醫療行業一直是勒索軟件、加密挖礦、數據盜竊、網絡釣魚和內部威脅的熱門目標。

由于發生了Anthem和Allscripts這樣轟動的泄露事件，消費者現在更擔心他們受保護的健康信息(PHI)會被人竊取。最近的“RSA 2019年數據隱私與安全調查”詢問了歐洲和美國近6400名消費者對其數據安全有何感受。調查表明，61%的受訪者擔心自己的醫療數據會被泄露。

 

 

 

[[285981]]

 

他們有充分的理由感到擔憂。作為一個行業，醫療行業仍然是黑客的主要攻擊目標，而且內部威脅也帶來了很大的風險。

醫療行業為什么會成為黑客的攻擊目標

醫療保健機構往往有一些特性，使其成為攻擊者非常感興趣的目標。一個關鍵原因是有太多的各種系統沒有定期打上補丁。KnowBe4公司首席拓展專員兼戰略官Perry Carpenter指出：“其中一些是嵌入式系統，由于制造商的開發方式，不太容易打上補丁。如果醫療保健IT部門想要打上補丁，那么供應商將不得不改變其提供支持的方式，而這很難做到。”

醫療保健機構所從事工作的關鍵特性使其備受攻擊者的關注。在網絡犯罪領域，健康數據是一種有價值的商品，極易成為盜竊目標。因為這關系到病人的健康，所以醫療保健機構更有可能向勒索軟件妥協。

本文介紹未來一年中將出現的六大醫療保健安全威脅。

1、勒索軟件

據Verizon的《2019年數據泄露事件調查報告》，勒索軟件攻擊已連續第二年占據2019年醫療保健領域所有惡意軟件事件的70%以上。另一項調查，Radware公司的《信心因素報告》顯示，只有39%的醫療保健機構認為他們為應對勒索軟件攻擊做好了非常或者及其充分的準備。只有教育領域的信心水平較低，為29%。

沒有理由相信勒索軟件攻擊會在明年被終止。Carpenter說：“我們必須很好地教育員工，加強系統，否則，勒索軟件會一直得手，并獲得更大的發展動力。他們將繼續利用人作為攻擊手段，因為人會點擊或者下載一些東西。”

 

原因很簡單：如果醫院、醫療機構和其他衛生組織看不到患者病歷，患者生命就會有危險，因此，黑客相信他們的勒索軟件攻擊更有可能成功。這些機構將被迫立即采取行動并支付贖金，而不是通過漫長的恢復過程，從備份中恢復病歷。

Carpenter說：“醫療保健是一項業務，但也涉及到人們的生活。任何時候，如果經營的業務影響到人們生活中最私人和最重要的部分，并對其造成威脅，就必須立即作出反應。這恰恰是部署了勒索軟件的網絡犯罪分子頻頻得手的重要原因。”

當醫療保健機構無法迅速恢復時，勒索軟件的后果可能是災難性的。電子健康病歷(EHR)公司Allscripts在一月份因勒索軟件攻擊而關閉，這極大地說明了這一點。這次攻擊感染了兩個數據中心，導致一些應用程序下線，影響了數千名醫療保健提供商客戶。

2、竊取病人數據

對于網絡犯罪分子而言，醫療保健數據可能比財務數據更有價值。據Trend Micro公司的《醫療行業面臨的網絡犯罪和其他威脅報告》，被盜的醫療保險身份證在暗網上的售價至少為1美元，醫療檔案的起價為5美元。

根據Trend Micro的報告，黑客可以利用身份證的數據和其他醫療數據來獲取政府文件，例如駕照，這些文件售價約為170美元。一個完整的農民身份——包括死者全套PHI和其他身份數據，能賣到1千美元。相比之下，信用卡號碼在暗網上只賣幾美分。

 

Carpenter說：“醫療保健病歷的價值遠遠超過信用卡數據，因為它在一個地方匯集了大量信息。其中包括個人的財務信息和關鍵背景數據。有身份盜竊犯罪分子所要的一切。”

