信息來(lái)源：今日頭條

由于發(fā)生了Anthem和Allscripts這樣轟動(dòng)的泄露事件，消費(fèi)者現(xiàn)在更擔(dān)心他們受保護(hù)的健康信息(PHI)會(huì)被人竊取。最近的“RSA 2019年數(shù)據(jù)隱私與安全調(diào)查”詢(xún)問(wèn)了歐洲和美國(guó)近6400名消費(fèi)者對(duì)其數(shù)據(jù)安全有何感受。調(diào)查表明，61%的受訪(fǎng)者擔(dān)心自己的醫(yī)療數(shù)據(jù)會(huì)被泄露。

他們有充分的理由感到擔(dān)憂(yōu)。作為一個(gè)行業(yè)，醫(yī)療行業(yè)仍然是黑客的主要攻擊目標(biāo)，而且內(nèi)部威脅也帶來(lái)了很大的風(fēng)險(xiǎn)。

醫(yī)療行業(yè)為什么會(huì)成為黑客的攻擊目標(biāo)

醫(yī)療保健機(jī)構(gòu)往往有一些特性，使其成為攻擊者非常感興趣的目標(biāo)。一個(gè)關(guān)鍵原因是有太多的各種系統(tǒng)沒(méi)有定期打上補(bǔ)丁。KnowBe4公司首席拓展專(zhuān)員兼戰(zhàn)略官Perry Carpenter指出：“其中一些是嵌入式系統(tǒng)，由于制造商的開(kāi)發(fā)方式，不太容易打上補(bǔ)丁。如果醫(yī)療保健IT部門(mén)想要打上補(bǔ)丁，那么供應(yīng)商將不得不改變其提供支持的方式，而這很難做到?！?

醫(yī)療保健機(jī)構(gòu)所從事工作的關(guān)鍵特性使其備受攻擊者的關(guān)注。在網(wǎng)絡(luò)犯罪領(lǐng)域，健康數(shù)據(jù)是一種有價(jià)值的商品，極易成為盜竊目標(biāo)。因?yàn)檫@關(guān)系到病人的健康，所以醫(yī)療保健機(jī)構(gòu)更有可能向勒索軟件妥協(xié)。

本文介紹未來(lái)一年中將出現(xiàn)的六大醫(yī)療保健安全威脅。

1、勒索軟件

據(jù)Verizon的《2019年數(shù)據(jù)泄露事件調(diào)查報(bào)告》，勒索軟件攻擊已連續(xù)第二年占據(jù)2019年醫(yī)療保健領(lǐng)域所有惡意軟件事件的70%以上。另一項(xiàng)調(diào)查，Radware公司的《信心因素報(bào)告》顯示，只有39%的醫(yī)療保健機(jī)構(gòu)認(rèn)為他們?yōu)閼?yīng)對(duì)勒索軟件攻擊做好了非?；蛘呒捌涑浞值臏?zhǔn)備。只有教育領(lǐng)域的信心水平較低，為29%。

沒(méi)有理由相信勒索軟件攻擊會(huì)在明年被終止。Carpenter說(shuō)：“我們必須很好地教育員工，加強(qiáng)系統(tǒng)，否則，勒索軟件會(huì)一直得手，并獲得更大的發(fā)展動(dòng)力。他們將繼續(xù)利用人作為攻擊手段，因?yàn)槿藭?huì)點(diǎn)擊或者下載一些東西?！?

原因很簡(jiǎn)單：如果醫(yī)院、醫(yī)療機(jī)構(gòu)和其他衛(wèi)生組織看不到患者病歷，患者生命就會(huì)有危險(xiǎn)，因此，黑客相信他們的勒索軟件攻擊更有可能成功。這些機(jī)構(gòu)將被迫立即采取行動(dòng)并支付贖金，而不是通過(guò)漫長(zhǎng)的恢復(fù)過(guò)程，從備份中恢復(fù)病歷。

Carpenter說(shuō)：“醫(yī)療保健是一項(xiàng)業(yè)務(wù)，但也涉及到人們的生活。任何時(shí)候，如果經(jīng)營(yíng)的業(yè)務(wù)影響到人們生活中最私人和最重要的部分，并對(duì)其造成威脅，就必須立即作出反應(yīng)。這恰恰是部署了勒索軟件的網(wǎng)絡(luò)犯罪分子頻頻得手的重要原因?！?

