導讀:最近的2019年RSA數(shù)據隱私與安全調查詢問了歐洲和美國近6400名消費者對其數(shù)據安全的看法。調查顯示,61%的受訪者擔心他們的醫(yī)療數(shù)據被泄露。
由于Anthem和Allscripts等備受矚目的違規(guī)行為,消費者現(xiàn)在更擔心他們受保護的健康信息(PHI)會受到損害。最近的2019年RSA數(shù)據隱私與安全調查詢問了歐洲和美國近6400名消費者對其數(shù)據安全的看法。調查顯示,61%的受訪者擔心他們的醫(yī)療數(shù)據被泄露。
他們有充分的理由對此表示擔心。醫(yī)療保健行業(yè)仍然是黑客的主要目標,并且內部威脅也有很大的風險。
為什么醫(yī)療保健行業(yè)是黑客的目標
醫(yī)療保健組織往往有一些特殊的屬性,使其成為了攻擊者的誘人目標。一個關鍵原因是大量的沒有定期修補的不同系統(tǒng)?!捌渲幸恍┦乔度胧较到y(tǒng),由于制造商創(chuàng)建它們的方式,這些系統(tǒng)無法被輕松地修補?!薄叭绻t(yī)療保健的IT部門選擇這樣做,將會給供應商支持他們的方式帶來重大問題?!盞nowBe4的首席布道師兼戰(zhàn)略官Perry Carpenter說。
醫(yī)療保健機構所做事情的關鍵性質也使他們容易成為攻擊者的目標。健康數(shù)據在網絡犯罪世界中是一種有價值的商品,這自然而然的使它成為了盜竊的目標。因為事關重大--涉及到病人的福祉--醫(yī)療保健機構也更有可能支付贖金要求。
下面是未來一年中6個最大的醫(yī)療安全威脅。
1. 勒索軟件
根據Verizon 2019年的數(shù)據泄露調查報告,勒索軟件攻擊已連續(xù)第二年占據了2019年醫(yī)療行業(yè)所有惡意軟件事件的70%以上。另一項調查,Radware的信任因素報告顯示,只有39%的醫(yī)療機構認為自己對勒索軟件攻擊準備得非常充分或極其充分。
沒有理由相信勒索軟件攻擊將會在明年逐漸消失?!霸谖覀兂浞謴娀覀兊膯T工和系統(tǒng)之前,勒索軟件將繼續(xù)被證明是成功的,并獲得更多的動力。他們將繼續(xù)使用的載體是點擊某個東西或下載某個東西的人。”Carpenter說。
原因很簡單:黑客認為他們的勒索軟件攻擊非常有可能成功,因為醫(yī)院和醫(yī)療機構如果無法訪問患者記錄,就會危及生命。他們會感到壓力被迫立即采取行動和支付贖金,而不是經歷漫長的備份恢復過程。
“醫(yī)療保健是一項事業(yè),并且與人們的生活息息相關?!盋arpenter說?!叭魏螘r候,當你的企業(yè)與人們生活中最私人、最重要的部分交織在一起,并可能對其造成威脅時,你都需要立即做出反應。這對部署勒索軟件的網絡罪犯來說非常有效?!?/p>
當醫(yī)療保健組織無法迅速恢復時,勒索軟件的影響可能是毀滅性的。當電子健康記錄(EHR)公司Allscripts在一月份因一次惡意軟件攻擊而關閉時,這一點就被戲劇性地提出來了。該攻擊感染了兩個數(shù)據中心,并導致許多應用程序離線,影響了數(shù)以千計的醫(yī)療保健提供商客戶。
2. 竊取患者數(shù)據
對網絡罪犯來說,醫(yī)療保健數(shù)據可能比財務數(shù)據更有價值。根據趨勢科技的網絡犯罪和醫(yī)療行業(yè)報告中所提到的其他威脅,被盜的醫(yī)療保險身份證在暗網上至少可以賣1美元,而醫(yī)療檔案的起價為5美元。
黑客可以使用身份證和其他醫(yī)療數(shù)據中的數(shù)據來獲取政府文件,如駕駛執(zhí)照,根據趨勢科技的報告,這些文件的售價約為170美元。一個完整的農場身份--一個由完整的PHI和死者的其他身份數(shù)據創(chuàng)建的身份--可以賣到1000美元。相比之下,信用卡號碼在黑網上只能夠賣到幾便士。
Carpenter說:“醫(yī)療記錄之所以比信用卡數(shù)據更有價值,是因為它們在一個地方聚集了大量信息。”包括個人的財務信息和關鍵的背景數(shù)據?!吧矸荼I竊所需的一切都在那里?!?/p>
