2019年09月27日
醫(yī)療行業(yè)仍然是勒索軟件,加密,數(shù)據(jù)竊取,網(wǎng)絡(luò)釣魚和內(nèi)部威脅的熱門目標(biāo)。
由于 Anthem 和 Allscripts 等備受矚目的違規(guī)行為,消費者現(xiàn)在更擔(dān)心他們受保護的健康信息 (Protected Health Information, PHI) 會被泄露。最近的 2019 年 RSA 數(shù)據(jù)隱私與安全調(diào)查詢問了歐洲和美國近 6400 名消費者對其數(shù)據(jù)安全的看法。調(diào)查顯示,61% 的受訪者擔(dān)心自己的醫(yī)療數(shù)據(jù)會被泄露。
他們有充分的理由感到擔(dān)心。醫(yī)療保健行業(yè)仍然是黑客的主要目標(biāo),同時也存在很大的風(fēng)險威脅會來自內(nèi)部。
為什么醫(yī)療保健行業(yè)會成為黑客攻擊的目標(biāo)?
醫(yī)療保健相關(guān)的組織機構(gòu)往往具備一些屬性,讓它們成為了對攻擊者來說有吸引力的目標(biāo)。一個關(guān)鍵原因是有很多不同的系統(tǒng)沒有定期打補丁。KnowBe4 的首席宣傳官兼戰(zhàn)略官 Perry Carpenter 表示:其中一些是嵌入式系統(tǒng),由于制造商創(chuàng)建它們的方式,不能輕易打補丁。如果醫(yī)療 IT 部門想要這樣做,那將對供應(yīng)商支持他們的方式造成重大問題。
醫(yī)療保健行業(yè)所做工作的關(guān)鍵性質(zhì)使它們成為了攻擊者的目標(biāo)。在網(wǎng)絡(luò)犯罪領(lǐng)域,健康數(shù)據(jù)是一種有價值的商品,這使得它成為了盜竊的目標(biāo)。由于事關(guān)病人的健康,醫(yī)療機構(gòu)更有可能為勒索軟件支付贖金。
以下是未來一年里醫(yī)療行業(yè)將會面對的六大安全威脅。
1. 勒索軟件
根據(jù) Verizon 2019 年的數(shù)據(jù)泄露調(diào)查報告,勒索軟件攻擊連續(xù)第二年占到了 2019 年醫(yī)療保健行業(yè)所有惡意軟件事件的 70% 以上。另一項 Radware 的《信任因子》(The Trust Factor) 報告顯示,只有 39% 的醫(yī)療機構(gòu)認(rèn)為面對勒索軟件的攻擊,他們做好了足夠或充分的準(zhǔn)備。
勒索軟件攻擊在明年也會持續(xù)存在。Carpenter 表示:在充分強化員工和系統(tǒng)安全之前,(勒索軟件)將持續(xù)取得勝利,并獲得更多動力。他們將繼續(xù)將矛頭對準(zhǔn)會點擊或下載一些東西的人。
原因很簡單:黑客認(rèn)為他們的勒索軟件攻擊更有可能成功,因為如果醫(yī)院、醫(yī)療機構(gòu)和其他衛(wèi)生組織無法訪問患者的記錄,就會危及到這些患者的生命。他們將被迫立即采取行動,支付贖金,而不會通過備份進行漫長的恢復(fù)工作。
“醫(yī)療也是商業(yè)的一種,但醫(yī)療保健也涉及人們的生活。任何時候,如果你的公司涉及到人們生活中最私人、最重要的部分,而你對其構(gòu)成了威脅,就需要立即做出反應(yīng)。這對部署了勒索軟件的網(wǎng)絡(luò)罪犯來說非常有用。
當(dāng)醫(yī)療機構(gòu)無法快速進行恢復(fù)時,勒索軟件導(dǎo)致的后果可能是毀滅性的。這一點在電子健康檔案(Electronic Health Record, EHR)公司Allscripts在1月份因為勒索軟件攻擊而關(guān)停時體現(xiàn)的非常明顯。這次攻擊感染了兩個數(shù)據(jù)中心,導(dǎo)致很多應(yīng)用程序離線,影響了該公司服務(wù)的數(shù)千名醫(yī)療行業(yè)客戶。
