Trustwave發(fā)布了一份2015年醫(yī)療行業(yè)的安全報(bào)告，通過對(duì)398名專業(yè)的醫(yī)療專業(yè)人員(部分是技術(shù)人員，包括CIO、CISO、IT主管等，另一部分是普通的醫(yī)護(hù)人員)的調(diào)查，發(fā)現(xiàn)有91%的調(diào)查對(duì)象認(rèn)為針對(duì)醫(yī)療行業(yè)的網(wǎng)絡(luò)攻擊活動(dòng)越來(lái)越多，然而用在保護(hù)病人敏感信息方面的預(yù)算卻還不到10%。

[[154444]]

在過去的兩年間，有90%的醫(yī)療行業(yè)公司均遭到黑客攻擊，泄露病人數(shù)據(jù)。為什么醫(yī)療行業(yè)會(huì)成為網(wǎng)絡(luò)攻擊的中心目標(biāo)呢?大致原因有：

1，醫(yī)療記錄迅速的轉(zhuǎn)移到了網(wǎng)上，并且在病人、醫(yī)療機(jī)構(gòu)之間可共享;

2，物聯(lián)網(wǎng)設(shè)備和云服務(wù)的使用;

3，醫(yī)療健康保險(xiǎn)數(shù)據(jù)的價(jià)值越來(lái)越高。

全球電子醫(yī)療保健記錄系統(tǒng)中的數(shù)據(jù)在以每年5.5%的速度增長(zhǎng)，其中的數(shù)據(jù)量可想而知是非常驚人的。從醫(yī)院到內(nèi)科醫(yī)生、急診門診，再到健康保障組織，無(wú)不涵蓋著病人的敏感數(shù)據(jù)，所以刻不容緩的需要采取安全保障措施來(lái)保護(hù)它們。任何企業(yè)都會(huì)遇到安全威脅，但是當(dāng)這種安全問題威脅到個(gè)人的生命安全，那問題就變得非常嚴(yán)重了。

方法論

Trustwave在第三方專業(yè)調(diào)查公司的幫助下，對(duì)398位專業(yè)的全職醫(yī)療行業(yè)人員(其中198位是技術(shù)人員，200位是非技術(shù)人員)進(jìn)行了調(diào)查。目的是衡量醫(yī)療保健機(jī)構(gòu)所面臨的挑戰(zhàn)、員工們的安全意識(shí)和期望。

數(shù)據(jù)泄露

在過去的幾年間，美國(guó)政府曾傾注了數(shù)百億的資金來(lái)扶持醫(yī)療保障行業(yè)使用電子醫(yī)療保健記錄技術(shù)，目的是為了提高病患照顧質(zhì)量、減少醫(yī)療錯(cuò)誤的發(fā)生、降低就醫(yī)成本等。由此說(shuō)來(lái)，病人的醫(yī)療記錄可被所有的醫(yī)療機(jī)構(gòu)共享，方便快捷，但同時(shí)也給攻擊者留下了一個(gè)廣闊的攻擊場(chǎng)所。

總而言之，幾乎所有醫(yī)療行業(yè)的技術(shù)人員都認(rèn)為他們的機(jī)構(gòu)越來(lái)越多的成為了黑客攻擊的目標(biāo)。

是什么使得醫(yī)療機(jī)構(gòu)的電子記錄更吸引人并且更易受到網(wǎng)絡(luò)攻擊呢?

大部分醫(yī)療組織和機(jī)構(gòu)的安全保障和風(fēng)險(xiǎn)管理措施比較落后，所以黑客們才有機(jī)可乘竊取病人的敏感數(shù)據(jù)(從個(gè)人信息到信用卡賬號(hào)，再到知識(shí)產(chǎn)權(quán))。從過去幾個(gè)月泄露的醫(yī)療數(shù)據(jù)看，黑客竊取的數(shù)據(jù)量巨大、竊取過程簡(jiǎn)單、花費(fèi)時(shí)間較少，而且還不容易被察覺到。

其實(shí)大部分的網(wǎng)絡(luò)犯罪者組織都是在金融行業(yè)煉就了高超的技能之后，轉(zhuǎn)而向醫(yī)療行業(yè)發(fā)動(dòng)大規(guī)模的攻擊。相比于其他行業(yè)，醫(yī)療行業(yè)的攻擊阻力比較小，并且敏感數(shù)據(jù)比較多。

