常莽

2019年RSA數(shù)據(jù)隱私與安全調(diào)查詢問了歐洲和美國近6 400名消費者對其數(shù)據(jù)安全的看法。調(diào)查顯示，61%的受訪者擔(dān)心他們的醫(yī)療數(shù)據(jù)被泄露。他們有充分的理由對此表示擔(dān)心，醫(yī)療保健行業(yè)仍然是黑客的主要目標(biāo)，并且內(nèi)部威脅也有很大的風(fēng)險。

為什么醫(yī)療保健行業(yè)是黑客的目標(biāo)

醫(yī)療保健組織往往有一些特殊的屬性，使其成為了攻擊者的誘人目標(biāo)。一個關(guān)鍵原因是大量的沒有定期修補的不同系統(tǒng)。“其中一些是嵌入式系統(tǒng)，由于制造商創(chuàng)建它們的方式，這些系統(tǒng)無法被輕松地修補?！叭绻t(yī)療保健的IT部門選擇這樣做，將會給供應(yīng)商的支持方式帶來重大問題?！盞nowBe4的首席布道師兼戰(zhàn)略官PerryCarpenter說。

醫(yī)療保健機構(gòu)所的關(guān)鍵性質(zhì)也使他們?nèi)菀壮蔀楣粽叩哪繕?biāo)。健康數(shù)據(jù)在網(wǎng)絡(luò)犯罪世界中是一種有價值的商品，這自然而然地使它成為了盜竊目標(biāo)。因為事關(guān)重大且涉及到病人的福祉，醫(yī)療保健機構(gòu)也更有可能支付贖金。

下面是未來一年中6個最大的醫(yī)療安全威脅。

1.勒索軟件

根據(jù)Verizon 2019年的數(shù)據(jù)泄露調(diào)查報告，勒索軟件攻擊已連續(xù)第二年占據(jù)了2019年醫(yī)療行業(yè)所有惡意軟件事件的70 %以上。另一項調(diào)查，Radware的信任因素報告顯示，只有39 %的醫(yī)療機構(gòu)認(rèn)為自己對勒索軟件攻擊準(zhǔn)備得非常充分或極其充分。

沒有理由相信勒索軟件攻擊將會在明年逐漸消失。“在充分強化我們的員工和系統(tǒng)之前，勒索軟件將繼續(xù)被證明是成功的，并獲得更多的動力。他們將繼續(xù)使用的載體是點擊某個東西或下載某個東西的人?！盋arpenter說。

原因很簡單：黑客認(rèn)為他們的勒索軟件攻擊非常有可能成功，因為醫(yī)院和醫(yī)療機構(gòu)如果無法訪問患者記錄，就會危及生命。他們會感到壓力被迫立即采取行動和支付贖金，而不是經(jīng)歷漫長的備份恢復(fù)過程。

“醫(yī)療保健是一項事業(yè)，并且與人們的生活息息相關(guān)?！盋arpenter說。“任何時候，當(dāng)你的企業(yè)與人們生活中最私人、最重要的部分交織在一起，并可能對其造成威脅時，都需要立即做出反應(yīng)。這對部署勒索軟件的網(wǎng)絡(luò)罪犯來說非常有效?！?/p>

當(dāng)醫(yī)療保健組織的數(shù)據(jù)無法迅速恢復(fù)時，勒索軟件的影響可能是毀滅性的。當(dāng)電子健康記錄（EHR）公司Allscripts在1月份因一次惡意軟件攻擊而關(guān)閉時，這一點就被戲劇性地提出來了。該攻擊感染了2個數(shù)據(jù)中心，并導(dǎo)致許多應(yīng)用程序離線，影響了數(shù)以千計的醫(yī)療保健提供商客戶。

2.竊取患者數(shù)據(jù)

對網(wǎng)絡(luò)罪犯來說，醫(yī)療保健數(shù)據(jù)可能比財務(wù)數(shù)據(jù)更有價值。根據(jù)趨勢科技的網(wǎng)絡(luò)犯罪和醫(yī)療行業(yè)報告中所提到的其他威脅，被盜的醫(yī)療保險身份證在暗網(wǎng)上至少可以賣1美元，而醫(yī)療檔案的起價為5美元。

黑客可以使用身份證和其他醫(yī)療數(shù)據(jù)中的數(shù)據(jù)來獲取政府文件，如駕駛執(zhí)照。根據(jù)趨勢科技的報告，這些文件的售價約為170美元。一個完整的農(nóng)場身份（一個由完整的PHI和死者的其他身份數(shù)據(jù)創(chuàng)建的身份）可以賣到1 000美元。相比之下，信用卡號碼在黑網(wǎng)上只能夠賣到幾便士。

Carpenter說：“醫(yī)療記錄之所以比信用卡數(shù)據(jù)更有價值，是因為它們在一個地方聚集了大量信息?！卑▊€人的財務(wù)信息和關(guān)鍵的背景數(shù)據(jù)?！吧矸荼I竊所需的一切都在那里?！?/p>