犯罪分子在竊取健康數據方面變得越來越狡猾。偽勒索軟件就是一個例子。Carpenter說：“有的惡意軟件看起來像是勒索軟件，但并沒有執行勒索軟件所干的所有可惡的事情。在掩護下，它盜取醫療保健病歷，或者在系統中橫向移動，安裝其他間諜軟件或者惡意軟件，過一段時間后才為犯罪分子牟利。”

正如下面所解釋的，醫療保健機構內部也有人在竊取患者數據。

3、內部威脅

根據《Verizon受保護的健康信息數據泄露事件報告》，在受調查的醫療服務提供商中，59%的泄露事件是由內部威脅犯罪分子造成的。在83%的案例中，經濟利益是動機。

很大一部分的內部泄露事件都是出于樂趣或者好奇心，主要是查閱工作職責之外的數據——例如查找名人的PHI。間諜活動和結怨也是動機。Fairwarning公司的首席執行官Kurt Long說：“在病人住院期間，有數十人能查閱其醫療病歷=。正因為如此，醫療保健服務提供商的查閱控制措施往往很寬松。普通員工就能夠看到大量數據，因為他們需要盡快獲取數據，以照看病人。”

醫療保健機構包括了各種不同的系統也是一個因素。Long介紹說，這不僅包括交費和掛號系統，還包括專門用于婦產科、腫瘤學、診斷學和其他臨床系統的系統。

Long說：“竊取病人數據用于身份盜竊，或者實施醫療身份盜竊欺詐計劃，都能夠獲取利益。這已經是這個行業公開的秘密了。人們想辦法為自己、朋友或者家人修改賬單，開出鴉片類藥物轉給他人，或者為他人開處方。他們把處方拿出來賣了牟利。”

Long說：“如果從整體上看鴉片類藥物危機，這其實直接涉及到醫療保健環境，可以說醫療保健工作者是守著一座處方鴉片類藥物的金礦。這是鴉片類藥物危機的關鍵點。醫療保健工作者意識到這些藥物的價值，他們可能會對此上癮，或者利用開出處方的機會來獲取經濟利益。”

Long介紹說，內部員工從竊取病人數據中獲利的一個眾所周知的例子來自Memorial醫療保健系統公司。該公司去年為一項內部員工造成的泄露事件支付了550萬美元的HIPAA和解金，其兩名員工獲取了11.5萬多名患者的PHI。這一泄露事件導致Memorial公司徹底改變了其隱私和安全形勢，以幫助防范未來的內部威脅和其他威脅。

4、網絡釣魚

網絡釣魚是攻擊者進入系統最常用的手段。它可以用來安裝勒索軟件、加密挖礦腳本、間諜軟件或者竊取數據的代碼。

一些人認為醫療保健系統更容易受到網絡釣魚的影響，但數據顯示，情況并非如此。KnowBe4的研究表明，醫療保健與大多數其他行業一樣，網絡釣魚對其危害都差不多。擁有250~1000名員工但未進行安全意識培訓的醫療保健機構有27.85%的可能成為網絡釣魚的受害者，而所有行業的平均比例為27%。

 

Carpenter說：“你可能認為，利他主義、生死攸關的情況可能會導致人們心理上更愿意去點擊一些東西，而這會讓醫護人員更容易受到攻擊，但數據顯示并非如此。”

當涉及到網絡釣魚的易感性時，醫療機構的規模很重要。據KnowBe4的數據，平均1000名或者更多員工的醫療保健機構受到網絡釣魚攻擊的可能性是25.6%。Carpenter說：“在有1000多名員工的機構中，我們看到大部分員工都接受了較多的培訓，而且業務水平也很高，因為他們必須建立不同的體系來遵守嚴格的法規。”

5、挖礦劫持

在所有行業中，秘密劫持系統去開采加密貨幣是一個日益嚴重的問題。醫療保健行業中使用的系統是挖礦劫持非常感興趣的目標，因為這些系統一直保持運行。系統運行的時間越長，犯罪分子就越能開采出加密貨幣。Carpenter說：“在醫院的環境下，即使懷疑出現了挖礦劫持，也可能不會急著拔掉機器的電源。受感染的機器運行的時間越長，對犯罪分子就越有好處。”