醫(yī)療行業(yè)的醫(yī)療記錄很容易被攻擊的另外一個(gè)原因是其流動(dòng)性比較大，數(shù)據(jù)分類好，黑客可以輕而易舉的找到利益相關(guān)的數(shù)據(jù)。包括姓名、家庭住址、郵箱地址、生日，甚至還包括保單號(hào)碼、檢驗(yàn)結(jié)果、診斷結(jié)果等。如此一來(lái)，黑客便可以用這些數(shù)據(jù)偽造虛假身份和虛假保單進(jìn)行就醫(yī)、買藥、買醫(yī)療設(shè)備等。

醫(yī)療行業(yè)數(shù)據(jù)盜竊后果非常嚴(yán)重，美國(guó)每年有超過200萬(wàn)的人會(huì)成為受害者，由此造成的損失高達(dá)13500美元，并且還需花費(fèi)上百個(gè)小時(shí)來(lái)解決這個(gè)問題。為了解決醫(yī)療行業(yè)數(shù)據(jù)被竊，技術(shù)人員提供了兩個(gè)安全方法：

1是數(shù)據(jù)分割，控制用戶個(gè)人和醫(yī)療機(jī)構(gòu)查看數(shù)據(jù)內(nèi)容的權(quán)限;

2是加密。

加密對(duì)數(shù)據(jù)來(lái)說(shuō)非常重要，尤其是數(shù)據(jù)在各醫(yī)療機(jī)構(gòu)的傳輸過程中。然而即使數(shù)據(jù)加密了，但是在向另一機(jī)構(gòu)傳輸?shù)倪^程中如果缺乏必要的安全保障，同樣會(huì)存在安全風(fēng)險(xiǎn)。調(diào)查發(fā)現(xiàn)有94%的人指出機(jī)構(gòu)中加密的用戶數(shù)據(jù)會(huì)被傳輸?shù)酵饩W(wǎng)。

調(diào)查中還發(fā)現(xiàn)了一個(gè)很致命的安全隱患，就是大部分的醫(yī)療機(jī)構(gòu)并沒有把敏感數(shù)據(jù)和非敏感數(shù)據(jù)分開，這種機(jī)構(gòu)占到89%。

內(nèi)部威脅其實(shí)是醫(yī)療機(jī)構(gòu)一個(gè)很嚴(yán)重的安全風(fēng)險(xiǎn)，最近發(fā)生的幾起醫(yī)療行業(yè)入侵事件都是由內(nèi)部人員引起的。除了健康信息帶來(lái)的利益驅(qū)動(dòng)，處于個(gè)人的好奇也可能導(dǎo)致不正當(dāng)?shù)脑L問或者數(shù)據(jù)竊取。所以這些組織需要嚴(yán)格限制訪問權(quán)限，確保數(shù)據(jù)只能被相關(guān)人員訪問。

安全專業(yè)資源短缺

隨著威脅的增加和攻擊范圍的擴(kuò)大，醫(yī)療行業(yè)面臨著越來(lái)越大的挑戰(zhàn)。其中最大的問題是企業(yè)中安全部門員工嚴(yán)重缺失，迫切需要配備專業(yè)的網(wǎng)絡(luò)安全人員，這種情況不是一個(gè)地區(qū)的問題，全球的醫(yī)療行業(yè)都面臨這個(gè)問題。

從傳統(tǒng)經(jīng)濟(jì)學(xué)的角度來(lái)說(shuō)，高需求和短供應(yīng)這種嚴(yán)重失衡的狀態(tài)必然會(huì)造成市場(chǎng)混亂。應(yīng)用到醫(yī)療行業(yè)，專業(yè)的網(wǎng)絡(luò)安全人員極度缺失，而專業(yè)人員的供應(yīng)又極其不足，所以醫(yī)療機(jī)構(gòu)需要通過高薪水來(lái)激發(fā)更多的人加入醫(yī)療行業(yè)的網(wǎng)絡(luò)安全隊(duì)伍，緩解這種不平衡。

通過調(diào)查發(fā)現(xiàn)有35%的人稱，公司安全方面的專業(yè)人員不足。在近幾年頻繁發(fā)生的數(shù)據(jù)泄露事件之后，越來(lái)越多的人認(rèn)為他們需要聘用更多的安全人員，以保障用戶數(shù)據(jù)安全。