2. 竊取病人資料
對網(wǎng)絡(luò)罪犯來說,醫(yī)療數(shù)據(jù)可能比財務(wù)數(shù)據(jù)更有價值。根據(jù) Trend Micro 的醫(yī)療行業(yè)所面臨的網(wǎng)絡(luò)犯罪和其他威脅這份報告,竊取的醫(yī)療保險 ID 在黑市上的售價至少為 1 美元,醫(yī)療檔案的起價為 5 美元。
黑客可以利用身份證和其他醫(yī)療數(shù)據(jù)獲取政府文件,比如駕照。據(jù) Trend Micro 報道,駕照售價約為 170 美元。一個制造完整的身份(一個由完整的 PHI 和一位死者其他的身份數(shù)據(jù)構(gòu)成的身份)可以賣到 1000 美元。相比之下,信用卡號在黑市上只賣幾美分。
Carpenter表示,醫(yī)療記錄比信用卡數(shù)據(jù)更有價值,因為醫(yī)療記錄將大量信息集中在了一個地方,包括財務(wù)信息和個人的關(guān)鍵背景數(shù)據(jù)。身份盜竊所需的一切都在那里。
犯罪分子在竊取健康數(shù)據(jù)方面變得越來越狡猾。偽勒索軟件就是一個例子。這是一種看起來像勒索軟件的惡意軟件,但它并沒有做勒索軟件所做的邪惡的事情,它會在背后竊取醫(yī)療記錄,或在系統(tǒng)中橫向移動,安裝其他間諜軟件或惡意軟件,這些軟件在之后會使犯罪分子受益。
正如下一節(jié)所述,醫(yī)療保健業(yè)行業(yè)內(nèi)的人士也在竊取患者的數(shù)據(jù)。
3. 內(nèi)部威脅
根據(jù) Verizon 保護健康信息數(shù)據(jù)泄露報告,被調(diào)查的醫(yī)療服務(wù)供應(yīng)商中,59% 的威脅行為者是內(nèi)部人士。83% 的情況下其動機與經(jīng)濟利益相關(guān)。
很大一部分的內(nèi)部泄露動機是出于樂趣或好奇心,訪問他們工作職責(zé)之外的數(shù)據(jù)——例如,查詢名人的 PHI。間諜活動和復(fù)仇也是動機之一。Fairwarning 的首席執(zhí)行官 Kurt Long 表示:在病人住院期間,有數(shù)十人可以查閱醫(yī)療記錄,正因為如此,醫(yī)療服務(wù)供應(yīng)商往往會設(shè)置寬松的準(zhǔn)入控制。普通員工可以接觸到大量數(shù)據(jù),因為為了照料病人,他們需要快速獲取數(shù)據(jù)。
醫(yī)療組織機構(gòu)中不同系統(tǒng)的數(shù)量也是一個因素。Long 表示這不僅包括付費和注冊,還包括專門用于婦產(chǎn)科、腫瘤學(xué)、診斷和其他臨床系統(tǒng)的系統(tǒng)。
“任何東西都可能用來交易,從用于身份盜竊的病人數(shù)據(jù)或醫(yī)療身份盜竊欺詐計劃。這已經(jīng)成為了這個行業(yè)的常態(tài)。人們在為自己、朋友、家人謀取錢財,或者(他們正在)轉(zhuǎn)向阿片類藥物或處方藥物。他們獲取處方,然后出售以獲取利潤。
當(dāng)你從整體上看待阿片類藥物危機時,可以說醫(yī)療工作者正坐在系統(tǒng)中處方阿片類藥物帶來的金礦上。這是阿片類藥物危機的最新證明。醫(yī)療工作者認(rèn)識到它們的價值,他們可能會對它們上癮,或者為了經(jīng)濟利益而使用他們的權(quán)利(開處方)。
Long 指出,內(nèi)部人士從竊取病人數(shù)據(jù)中獲利的一個公開例子來自 Memorial Healthcare Systems。去年,為了了結(jié)一起內(nèi)部違規(guī)案件,該公司支付了 550 萬美元的 HIPAA 和解金。在這起案件中,兩名員工訪問了 11 萬 5 千多名患者的 PHI。那次入侵事件徹底改變了 Memorial 對隱私和安全的態(tài)度,以防范未來來自內(nèi)部人士和其他各方的威脅。
