專業精神/湯姆·亞迪克和明尼蘇達州藍十字藍盾

藍十字藍盾協會 (BCBSA) 是一家大型 501(c)(4) 公益組織，成立於 1982 年藍十字和藍盾合併時 [1]。 BCBSA 由美國 35 家獨立的健康保險公司組成。^[1] 2018 年，明尼蘇達州藍十字藍盾的網路安全工程師湯姆·亞迪克對公司伺服器上發現的嚴重漏洞提出了內部擔憂。^[2] 檢測到超過 20 萬個關鍵漏洞，這些漏洞滲透到超過 2000 臺獨立伺服器。一些最早的威脅可以追溯到 2010 年，其中一半以上的威脅存在超過三年。^[2] 這一持續存在的問題增加了明尼蘇達州藍十字藍盾客戶的風險。雖然明尼蘇達州藍十字藍盾只是全國 BCBSA 的一個分會，但他們仍然為 390 萬客戶提供保險。^[3] 投保合同的貨幣價值約為 60 億美元。近年來，新的基於雲的醫療保健創新已經出現，並提高了醫生的效率，從而允許更多患者接受醫療服務。^[3] 但是，這些系統中的漏洞可能導致潛在的醫療欺詐和其他洩漏。

2019 年 9 月，他的團隊仍然無視他安裝軟體補丁的請求。由於藍十字藍盾未能充分解決檢測到的漏洞，亞迪克透過在 9 月 16 日向執行長和董事會發送電子郵件，解釋了該問題有多嚴重，從而將該問題升級。^[2] “我傳送這封電子郵件是因為我無法透過組織提供的渠道影響這種情況，”亞迪克寫道。“沒有發生的事情是認真地試圖解決這種情況。”^[3] 亞迪克最終離開了藍十字藍盾，繼續他的流程改進顧問的職業生涯，但在此之前，他確認了問題將得到解決。2019 年 12 月，BSBS 在其系統缺陷在當地新聞中公開之前幾天，釋出了其 IT 安全主管的宣告，強調他們對網路安全的承諾。^[3] 該公司在 2020 年專門花費時間修復和修補這些廣泛的漏洞。亞迪克的行為體現了專業精神，同時也突出了 其他藍十字藍盾實體 中發生的更廣泛的網路安全問題。^[3]

藍十字藍盾協會是美國健康保險公司的聯盟，為三分之一的美國人提供保險。它的 35 個組成公司在州一級或區域一級運作，它們在非營利或營利企業的地位上也各不相同。明尼蘇達州藍十字藍盾被歸類為一個州立非營利公司。^[1]

在軟體術語中，漏洞是指一個弱點，網路攻擊者可以利用它獲得對計算機系統的未經授權的訪問許可權，或對計算機系統執行未經授權的操作。漏洞可能來自多種來源，並且解決它們的難度和時間消耗各不相同。漏洞透過修補過程來解決。

在程式設計術語中，補丁是修復軟體漏洞和其他問題的更新。雖然修補看起來很簡單，但公司必須事先進行一些考慮。公司可能需要花費數小時才能將補丁應用到其軟體系統，這會導致收入損失。因此，為了減少對正常業務運營的影響，許多公司很少進行修補。不經常修補存在風險，在一項針對受資料洩露影響公司的調查中，他們中 60% 的人知道漏洞將在發生資料洩露之前變成資料洩露，但出於某種原因，他們事先沒有修補漏洞。^[4]

網路釣魚攻擊以虛假電子郵件的形式出現，旨在誘騙接收者放棄敏感的登入資訊，不法分子和敵對組織利用這些資訊訪問私人資料。

在湯姆·亞迪克的專業事件發生之前，在美國還有其他客戶資訊洩露的例子。

2017 年，信用局 Equifax 在 2017 年發生了一起資訊洩露事件。洩露事件的起因是第三方軟體漏洞，該漏洞已經得到修復，但補丁沒有在 Equifax 的伺服器上實施，導致迄今為止最大的涉及身份盜竊的網路犯罪之一，1.48 億成員受到影響。Equifax 在洩露事件發生前兩個月就收到了對漏洞的警告，但仍然選擇不進行修補。^[5]

2015 年，安瑟姆是 BCBSA 的另一家公司，在 2015 年經歷了一次洩露事件。洩露事件的起因是網路釣魚攻擊，攻擊者竊取了資料庫管理員的登入憑據，並獲得了客戶私人資料的訪問許可權。這些資料包括姓名、出生日期、收入資料和社會安全號碼，7900 萬客戶受到影響。^[6] 同樣，在 2019 年，愛達荷州藍十字也發生了一起由網路釣魚造成的洩露事件，攻擊者獲得了包括患者姓名、賬戶號碼和付款資料在內的客戶資料的訪問許可權，影響了 55,000 名會員。^[7]

丹·阿普萊蓋特 是康維爾噴氣式飛機的產品工程總監。阿普萊蓋特意識到了貨艙門閂系統存在的安全威脅，並表達了對飛機安全執行的擔憂。在管理層未能解決問題後，阿普萊蓋特並沒有揭露公司的錯誤決定。阿普萊蓋特未能向公眾披露公司飛機存在缺陷，導致一架滿載乘客的飛機在巴黎郊外墜毀，機上 346 名乘客全部遇難。雖然航空和網路安全是兩個不同的行業，但這兩個案例都表明了企業疏忽。一位在風險管理和技術控制目標方面擁有獨特經驗的專業人士接受了採訪，以解釋 Yardic 案例的重要性。 ^[8] 他解釋說，“資訊是當今醫療保健中最關鍵的資產，而將資訊儲存在未更新和未受保護的系統中則是疏忽。”^[8] Yardic 向 BCBSA 高管發出警報的決定，挽救了數百萬人的敏感醫療資料。他將他人的安全置於自身職業發展之上，體現了專業精神。