罪犯在如何竊取健康數(shù)據方面變得越來越狡猾了。偽勒索軟件就是一個例子?!翱雌饋硐窭账鬈浖膼阂廛浖鋵嵅]有做勒索軟件所做的所有邪惡的事情,”Carpenter說?!霸谄溲谏w下,它竊取醫(yī)療記錄或在系統(tǒng)間橫向移動,安裝其他間諜軟件或惡意軟件,這些軟件或惡意軟件將在以后對罪犯有利?!?/p>
正如下一節(jié)所解釋的,醫(yī)療保健行業(yè)的業(yè)內人士也在竊取患者數(shù)據。
3. 內部威脅
根據Verizon的防止健康信息數(shù)據泄露報告,59%被調查的醫(yī)療服務提供商的數(shù)據泄露事件的行動者是內部人員。在83%的情況下,經濟收益是其主要動機。
很大一部分內部違規(guī)行為是出于樂趣或好奇心,主要是訪問他們工作職責之外的數(shù)據--比如查閱名人的個人信息。間諜活動和積怨也是動機之一?!霸诓∪肆粼卺t(yī)療系統(tǒng)中的過程中,有幾十個人可以獲得其醫(yī)療記錄,”Fairwarning公司的首席執(zhí)行官Kurt Long說?!罢驗槿绱?,醫(yī)療保健提供商往往也有著松散的訪問控制。普通員工可以訪問大量數(shù)據,因為他們需要快速獲取數(shù)據來照顧他人?!?/p>
醫(yī)療機構中不同系統(tǒng)的數(shù)量也是因素之一。這不僅包括計費和注冊部門,還包括了專門用于婦產科、腫瘤學、診斷和其他的臨床系統(tǒng),Long說。
“從竊取病人數(shù)據到用于身份盜竊或醫(yī)療身份盜竊的欺詐計劃,都可以獲得財務上的回報。這已經成為了該行業(yè)的一個常規(guī)部分了,”Long說。“人們正在為自己或朋友或家人改變賬單,或者進行阿片類藥物的轉移或處方轉移。他們可以獲取處方并出售它們以獲取利潤?!?/p>
“當你從總體上看阿片類藥物的危機時,這就是對醫(yī)療保健環(huán)境的直接解釋,在醫(yī)療保健環(huán)境中,醫(yī)護人員正坐在系統(tǒng)中阿片類藥物的金礦上面,”Long說?!斑@是阿片類藥物整體危機的最新數(shù)據。醫(yī)護人員認識到了它們的價值,他們可能會沉迷于它們,或者利用他們獲得的處方來獲得經濟利益?!?/p>
Long指出,內部人士從竊取的患者數(shù)據中獲利的一個公開例子就是Memorial醫(yī)療系統(tǒng)的案例。去年,該公司支付了550萬美元的HIPAA和解金,以了結一項內部違規(guī)行為,即兩名員工訪問了超過11.5萬名患者的PHI。這一違規(guī)行為導致Memorial醫(yī)療系統(tǒng)徹底改變了其隱私和安全姿態(tài),以幫助防范未來的內部人員和其他威脅。
4. 網絡釣魚
網絡釣魚是攻擊者獲取系統(tǒng)入口最常用的手段。它可用于安裝勒索軟件、加密腳本、間諜軟件以及竊取數(shù)據的代碼。
一些人認為醫(yī)療保健更容易受到網絡釣魚的攻擊,但數(shù)據顯示的情況并非如此。KnowBe4的一項研究表明,在遭受釣魚攻擊方面,醫(yī)療保健行業(yè)與大多數(shù)其他行業(yè)不相上下。一家擁有250到1000名員工的醫(yī)療機構,在沒有接受過安全意識培訓的情況下,遭受網絡釣魚攻擊的幾率為27.85%,而所有行業(yè)的平均幾率為27%。
Carpenter說:“(你可能會認為)利他主義、迫在眉睫的生死狀況可能會導致人們做好心理準備,去點擊一些讓(醫(yī)療工作者)更容易受到影響的東西,但調查數(shù)字并沒有證明這一點。”
當談到網絡釣魚的敏感性時,規(guī)模很重要。KnowBe4的數(shù)據顯示,員工在1,000人以上的醫(yī)療機構中,平均有25.6%的人可能會被詐騙?!霸趽碛?000多名員工的組織中,我們看到他們中的大多數(shù)人接受了更多一點的培訓,并會在更高的復雜程度上運作,因為他們必須建立不同的系統(tǒng)來遵守嚴格的法規(guī),”Carpenter說。
5. 加密挖礦
秘密劫持系統(tǒng)以開采加密貨幣是所有行業(yè)中日益嚴重的問題。醫(yī)療保健中所使用的系統(tǒng)是加密挖礦(cryptojacking)非常有吸引力的目標,因為保持它們的運行至關重要。該系統(tǒng)運行的時間越長,犯罪分子就越有可能獲得加密貨幣?!霸卺t(yī)院環(huán)境中,即使懷疑有人在加密挖礦,他們也可能不會急于拔掉機器的插頭,”Carpenter說?!笆懿《靖腥镜臋C器運行的時間越長,對罪犯的好處就越大?!?/p>