這其實是假設醫療保健服務提供商能夠檢測到加密挖礦操作。加密挖礦代碼不會危害系統，但它消耗了大量的計算能力。當系統和工作效率降低時，就最有可能發現它。一些挖礦劫持犯罪分子會限制他們的代碼，以降低被發現的風險。很多醫療保健機構都沒有IT員工或者安全人員來發現并補救這類加密挖礦攻擊。

6、入侵物聯網設備

醫療設備的安全多年來一直是醫療保健領域的熱點問題，很多聯網的醫療設備都因為易受攻擊而廣受詬病。問題的關鍵在于，很多醫療設備在設計之初并沒有考慮到網絡安全。而打補丁通常也只能提供有限的保護。

據2019年初的“Irdeto全球互聯行業網絡安全調查”，82%的醫療保健機構承認，他們過去12個月內經歷過針對物聯網設備的網絡攻擊。這些攻擊造成的經濟損失平均高達346205美元。這些攻擊最常見的影響是運營中斷(47%)，其次是客戶數據泄露(42%)和最終用戶安全受損(31%)。

 

除非制造商開始制造更安全的設備，否則醫療保健領域易受攻擊的醫療設備和其他聯網設備將持續受到威脅。這種情況很普遍——更新、更安全的機型取代舊型號還需要數年的時間。

減小醫療保健安全威脅的技巧

更好地修補和更新關鍵系統。Carpenter說：“事實上，那些沒打上補丁的老舊系統是作為關鍵設備嵌入的，以至于更容易受到勒索軟件的威脅。”可能很難打上補丁，因為修補過程有可能中斷關鍵系統，影響供應商對系統的支持。

在某些情況下，甚至沒有針對已知漏洞的可用補丁。Carpenter建議，如果供應商無法修補或者更新系統，應該主動督促他們。“對供應商施壓，質問為什么這些系統不能或者沒有更新，讓整個行業都感受到壓力。”

培訓員工。據KnowBe4的研究，在培訓員工識別網絡釣魚攻擊方面，醫療保健低于行業平均水平。很-多醫療保健機構規模不大，員工人數少于1000人——這可能是一個因素。Carpenter說：“這不僅僅是告訴員工應該做什么。這其實是創建一個行為條件程序，教育員工不要點擊釣魚鏈接。”

這個程序意味著發送模擬釣魚電子郵件。如果某個員工點擊了鏈接，那么他應該立即收到反饋，知道自己做了什么，今后怎樣做才是正確的。這樣的程序會產生巨大的影響。

如果長期堅持應用，就會有明顯的效果。KnowBe4的研究表明，員工數量在250~999名的醫療保健機構經過一年的網絡釣魚培訓和測試后，其網絡釣魚易感性從27.85%降至1.65%。

注意員工信息。網絡釣魚攻擊越是針對個人，就越容易成功。在魚叉式網絡釣魚攻擊中，攻擊者會盡可能多地了解被攻擊的目標人選。Carpenter說：“如果‘不在辦公室’的回復給出了要聯系的人的名字，攻擊者會通過使用這些名字和關系鏈來建立信任。”

 

增強防御和應對威脅的能力。Long說：“我對醫療保健安全最擔心的一件事是，醫療服務提供者在發現事故后沒有能力進行適當的調查，也無法對事故進行記錄和評估，沒有足夠的取證手段配合執法部門或者法律部門的工作。他們也缺少工作人員來進行徹底的補救，不能杜絕類似情況的發生。”他的建議是：“讓員工獲得適當的專業知識，也可以通過合作伙伴獲得。”他補充說：“安全應是董事會和高管最為關注的。認識到安全的重要性后，第一步是要有一名經驗豐富的專業首席信息安全官。”

Long說：“規模較小的醫療保健服務提供商可能沒有資源來聘請首席信息安全官，但他們仍然需要優先考慮安全問題。在怎樣獲得一流的安全專業知識方面，他們應該更有創意。這可能是通過合作或者托管安全服務來實現的，而且要態度堅決的站出來說，‘病人應該得到安全保障，我們必須合作，或者讓合適的安全人員參與進來。’”