2018年10月25日
醫療行業覆蓋面廣,產值巨大,卻是最容易遭到網絡攻擊的,成為網絡攻擊者目標的可能性幾乎是其他行業的2倍,每年都有數不清數據泄露事件發生,數百萬患者信息被竊。如果醫療行業不跟上黑客和身份竊賊技術技巧的進化,危機還會升級。
醫療行業網絡安全現狀
2015年,1.13億患者淪為醫療行業信息泄露事件的受害者,利益受損,身份被盜。醫療機構遭受網絡攻擊的次數之多或許就是一個指征:醫療機構平均每天受到3.2萬次網絡攻擊,遭攻擊概率比其他行業高得多。網絡安全基礎設施的缺乏和個人信息的高價值,令醫療機構更容易成為網絡罪犯的目標。
醫療行業對電子病歷和聯網醫療設備的依賴越來越深,未來幾年醫療行業數據泄露問題可能變得更加嚴重。2017年網絡攻擊總損失在12億美元左右,這一數字還將隨著醫療行業攻擊界面的擴大而上升。正如消費者和病患有自己的資源防止身份盜竊,醫療機構也需設置自己的系統來抵御網絡威脅。未來幾年醫療行業可能面臨的最大威脅有:
1. 數據泄露
所有行業中醫療行業的數據泄露概率最高。2017年的551起數據泄露事件中有60%出自醫療行業。某些案例中黑客悄無聲息地潛入醫療數據庫長達數周之久。
最常見的數據泄露類型是基于惡意軟件的黑客攻擊。黑客從醫療數據及醫療記錄售賣中賺取的利潤比賣非醫療行業個人數據高100倍以上。但也不是所有的數據泄露都與網絡安全相關,內部員工故意盜竊或無意遺失筆記本電腦也有可能造成數據泄露。
為抵御數據泄露,醫療機構應確保從病患到機構數據存儲的每一個環節中數據都是加密的。培育醫療行業員工的數據安全意識也能減少意外泄露事件。
2. 勒索軟件
2017年堪稱勒索軟件年,勒索軟件攻擊是上一年的3倍,而醫療行業是其中的重災區。勒索軟件病毒會鎖定系統或文件,除非支付給黑客贖金,否則設備無法使用。危重病人護理需要使用IT系統,如果重癥監護過程因勒索軟件而陷入停頓,患者生命就會受到極大威脅。
2016年,好萊塢長老教會醫學中心遭遇勒索軟件攻擊,所有手術無法進行,中心高層不得不支付給攻擊者1.7萬美元以恢復醫院運轉。對攻擊的分析表明,黑客并沒有利用醫院員工作為突入點,而是攻陷了一臺過時的服務器。此類攻擊充分證明了良好的網絡安全方法應包含兩個部分:員工培訓與嚴格的網絡安全規程。
3. 社會工程
希望利用醫療網絡安全系統漏洞的黑客往往盯上醫院員工和其他相關人員以獲取訪問權。此類攻擊通過社會工程方法實施,能顛覆哪怕最嚴格的系統。網絡釣魚攻擊是最常用的社會工程方法,利用精心編制的電子郵件誘騙受害者點擊惡意鏈接或輸入其口令信息。這些電子郵件經常會直接下載惡意軟件安裝到系統中,賦予攻擊者無限權限。
與其他安全威脅不同,社會工程方法只能通過安全教育來抵御。應培訓員工和管理層識別網絡釣魚郵件和規避惡意鏈接。很多公司企業會采用“紅隊”策略,讓經驗豐富的網絡安全人員充當攻擊者,測試公司的安全準備度。
4. 分布式拒絕服務攻擊(DDoS)
DDoS攻擊完全是破壞性的,是激進黑客主義者的慣用手法,可以中斷網絡,作為抗議或無政府主義示威。這種攻擊協同成百上千臺電腦發起,造成網絡或服務器流量過載,直至無法提供服務。
2014年,波士頓兒童醫院卷入一起有爭議的14歲病患監護權案件。此案的敏感性刺激了黑客主義者團體“匿名者”發起DDoS攻擊,持續1周時間的攻擊造成約30萬美元的損失。醫療行業與政治往往緊密相關,未來很可能見證更多的的DDoS攻擊。與服務提供商緊密合作可以確保關鍵網絡在遭遇DDoS時能維持運營。
5. 內部人威脅
醫療機構的網絡安全系統取決于其最弱一環。最嚴格的網絡安全網絡也能被內部人繞過,所以此類攻擊也是最難以預防的。很多心懷怨恨或抱有犯罪動機的雇員通過從內部給醫院網絡安裝上入口點而破壞醫療機構的網絡安全。
內部人威脅未必是惡意的。醫院中個人設備的增多給醫療機構帶來了額外的內部人威脅。智能手機、平板電腦和筆記本在81%的醫療機構中是允許使用的,但僅半數機構有針對這些設備的安全計劃。個人設備往往未經加密,還很可能帶有可能破壞其所連接網絡的惡意病毒或“蠕蟲”。
網絡安全是個不斷在發展的領域。醫療機構必須保持對安全協議的不斷投入,才能領先大多數常見攻擊一步。絕對的安全是不可能的,但減少服務中斷和數據丟失可以大幅推動醫療機構向前發展。