-cross-blue-shield-of-minnesota-starts-correcting-200000-critical-and-severe-vulnerabilities/.
3. ↑ ^{a b c d e} 萨拉·科布尔（2019 年）。蓝十字蓝盾告密者警告网络安全漏洞。https://www.infosecurity-magazine.com/news/blue-cross-blue-shield/.
4. ↑ 卡尔森，J. (2019 年 12 月 15 日)。明尼苏达州蓝十字公司加紧加强网络防御措施。https://www.startribune.com/minnesota-blue-cross-scrambles-to-boost-cyber-defenses/566184041/?refresh=true
5. ↑ EPIC（2017 年）。Equifax 数据泄露事件。https://epic.org/privacy/data-breach/equifax/
6. ↑ 加州保险部 (2015 年)。安泰数据泄露事件。https://www.insurance.ca.gov/0400-news/0100-press-releases/anthemcyberattack.cfm
7. ↑ 戴维斯，J. (2019 年 4 月 16 日)。黑客入侵爱达荷州蓝十字供应商门户网站，企图进行欺诈。https://healthitsecurity.com/news/hackers-breach-blue-cross-of-idaho-provider-portal-in-fraud-attempt
8. ↑ ^{a b} 布鲁斯·萨斯曼（2019 年）。网络安全工程师变身告密者：我们目前所知。https://www.bluecrossmn.com/about-us/our-story#:~:text=We%20are%20a%20nonprofit%20Minnesota,the%20lowest%20in%20the%20country.
9. ↑ ^{a b c} 卡尔森，J. (2019 年 12 月 20 日)。明尼苏达州保险公司提出新的数据隐私法。明尼阿波利斯星论坛报。https://www.startribune.com/new-data-privacy-law-proposed-for-minnesota-insurers/566383512/
10. ↑ ^{a b} 麦基，M. (2019 年 12 月 16 日)。保险公司在告密者发出警报后加紧修复安全漏洞。银行信息安全。https://www.bankinfosecurity.com/insurer-races-to-fix-security-flaws-after-whistleblower-alert-a-13508