信息來源：FreeBuf 

剛過完年回來，國內幾家醫(yī)院遭遇黑客攻擊引發(fā)了大量的關注，對于醫(yī)療機構安全的擔憂，早就已經不是新鮮事。這不只是國內的現狀，放眼全球，醫(yī)療保健機構依然是勒索軟件、數據盜竊、網絡釣魚以及內部威脅的重點目標。

RSA近期發(fā)布的《數據隱私報告》調查了歐洲和美國的7500名消費者。59％的受訪者擔心他們的醫(yī)療數據受到損害，39％的人擔心黑客會篡改他們的醫(yī)療信息。

他們的確有理由擔心，醫(yī)療保健行業(yè)除了面臨黑客的針對之外，內部威脅也讓其存在重大風險。

為什么醫(yī)療保健行業(yè)成為黑客的目標？

醫(yī)療機構往往具備一些屬性，使其對于攻擊者來說非常有吸引力。一個關鍵原因在于不同系統的數量，并且沒有定期打補丁。KnowBe4的首席傳播者和戰(zhàn)略官員Perry Carpenter說：“其中一些是嵌入式系統，取決于制造商創(chuàng)建的方式，并不是那么容易修復。如果醫(yī)療機構的IT部門”

醫(yī)療機構往往具備一些屬性，使其成為攻擊者的有吸引力的目標。一個關鍵原因是不定期打補丁的不同系統的數量。“其中一些是嵌入式系統，由于制造商創(chuàng)建它們的方式，不能很容易地進行修補。如果醫(yī)療機構IT部門處理不當，將會給提供支持的供應商帶來麻煩?！?

健康數據在網絡犯罪世界中是一種有價值的商品，并且使其成為盜竊的目標，醫(yī)療機構的這種關鍵屬性使其處于攻擊者的視線之下。由于受到威脅的是病人的健康，醫(yī)療機構更有可能支付勒索軟件的需求。

接下來是今年醫(yī)療機構可能遭遇的五大安全威脅。

1.勒索軟件

根據2017年的CryptoniteNXT醫(yī)療保健網絡研究報告，醫(yī)療機構十大安全事故中，有六起是勒索軟件攻擊導致。報告指出，重大勒索軟件攻擊（影響超過500名患者）的總數從2016年的19起增加至2017年的36起。

沒有理由相信勒索軟件攻擊今年將會停止?！霸谖覀兂浞謴娀覀兊膯T工防范意識和系統安全性之前，勒索軟件將繼續(xù)取得成功并獲得更多滿足。他們將繼續(xù)利用使用者的疏忽，誘騙他們點擊某個東西或下載某些東西”，Carpenter說。

原因很簡單：黑客認為他們的勒索軟件攻擊更有可能成功，因為醫(yī)院、醫(yī)療機構和其他衛(wèi)生組織如果無法訪問患者記錄，就會將無數生命置于危險之中。他們將不得不立即采取行動并支付贖金，而不是經歷從備份中恢復數據那樣漫長的過程。

“醫(yī)療保健是一項業(yè)務，但醫(yī)療保健也涉及人們的生活”，Carpenter說。“任何時候，如果你的業(yè)務與人們生活中最私人和最重要的部分相交叉，并且對此構成威脅，則需要立即作出反應。這對于部署勒索軟件的網絡犯罪分子來說，是一個非常值得利用的弱點。”

當醫(yī)療機構無法迅速恢復正常時，勒索軟件的影響可能是毀滅性的。當電子病歷（EHR）公司Allscripts在1月份因勒索軟件攻擊而關閉時，這一點非常明顯。這次攻擊感染了兩個數據中心，并使許多應用程序脫機，影響了成千上萬的醫(yī)療保健提供商。

2.盜竊病人數據

對于網絡犯罪分子來說，醫(yī)療保健數據可能比財務數據更有價值。根據趨勢科技《醫(yī)療機構面臨的網絡犯罪和其他威脅報告》，被盜的醫(yī)療保險身份證在黑色網站上至少售價1美元，醫(yī)療檔案價格從每個5美元起。

根據趨勢科技報告，黑客可以使用身份證和其他醫(yī)療數據中的數據獲取政府文件，如駕駛執(zhí)照，售價約為170美元。從完整的PHI和死者身份數據中創(chuàng)建一個完整的身份證，能夠以1,000美元的價格出售。相比之下，信用卡號碼在黑暗網絡上的售價則要便宜得多。

Carpenter說：“醫(yī)療記錄的價值遠遠超過信用卡數據等，因為它們匯集了大量信息?！?這包括個人的財務信息和主要背景數據?！吧矸荼I竊者需要的一切都在那里?！?