罪犯在如何竊取健康數(shù)據(jù)方面變得越來越狡猾。偽勒索軟件就是一個例子?！翱雌饋硐窭账鬈浖膼阂廛浖?，但其實并沒有做勒索軟件所做的所有事情，”Carpenter說，“在其掩蓋下，它竊取醫(yī)療記錄或在系統(tǒng)間橫向移動，安裝其他間諜軟件或惡意軟件，這些軟件或惡意軟件將在以后對罪犯有利?！鄙踔玲t(yī)療保健行業(yè)的業(yè)內(nèi)人士也在竊取患者數(shù)據(jù)。

3.內(nèi)部威脅

根據(jù)Verizon的防止健康信息數(shù)據(jù)泄露報告，59 %被調(diào)查的醫(yī)療服務(wù)提供商的數(shù)據(jù)泄露事件的行動者是內(nèi)部人員。在83 %的情況下，經(jīng)濟收益是其主要動機。

很大一部分內(nèi)部違規(guī)行為是出于樂趣或好奇心，主要是訪問他們工作職責(zé)之外的數(shù)據(jù)，比如查閱名人的個人信息。間諜活動和積怨也是動機之一?！霸诓∪肆粼卺t(yī)療系統(tǒng)中的過程中，有幾十個人可以獲得其醫(yī)療記錄，”Fairwarning公司的首席執(zhí)行官Kurt Long說?！罢驗槿绱耍t(yī)療保健提供商往往也有著松散的訪問控制。普通員工可以訪問大量數(shù)據(jù)，因為他們需要快速獲取數(shù)據(jù)來照顧他人。”

醫(yī)療機構(gòu)中不同系統(tǒng)的數(shù)量也是因素之一。這不僅包括計費和注冊部門，還包括了專門用于婦產(chǎn)科、腫瘤學(xué)、診斷和其他的臨床系統(tǒng)。

“從竊取病人數(shù)據(jù)到用于身份盜竊或醫(yī)療身份盜竊的欺詐計劃，都可以獲得財務(wù)上的回報。這已經(jīng)成為該行業(yè)的一個常規(guī)部分，”Long說，“人們正在為自己、朋友或家人改變賬單，或者進行阿片類藥物的轉(zhuǎn)移或處方轉(zhuǎn)移。他們可以獲取處方并出售它們以獲取利潤?！?/p>

“當(dāng)從總體上看阿片類藥物的危機時，這就是對醫(yī)療保健環(huán)境的直接解釋，在醫(yī)療保健環(huán)境中，醫(yī)護人員正坐在阿片類藥物的金礦上面，”Long說。“這是阿片類藥物整體危機的最新數(shù)據(jù)。醫(yī)護人員認(rèn)識到了它們的價值，他們可能會沉迷于它們，或者利用他們獲得的處方來獲得經(jīng)濟利益?！?/p>

Long指出，內(nèi)部人士從竊取的患者數(shù)據(jù)中獲利的一個公開例子就是Memorial醫(yī)療系統(tǒng)的案例。2018年，該公司支付了550萬美元的HIPAA和解金，以了結(jié)一項內(nèi)部違規(guī)行為，即2名員工訪問了超過11.5萬名患者的PHI。這一違規(guī)行為導(dǎo)致Memorial醫(yī)療系統(tǒng)徹底改變了其隱私和安全姿態(tài)，以幫助防范未來的內(nèi)部人員和其他威脅。

4.網(wǎng)絡(luò)釣魚

網(wǎng)絡(luò)釣魚是攻擊者獲取系統(tǒng)入口最常用的手段。它可用于安裝勒索軟件、加密腳本、間諜軟件以及竊取數(shù)據(jù)的代碼。

一些人認(rèn)為醫(yī)療保健更容易受到網(wǎng)絡(luò)釣魚的攻擊，但數(shù)據(jù)顯示的情況并非如此。KnowBe4的一項研究表明，在遭受釣魚攻擊方面，醫(yī)療保健行業(yè)與大多數(shù)其他行業(yè)不相上下，一家擁有250～1 000名員工的醫(yī)療機構(gòu)，在沒有接受過安全意識培訓(xùn)的情況下，遭受網(wǎng)絡(luò)釣魚攻擊的幾率為27.85 %，而所有行業(yè)的平均幾率為27 %。

Carpenter說：“（你可能會認(rèn)為）利他主義、迫在眉睫的生死狀況可能會導(dǎo)致人們做好心理準(zhǔn)備，去點擊一些讓（醫(yī)療工作者）更容易受到影響的東西，但調(diào)查數(shù)字并沒有證明這一點?！?/p>

當(dāng)談到網(wǎng)絡(luò)釣魚的敏感性時，規(guī)模很重要。KnowBe4的數(shù)據(jù)顯示，員工在1 000人以上的醫(yī)療機構(gòu)中，平均有25.6 %的人可能會被詐騙。

5.加密挖礦

秘密劫持系統(tǒng)以開采加密貨幣是所有行業(yè)中日益嚴(yán)重的問題。醫(yī)療保健中所使用的系統(tǒng)是加密挖礦（cryptojacking）非常有吸引力的目標(biāo)，因為保持它們的運行至關(guān)重要。該系統(tǒng)運行的時間越長，犯罪分子就越有可能獲得加密貨幣?！霸卺t(yī)院環(huán)境中，即使懷疑有人在加密挖礦，他們也可能不會急于拔掉機器的插頭?！盋arpenter說。