漏洞

試想一下，一個(gè)黑客坐在幾百英里以外，只需通過輸入幾行命令就可以控制病人胰島素輸送管中的激素劑量，那將是一件多么可怕的事。也許他是個(gè)稍有“良知”的黑客，不會(huì)用這種方法殺人于無(wú)形，但他可以通過入侵聯(lián)網(wǎng)醫(yī)療設(shè)備，進(jìn)而入侵醫(yī)院網(wǎng)絡(luò)，竊取病人的敏感數(shù)據(jù)。

隨著電子醫(yī)療記錄的普及，黑客們?cè)絹?lái)越多的關(guān)注在了醫(yī)療行業(yè)上，被發(fā)現(xiàn)的漏洞也越來(lái)越多，最常見的有：SQL注入漏洞，弱口令，遠(yuǎn)程訪問漏洞，未修復(fù)的漏洞等。醫(yī)療機(jī)構(gòu)還有一個(gè)很大的安全疏忽，就是他們不會(huì)定期檢查基礎(chǔ)設(shè)施是否含有漏洞。有87%的人稱他們的機(jī)構(gòu)基本上一年或者兩年才對(duì)其基礎(chǔ)設(shè)施檢查一次。

所以，醫(yī)療行業(yè)中的安全評(píng)估是非常有必要的，它可以幫助企業(yè)預(yù)測(cè)系統(tǒng)、進(jìn)程、政策中存在的安全風(fēng)險(xiǎn)，從而可以保障醫(yī)療行業(yè)數(shù)據(jù)的安全。然而并不是所有的醫(yī)療機(jī)構(gòu)都會(huì)定期的對(duì)其基礎(chǔ)設(shè)施進(jìn)行評(píng)估。另外，醫(yī)療組織還必須要確定這些安全問題是來(lái)自外部供應(yīng)商，還是內(nèi)部問題。

醫(yī)療行業(yè)的安全主要分為兩種，一種是來(lái)自內(nèi)部的威脅，一種是外部威脅。內(nèi)部威脅可以概括為以下兩種：

1，懷有惡意目的的員工會(huì)訪問并竊取用戶的敏感信息

2，正常員工的一個(gè)人為錯(cuò)誤可能會(huì)給攻擊者留下攻擊入口(員工不小心弄丟了電腦;不小心點(diǎn)了含有惡意程序的鏈接;安全人員不小心裝錯(cuò)了系統(tǒng))

外部威脅主要就是黑客利用設(shè)備漏洞、系統(tǒng)漏洞、人性缺陷(社工)來(lái)攻擊機(jī)構(gòu)網(wǎng)站，從而竊取用戶數(shù)據(jù)。

所以企業(yè)應(yīng)該定期對(duì)員工進(jìn)行培訓(xùn)，讓員工掌握一定的安全知識(shí)和技能。然而當(dāng)下企業(yè)對(duì)員工的安全培訓(xùn)并不盡人意。

建議

醫(yī)療行業(yè)正經(jīng)歷一個(gè)非常嚴(yán)峻的安全時(shí)代：威脅越來(lái)越高級(jí)，安全技能卻沒能同步進(jìn)化，安全方面的預(yù)算嚴(yán)重不足，醫(yī)療設(shè)備很難管理，傳統(tǒng)系統(tǒng)亟待更新，被攻擊的范圍在逐漸擴(kuò)大。

對(duì)于用戶個(gè)人來(lái)說(shuō)，我們需要做的是：

1，不要在多個(gè)網(wǎng)站上使用相同的密碼

2，不要留下過多的個(gè)人信息

3，不要隨意打開來(lái)源不明的鏈接和文件

對(duì)于醫(yī)療設(shè)備供應(yīng)商來(lái)說(shuō)，他們需要不斷的檢測(cè)物聯(lián)網(wǎng)設(shè)備和應(yīng)用程序的安全，如發(fā)現(xiàn)漏洞應(yīng)及時(shí)通知相關(guān)買家，快速響應(yīng)修復(fù)漏洞。

對(duì)于醫(yī)療機(jī)構(gòu)(醫(yī)院)來(lái)說(shuō)，應(yīng)該定期對(duì)員工進(jìn)行培訓(xùn)，提高安全防范意識(shí)，訓(xùn)練安全應(yīng)急技能。

完整報(bào)告點(diǎn)我!