本案的主要結果包括明尼蘇達州提出了一項新的隱私保護法，以防止未來發生敏感資料的洩露事件，以及 BCBS 內部做出的加強系統防範未來攻擊的企業變更。明尼蘇達州州長蒂姆·沃爾茲已提議明尼蘇達州議會透過一項有關保險隱私安全的統一法律。 ^[9] 這項法律由國家保險專員協會 (NAIC) 編寫，目前已由 8 個州透過。 ^[9] 目標是讓所有州都透過這項立法，以便在全國範圍內統一保護敏感的患者資訊。這項法律將使州商務部能夠調查保險公司對患者資訊洩露事件進行調查，並要求保險公司向州政府報告他們在系統中發現的洩露事件。 ^[9] 最終結果將是，由於問責制的提高，患者資訊系統將得到更好的保護。除了即將頒佈的立法之外，BCBS 還採取了自願措施來提高其系統完整性，以防止未來發生令人尷尬的患者資料洩露事件。 ^[10] 這次洩露事件是由於沒有花足夠的時間來修補系統而導致的。現在，BCBS 正致力於投入時間和資源來修補系統中的這些漏洞，以防止再次發生洩露事件，這與 Yardic 最初提出的建議本質上是一致的。 ^[10] 這種將系統安全置於首位的新的企業戰略將有助於確保未來敏感患者資料的完整性。

總之，可以看出，明尼蘇達州的藍十字藍盾公司在拒絕修補其網路方面存在疏忽。他們為了利潤而犧牲患者隱私，沒有投入時間和資源來修復 Tom Yardic 發現的系統中存在的重大漏洞。雖然駭客非法侵入 BCBS 系統並非法訪問了受保護的患者資料，但很明顯，負責保管這些患者資料的保險公司應對其保護負責。因此，明尼蘇達州提議的透過政府監管確保保險公司問責制的法律應該由州議會透過，以降低更多敏感患者資料被洩露的風險。此外，所有保險公司都應效仿 BCBS 的策略，自願改進其系統，在修補方面投入比以往更多的時間。在新的提議法律和企業內部變革之間，州政府和私人保險公司將協同努力，防止未來發生資料洩露事件，從而保護公司承保患者的隱私。

不幸的是，除了保險行業之外，還有許多其他資料洩露事件，其中一些事件與洩露私人醫療資訊一樣具有破壞性。通常情況下，就像明尼蘇達州 BCBS 的案例一樣，公司內部員工會向高層發出警報，警告系統中存在的漏洞。然而，這些警告往往石沉大海。未來倫理案例的作者應該研究保險行業之外類似的告密案例，尤其是與資料洩露有關的案例。他們應該調查在洩露事件發生之前系統中漏洞的預警訊號，並檢視是否最終應認定洩露事件是由被洩露組織中的管理人員和其他相關方疏忽造成的。

1. ↑ ^{a b} 明尼蘇達州藍十字藍盾。（2021 年）。我們的故事。https://www.bluecrossmn.com/about-us/our-story#:~:text=We%20are%20a%20nonprofit%20Minnesota,the%20lowest%20in%20the%20country.
2. ↑ ^{a b c} 史蒂夫·奧爾德（2019 年）。明尼蘇達州藍十字藍盾公司開始修復 200,000 個嚴重漏洞。https://www.hipaajournal.com/blue-cross-blue-shield-of-minnesota-starts-correcting-200000-critical-and-severe-vulnerabilities/.
3. ↑ ^{a b c d e} 薩拉·科布林（2019 年）。藍十字藍盾告密者警告網路安全漏洞。https://www.infosecurity-magazine.com/news/blue-cross-blue-shield/.
4. ↑ 卡爾森，J. (2019 年 12 月 15 日)。明尼蘇達州藍十字公司加緊加強網路防禦措施。https://www.startribune.com/minnesota-blue-cross-scrambles-to-boost-cyber-defenses/566184041/?refresh=true
5. ↑ EPIC（2017 年）。Equifax 資料洩露事件。https://epic.org/privacy/data-breach/equifax/
6. ↑ 加州保險部 (2015 年)。安泰資料洩露事件。https://www.insurance.ca.gov/0400-news/0100-press-releases/anthemcyberattack.cfm
7. ↑ 戴維斯，J. (2019 年 4 月 16 日)。駭客入侵愛達荷州藍十字供應商入口網站，企圖進行欺詐。https://healthitsecurity.com/news/hackers-breach-blue-cross-of-idaho-provider-portal-in-fraud-attempt
8. ↑ ^{a b} 布魯斯·薩斯曼（2019 年）。網路安全工程師變身告密者：我們目前所知。https://www.bluecrossmn.com/about-us/our-story#:~:text=We%20are%20a%20nonprofit%20Minnesota,the%20lowest%20in%20the%20country.
9. ↑ ^{a b c} 卡爾森，J. (2019 年 12 月 20 日)。明尼蘇達州保險公司提出新的資料隱私法。明尼阿波利斯星論壇報。https://www.startribune.com/new-data-privacy-law-proposed-for-minnesota-insurers/566383512/
10. ↑ ^{a b} 麥基，M. (2019 年 12 月 16 日)。保險公司在告密者發出警報後加緊修復安全漏洞。銀行資訊安全。https://www.bankinfosecurity.com/insurer-races-to-fix-security-flaws-after-whistleblower-alert-a-13508