4. 網(wǎng)絡(luò)釣魚
網(wǎng)絡(luò)釣魚是攻擊者進入系統(tǒng)最常用的手段。它可以用來安裝勒索軟件、挖礦腳本、間諜軟件或代碼來竊取數(shù)據(jù)。
一些人認(rèn)為,醫(yī)療保健行業(yè)更容易受到網(wǎng)絡(luò)釣魚的影響,但數(shù)據(jù)顯示并非如此。KnowBe4 的一項研究表明,在遭受網(wǎng)絡(luò)釣魚攻擊方面,醫(yī)療保健行業(yè)與大多數(shù)其他行業(yè)不相上下。在規(guī)模為 250 至 1000 名員工的醫(yī)療機構(gòu)里,如果這些員工沒有接受過安全意識培訓(xùn),就有 27.85% 的幾率成為網(wǎng)絡(luò)釣魚的受害者,而行業(yè)平均概率為 27%。
Carpenter表示,你可能會認(rèn)為利他主義、面對生死,可能會導(dǎo)致人們(醫(yī)療工作者)在心理上更容易受到影響去點擊一些東西,但數(shù)據(jù)并沒有證明這一點。
人員規(guī)模與被網(wǎng)絡(luò)釣魚的可能性有很大相關(guān)。KnowBe4 的數(shù)據(jù)顯示,員工人數(shù)在 1,000 人以上的醫(yī)療機構(gòu),平均有 25.6% 的可能性會被網(wǎng)絡(luò)釣魚。
Carpenter 發(fā)現(xiàn)在擁有 1000 多名員工的企業(yè)中,大多數(shù)人接受了更多的培訓(xùn),并且運營的復(fù)雜程度也更高,因為為了遵守嚴(yán)格的規(guī)定,他們不得不使用不同的系統(tǒng)。
5. 加密貨幣劫持
秘密劫持系統(tǒng)進行挖礦,在所有行業(yè)都是一個日益嚴(yán)重的問題。醫(yī)療保健行業(yè)使用的系統(tǒng)對于挖礦者是一個很誘人的目標(biāo),因為保持這些系統(tǒng)的運行至關(guān)重要。系統(tǒng)運行的時間越長,犯罪分子就越有可能通過挖掘加密貨幣獲利。Carpenter說道,在醫(yī)院里,他們可能不會急于拔掉這些機器的插頭(如果懷疑有加密貨幣劫持行為),(受感染的)機器運行的時間越長,犯罪分子就受益越多。
這是假設(shè)醫(yī)療保健行業(yè)從業(yè)人員能夠檢測到加密貨幣劫持行為。挖礦劫持代碼不會危害系統(tǒng),但會消耗大量的計算能力。人們最有可能在系統(tǒng)和生產(chǎn)力降低時發(fā)現(xiàn)它們。一些挖礦人會限制他們的代碼來降低被檢測到的風(fēng)險。很多醫(yī)療機構(gòu)沒有IT或安全人員來識別和應(yīng)對這種加密貨幣劫持攻擊。
6. 入侵物聯(lián)網(wǎng)設(shè)備
醫(yī)療設(shè)備安全多年來一直是醫(yī)療保健領(lǐng)域的一個熱點問題,很多聯(lián)網(wǎng)的醫(yī)療設(shè)備都很容易受到攻擊。問題的關(guān)鍵在于很多醫(yī)療設(shè)備的設(shè)計并沒有考慮到網(wǎng)絡(luò)安全問題。在能打補丁的情況下,補丁通常也只能提供有限的保護。
根據(jù) 2019 年初愛迪德 (Irdeto) 全球互聯(lián)產(chǎn)業(yè)網(wǎng)絡(luò)安全調(diào)查報告,82% 的醫(yī)療機構(gòu)表示他們在過去 12 個月里經(jīng)歷過針對物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)攻擊。這些攻擊造成的平均財務(wù)影響為 346,205 美元。這些攻擊造成的最常見影響是業(yè)務(wù)下線 (47%),其次是客戶數(shù)據(jù)泄露 (42%)和終端用戶安全受損 (31%)。