犯罪分子竊取健康數據的手段也越來越狡猾，偽勒索軟件就是一個例子。Carpenter說：“這是惡意軟件，看起來像勒索軟件，但是并不會做什么太具破壞性的事情。在這些外表之下，它竊取醫(yī)療記錄或安裝其他間諜軟件或惡意軟件，這些將會在以后對犯罪分子有利?！?

正如下一節(jié)所解釋的，醫(yī)療保健內部人員也在竊取患者數據。

3.內部威脅

根據最近發(fā)布的《受保護健康信息泄露報告》，遭遇數據泄露事故的醫(yī)療機構中，57.5％是內部人士所為。外部攻擊者只有42％。財務收益是內部威脅的主要動機，達到48％。對于外部攻擊者來說，90％的案例都是獲得經濟收益的動機。

例如，很大一部分內部人違規(guī)行為都是出于好奇心，主要是在他們的工作職責之外訪問數據 – 例如查找名人的PHI。間諜活動和解決怨恨也是動機。Fairwarning首席執(zhí)行官Kurt Long表示：“在患者入住醫(yī)療系統的過程中，有數十人可以獲得醫(yī)療記錄。“因此，醫(yī)療服務提供者往往會有寬松的訪問控制。一般工作人員可以訪問大量數據，因為他們需要快速獲取數據以關注特定的患者?！?

醫(yī)療機構中不同系統的數量也是一個因素。Long說，這不僅包括賬單和注冊，還包括專門用于婦產科，腫瘤科，診斷和其他臨床系統的系統。

“用錢可以辦成很多事情，從盜竊病人數據到身份盜竊或實施醫(yī)療身份盜竊欺詐計劃。這幾乎成為了該行業(yè)黑產中常規(guī)操作，“Long說?！坝腥藶樽约夯蚺笥迅馁~單，或者修改鴉片類藥物或處方藥。他們捕獲處方并將其出售以謀取利潤?！?

Long說：“當你總體考察鴉片類藥物危機時，它已經變成為醫(yī)療機構工作者 利用職權開局鴉片類藥物處方來獲取利益的的常見情形?！斑@是阿片類藥物總體危機中的最新數據點，醫(yī)療保健工作者認識到他們的價值，他們可能會沉迷于這些或使用他們獲得經濟利益?！?

去年，Memorial Healthcare Systems公司支付了550萬美元的HIPAA協議，以解決兩名員工訪問超過115,000名患者的PHI的內部人員違規(guī)問題。這一違規(guī)行為導致Memorial完全改變了其隱私和安全態(tài)勢，以防范未來內部人士和其他威脅。

4.網絡釣魚

網絡釣魚是攻擊者進入系統最常用的手段。它可以用來安裝勒索軟件，密碼腳本，間諜軟件或代碼來竊取數據。

有些人認為醫(yī)療保健更容易受到網絡釣魚企圖的影響，但數據顯示的情況卻不太一樣。KnowBe4的一項研究表明，醫(yī)療保健與大多數其他行業(yè)在被網絡釣魚攻擊方面一樣。擁有250至1,000名員工并且未接受安全意識培訓的醫(yī)療機構，有27.85％的機會成為網絡釣魚企業(yè)的受害者，而所有行業(yè)平均為27％。

Carpenter說：“從利他主義的角度來看，醫(yī)療工作者經常接觸涉及患者生命安全的情況，可能更容易去點擊釣魚郵件，但從調查結果來看，似乎也并非如此。”