這還是在假設醫(yī)療保健提供者能夠檢測到加密挖礦操作的情況下。加密挖礦代碼不會損害系統(tǒng),但是會消耗大量的計算能力。只有當系統(tǒng)和生產力變慢時才有可能識別到它。一些加密挖礦者會限制他們的代碼以降低檢測風險。而許多醫(yī)療保健組織也沒有IT或安全人員來識別和修復這種加密貨幣攻擊。
6. 被黑客入侵的物聯(lián)網設備
醫(yī)療設備的安全多年來就一直是醫(yī)療保健領域的熱點問題,眾所周知,許多網絡或互聯(lián)網連接的醫(yī)療設備非常容易受到攻擊。問題的關鍵是,許多醫(yī)療設備的設計并沒有考慮到網絡安全問題。在可能的情況下,修補通常只提供邊緣保護。
根據從2019年初開始的Irdeto全球互聯(lián)行業(yè)網絡安全調查,82%的醫(yī)療機構表示,他們在過去的12個月里經歷過針對物聯(lián)網設備的網絡攻擊。這些襲擊的平均財務影響為346205美元。這些攻擊最常見的影響是操作停機(47%),其次是客戶數(shù)據泄露(42%)和終端用戶的安全性泄露(31%)。
在制造商開始制造更安全的設備之前,醫(yī)療保健領域易受攻擊的醫(yī)療設備和其他連接設備將繼續(xù)是一個威脅。雖然問題很普遍,但更新、更安全的型號要取代舊型號還需要很多年。
最小化醫(yī)療安全威脅的技巧
更好地修補和更新關鍵系統(tǒng)?!笆聦嵣希切┡f的未修補系統(tǒng)常常是作為關鍵設備嵌入的,這導致了勒索軟件的更大威脅,”Carpenter說。這可能會很困難,因為修補過程可能會中斷關鍵系統(tǒng)或削弱供應商支持系統(tǒng)的能力。
在某些情況下,或許也沒有可用于已知漏洞的修補程序。Carpenter建議應該在供應商沒有或不能修補或更新系統(tǒng)的情況下向他們施壓?!芭c供應商保持積極的關系,詢問為什么這些系統(tǒng)不能或沒有更新,并保持一個行業(yè)的壓力?!?/p>
培訓員工。根據KnowBe4的研究,醫(yī)療保健行業(yè)在培訓員工識別網絡釣魚方面低于平均水平。許多醫(yī)療保健機構的規(guī)模很小,不到1000名員工,這可能是一個因素。Carpenter說:“這不僅僅是要告訴他們應該做什么?!蹦阈枰獎?chuàng)建一個行為模擬程序,來訓練他們不要點擊網絡釣魚鏈接。
這個程序意味著需要發(fā)送模擬釣魚郵件。點擊鏈接的員工應該會立即收到關于他們做了什么以及他們應該如何做正確事情的反饋。這樣的項目會產生巨大的影響。
如果長期堅持使用,培訓就會起作用。KnowBe4的研究顯示,在擁有250至999名員工的醫(yī)療機構中,經過一年的網絡釣魚培訓和測試后,其對網絡釣魚的敏感度可從27.85%降至1.65%。
小心有關員工的信息。網絡釣魚攻擊越個性化,成功的可能性就越大。在魚叉式網絡釣魚攻擊中,攻擊者會試圖盡可能多地了解目標個人。Carpenter說:“如果不在辦公室的回復給出了要聯(lián)系的人的名字,攻擊者就可以通過使用這些名字和關系鏈來建立信任?!薄?/p>
增強你防御和應對威脅的能力。“我(對醫(yī)療安全)最擔心的事情是,醫(yī)護人員缺乏在發(fā)現(xiàn)事故后進行適當調查的能力,缺乏對事故進行記錄和評估危害的能力,缺乏與執(zhí)法部門或法律部門合作以進行充分取證的能力。他們也缺乏能夠進行補救的員工,無法保證這種情況再也不會發(fā)生了,”Long說。他的建議是:“通過員工或合作伙伴關系來獲得正確的專業(yè)知識?!彼a充說,安全性需要成為董事會和管理層的優(yōu)先事項?!按_定安全優(yōu)先級后的第一步是確保您有一個具有適用經驗的敬業(yè)的CISO?!?/p>
規(guī)模較小的醫(yī)療保健提供商可能沒有資源雇傭CISO,但他們仍然需要優(yōu)先考慮安全性,Long說?!八麄兛赡苄枰讷@得一流的安全專業(yè)知識方面更具創(chuàng)造性。這可能是通過合作或管理安全服務實現(xiàn)的,但沒有人能夠代替他們自己站出來說,我的病人應該得到安全保障,我必須致力于合作或讓合適的安全人員進入到這里?!?/p>