這還是在假設(shè)醫(yī)療保健提供者能夠檢測到加密挖礦操作的情況下。加密挖礦代碼不會損害系統(tǒng)，但是會消耗大量的計算能力。只有當(dāng)系統(tǒng)和生產(chǎn)力變慢時才有可能識別到它。而且許多醫(yī)療保健組織也沒有IT或安全人員來識別和修復(fù)這種加密貨幣攻擊。

6.被黑客入侵的物聯(lián)網(wǎng)設(shè)備

醫(yī)療設(shè)備的安全多年來就一直是醫(yī)療保健領(lǐng)域的熱點問題，許多網(wǎng)絡(luò)或互聯(lián)網(wǎng)連接的醫(yī)療設(shè)備非常容易受到攻擊。問題的關(guān)鍵是，許多醫(yī)療設(shè)備的設(shè)計并沒有考慮到網(wǎng)絡(luò)安全問題，在可能的情況下，修補通常只提供邊緣保護。

根據(jù)從2019年初開始的Irdeto全球互聯(lián)行業(yè)網(wǎng)絡(luò)安全調(diào)查，82 %的醫(yī)療機構(gòu)表示，在過去的12個月里經(jīng)歷過針對物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)攻擊。這些襲擊的平均財務(wù)影響為346 205美元。這些攻擊最常見的影響是操作停機，其次是客戶數(shù)據(jù)泄露和終端用戶的安全性泄露。

在制造商開始制造更安全的設(shè)備之前，醫(yī)療保健領(lǐng)域易受攻擊的醫(yī)療設(shè)備和其他連接設(shè)備會繼續(xù)是一個威脅。雖然問題很普遍，但更新、更安全的型號要取代舊型號還需要很多年。

最小化醫(yī)療安全威脅的技巧

更好地修補和更新關(guān)鍵系統(tǒng)?！笆聦嵣?，那些舊的未修補系統(tǒng)常常是作為關(guān)鍵設(shè)備嵌入的，這導(dǎo)致了勒索軟件的更大威脅，”Carpenter說。因為修補過程可能會中斷關(guān)鍵系統(tǒng)或削弱供應(yīng)商支持系統(tǒng)的能力。

在某些情況下，或許也沒有可用于已知漏洞的修補程序。Carpenter建議應(yīng)該在供應(yīng)商沒有或不能修補或更新系統(tǒng)的情況下向他們施壓?！芭c供應(yīng)商保持積極的關(guān)系，詢問為什么這些系統(tǒng)不能或沒有更新，并保持壓力?！?/p>

培訓(xùn)員工。根據(jù)KnowBe4的研究，醫(yī)療保健行業(yè)在培訓(xùn)員工識別網(wǎng)絡(luò)釣魚方面低于平均水平。許多醫(yī)療保健機構(gòu)的規(guī)模很小，不到1 000名員工，這可能是一個因素。Carpenter說：“這不僅是要告訴他們應(yīng)該做什么。”需要創(chuàng)建一個行為模擬程序，來訓(xùn)練他們不要點擊網(wǎng)絡(luò)釣魚鏈接。

如果長期堅持培訓(xùn)就會起作用。KnowBe4的研究顯示，在擁有250～999名員工的醫(yī)療機構(gòu)中，經(jīng)過1年的網(wǎng)絡(luò)釣魚培訓(xùn)和測試后，員工對網(wǎng)絡(luò)釣魚的敏感度可從27.85 %降至1.65 %。

注意有關(guān)員工的信息。網(wǎng)絡(luò)釣魚攻擊越個性化，成功的可能性就越大。在魚叉式網(wǎng)絡(luò)釣魚攻擊中，攻擊者會試圖盡可能多地了解目標(biāo)個人。Carpenter說：“如果不在辦公室的回復(fù)給出了要聯(lián)系人的名字，攻擊者就可以通過使用這些名字和關(guān)系鏈來建立信任?！?。

增強防御和應(yīng)對威脅的能力?！拔覍︶t(yī)療安全最擔(dān)心的事情是，醫(yī)護人員缺乏在發(fā)現(xiàn)事故后進行適當(dāng)調(diào)查的能力，缺乏對事故進行記錄和評估危害的能力，缺乏與執(zhí)法部門或法律部門合作以進行充分取證的能力。他們也缺乏能夠進行補救的員工，無法保證這種情況再也不會發(fā)生了，”Long說。他建議：“安全性需要成為董事會和管理層的優(yōu)先事項。”

Long說：“規(guī)模較小的醫(yī)療保健提供商可能沒有資源雇傭CISO，但他們?nèi)匀恍枰獌?yōu)先考慮安全性，這可能通過合作或管理安全服務(wù)實現(xiàn)，但沒有人能夠代替他們自己站出來說，我的病人應(yīng)該得到安全保障，我必須致力于合作或讓合適的安全人員進入到這里?！?/p>