在制造商開始制造更安全的設(shè)備之前,醫(yī)療保健行業(yè)脆弱的醫(yī)療和其他聯(lián)網(wǎng)設(shè)備將持續(xù)帶來風(fēng)險。但更新、更安全的型號要取代舊型號設(shè)備還需要數(shù)年的時間。
降低醫(yī)療安全風(fēng)險的一些建議
加強對關(guān)鍵系統(tǒng)的維護和更新工作。那些老舊的未打補丁的系統(tǒng)作為關(guān)鍵設(shè)備被嵌入其中,這一事實導(dǎo)致這些系統(tǒng)非常容易受到勒索軟件的影響。這可能很困難,因為維護過程可能會破壞關(guān)鍵系統(tǒng)或使供應(yīng)商支持系統(tǒng)的能力受損。
在某些情況下,對于已知的漏洞沒有可用的補丁。Carpenter 建議在供應(yīng)商沒有或不能修復(fù)或更新系統(tǒng)的情況下對他們施加壓力,對供應(yīng)商強勢一些,問問他們?yōu)槭裁催@些系統(tǒng)不能或沒有更新,并從行業(yè)角度施加壓力。
對員工進行培訓(xùn)。根據(jù) KnowBe4 的研究,在培訓(xùn)員工識別網(wǎng)絡(luò)釣魚企圖方面,醫(yī)療保健行業(yè)低于平均水平。很多醫(yī)療機構(gòu)規(guī)模都很小——不到 1000 名員工,這可能是一個原因。Carpenter表示,不僅僅是告訴他們應(yīng)該做什么,是要建立一個行為條件項目,訓(xùn)練他們不要點擊釣魚鏈接。
這個項目會給員工發(fā)送模擬的釣魚郵件。點擊這些鏈接的員工會立即收到反饋,告訴他們自己做了什么以及他們在未來如何去做正確的事情。這樣的項目可以產(chǎn)生巨大的影響。
如果能夠持續(xù)進行培訓(xùn),培訓(xùn)會產(chǎn)生效果。KnowBe4 的研究表明,擁有 250 到 999 名員工的醫(yī)療機構(gòu)在經(jīng)過一年的網(wǎng)絡(luò)釣魚培訓(xùn)和測試后,被網(wǎng)絡(luò)釣魚的可能性可以從 27.85% 下降到 1.65%。
注意員工信息。網(wǎng)絡(luò)釣魚攻擊越個性化,成功的機會就越大。在魚叉式釣魚攻擊中,攻擊者試圖盡可能多地了解目標(biāo)本身。Carpenter說道,如果 “不在辦公室” 的回復(fù)給出了可以聯(lián)系的人的名字,(攻擊者)可以通過這些名單和關(guān)系來建立信任。
加強防御和應(yīng)對威脅的能力。Long說道,自己(對醫(yī)療安全)最擔(dān)心的一件事是,醫(yī)護人員沒有能力在發(fā)現(xiàn)事件以后對其進行適當(dāng)?shù)恼{(diào)查,沒有能力對事件進行記錄和評估,也無法進行充分的取證,以配合執(zhí)法或法律行動。醫(yī)療機構(gòu)也缺少能夠進行徹底修復(fù)的工作人員,有了這些工作人員這種情況就不會再發(fā)生了。他的建議是:從員工或合作伙伴那里獲得專業(yè)知識。并且安全性需要成為董事會和管理層的優(yōu)先考慮的事項,確定安全優(yōu)先級后的第一步是確保你有一位具有相關(guān)經(jīng)驗的專職 CISO。
Long 表示規(guī)模較小的醫(yī)療服務(wù)提供商可能沒有資源雇傭 CISO,但他們?nèi)匀恍枰獌?yōu)先考慮安全性。他們可能需要在如何獲得一流的安全專業(yè)知識方面更具有創(chuàng)造性。可能是通過合作關(guān)系或托管安全服務(wù),但沒有方案能夠替代直接走上前說,“我的病人的安全需要得到保障,我必須進行合作,或在這里找到合適的安全專業(yè)人員。”
江蘇國駿為您提供全面可信的信息安全服務(wù)
http://www.jewellerybykaren.com/
免費咨詢熱線:400-6776-989
長按二維碼關(guān)注我們