在應對網絡釣魚的敏感問題時，網絡規(guī)模至關重要。根據KnowBe4的數據顯示，擁有1,000名或以上員工的醫(yī)療機構有25.6％可能被盜用。“有1000多名員工的組織中，我們發(fā)現他們中的大多數人已經接受了相關的培訓，并且在更高層次上運作，因為他們必須制定不同的系統來遵守嚴格的規(guī)定?！盋arpenter說。

5.Cryptojacking

秘密劫持系統以竊取加密貨幣是所有行業(yè)都面臨的難題。由于醫(yī)療機構的特殊屬性，其使用的系統是非常有吸引力的目標，因為保持它們運行至關重要。系統運行時間越長，犯罪分子就越能夠挖掘加密貨幣?！霸卺t(yī)院環(huán)境下，即便懷疑被劫持，他們也不可能立即關閉系統，”卡彭特說。“機器運轉的時間越長，它對罪犯的益處就越大?！?

假設醫(yī)療保健提供者可以檢測Cryptojacking。挖礦代碼不會損害系統，但會消耗大量的計算能力。識別它的最可能方式是系統和生產力變慢。一些cryptojackers會減少系統占用資源，以減少檢測風險。許多醫(yī)療機構沒有IT或安全人員來識別和應對這種挖礦攻擊。

減少醫(yī)療保健安全威脅的建議

及時修補和更新關鍵系統

Carpenter說：“事實擺在那里，那些老舊的、未打補丁的系統作為關鍵設備嵌入，本身會導致重大漏洞，惡意軟件勢必會盡量利用。但更新系統也并不容易，因為修補過程可能會破壞關鍵系統或損害供應商支持系統的能力。

在某些情況下，沒有可用于已知漏洞的修補程序。Carpenter建議在供應商沒有或不能修補或更新系統的情況下向供應商施壓?！皩滩扇》e極的態(tài)度，并問為什么這些系統不能或沒有得到更新，并保持作為一個行業(yè)的壓力。”

培訓員工

根據KnowBe4的研究，醫(yī)療保健服務的平均值低于培訓員工識別網絡釣魚企圖的平均值。許多醫(yī)療保健機構都很小 （少于1000名員工），這可能是一個因素。“這不僅僅是告訴他們什么正確的事情該做，而是培養(yǎng)一種安全意識，能夠分辨并意識到不去點擊釣魚鏈接?！笨ㄅ硖卣f。

該計劃意味著發(fā)送模擬網絡釣魚電子郵件。點擊鏈接的員工應該立即獲得反饋，要了解他們做了什么以及他們將來如何做正確事情，這樣的培訓計劃可以產生巨大的影響。

KnowBe4的研究表明，250到999名員工的醫(yī)療機構在一年的網絡釣魚訓練和測試后，其網絡釣魚敏感度可從27.85％下降到1.65％。

小心有關員工的信息

網絡釣魚攻擊越個性化，它的成功機會就越大。在魚叉式網絡釣魚攻擊中，攻擊者試圖盡可能多地了解目標個人。Carpenter說：“如果在辦公室之外的場合不小心透露了相關的員工信息，攻擊者可以通過使用這些名稱和關系鏈來建立信任?！?

增強抵御和應對威脅的能力

“讓我感到擔憂的是，大部分醫(yī)療機構在事故發(fā)生之后，缺乏適當調查的能力，記錄事件和評估傷害的能力。他們也缺乏安全補救的人員，以免再次發(fā)生這種情況，”Long說。他的建議是：“通過合作伙伴或合作伙伴獲得正確的專業(yè)知識?！彼a充說，安全需要成為董事會和高管層的優(yōu)先考慮事項?！按_定安全優(yōu)先級后的第一步是，確保您擁有一個具有適用經驗的專用CISO。”

Long說，較小的醫(yī)療服務提供商可能沒有資源聘用CISO，但他們仍需要優(yōu)先考慮安全性。“他們可能需要通過其他途徑獲得一流的安全專業(yè)知識。這可能是通過合作伙伴或托管安全服務，并能夠深刻意識到’我的病人應該得到安全，我必須致力于合作或讓合適的安全人員來到這里。”