當(dāng)醫(yī)療保健機(jī)構(gòu)無(wú)法迅速恢復(fù)時(shí)，勒索軟件的后果可能是災(zāi)難性的。電子健康病歷(EHR)公司Allscripts在一月份因勒索軟件攻擊而關(guān)閉，這極大地說(shuō)明了這一點(diǎn)。這次攻擊感染了兩個(gè)數(shù)據(jù)中心，導(dǎo)致一些應(yīng)用程序下線(xiàn)，影響了數(shù)千名醫(yī)療保健提供商客戶(hù)。

2、竊取病人數(shù)據(jù)

對(duì)于網(wǎng)絡(luò)犯罪分子而言，醫(yī)療保健數(shù)據(jù)可能比財(cái)務(wù)數(shù)據(jù)更有價(jià)值。據(jù)Trend Micro公司的《醫(yī)療行業(yè)面臨的網(wǎng)絡(luò)犯罪和其他威脅報(bào)告》，被盜的醫(yī)療保險(xiǎn)身份證在暗網(wǎng)上的售價(jià)至少為1美元，醫(yī)療檔案的起價(jià)為5美元。

根據(jù)Trend Micro的報(bào)告，黑客可以利用身份證的數(shù)據(jù)和其他醫(yī)療數(shù)據(jù)來(lái)獲取政府文件，例如駕照，這些文件售價(jià)約為170美元。一個(gè)完整的農(nóng)民身份——包括死者全套PHI和其他身份數(shù)據(jù)，能賣(mài)到1千美元。相比之下，信用卡號(hào)碼在暗網(wǎng)上只賣(mài)幾美分。

Carpenter說(shuō)：“醫(yī)療保健病歷的價(jià)值遠(yuǎn)遠(yuǎn)超過(guò)信用卡數(shù)據(jù)，因?yàn)樗谝粋€(gè)地方匯集了大量信息。其中包括個(gè)人的財(cái)務(wù)信息和關(guān)鍵背景數(shù)據(jù)。有身份盜竊犯罪分子所要的一切?！?

犯罪分子在竊取健康數(shù)據(jù)方面變得越來(lái)越狡猾。偽勒索軟件就是一個(gè)例子。Carpenter說(shuō)：“有的惡意軟件看起來(lái)像是勒索軟件，但并沒(méi)有執(zhí)行勒索軟件所干的所有可惡的事情。在掩護(hù)下，它盜取醫(yī)療保健病歷，或者在系統(tǒng)中橫向移動(dòng)，安裝其他間諜軟件或者惡意軟件，過(guò)一段時(shí)間后才為犯罪分子牟利?！?

正如下面所解釋的，醫(yī)療保健機(jī)構(gòu)內(nèi)部也有人在竊取患者數(shù)據(jù)。

3、內(nèi)部威脅

根據(jù)《Verizon受保護(hù)的健康信息數(shù)據(jù)泄露事件報(bào)告》，在受調(diào)查的醫(yī)療服務(wù)提供商中，59%的泄露事件是由內(nèi)部威脅犯罪分子造成的。在83%的案例中，經(jīng)濟(jì)利益是動(dòng)機(jī)。

很大一部分的內(nèi)部泄露事件都是出于樂(lè)趣或者好奇心，主要是查閱工作職責(zé)之外的數(shù)據(jù)——例如查找名人的PHI。間諜活動(dòng)和結(jié)怨也是動(dòng)機(jī)。Fairwarning公司的首席執(zhí)行官Kurt Long說(shuō)：“在病人住院期間，有數(shù)十人能查閱其醫(yī)療病歷=。正因?yàn)槿绱?，醫(yī)療保健服務(wù)提供商的查閱控制措施往往很寬松。普通員工就能夠看到大量數(shù)據(jù)，因?yàn)樗麄冃枰M快獲取數(shù)據(jù)，以照看病人?！?

醫(yī)療保健機(jī)構(gòu)包括了各種不同的系統(tǒng)也是一個(gè)因素。Long介紹說(shuō)，這不僅包括交費(fèi)和掛號(hào)系統(tǒng)，還包括專(zhuān)門(mén)用于婦產(chǎn)科、腫瘤學(xué)、診斷學(xué)和其他臨床系統(tǒng)的系統(tǒng)。

Long說(shuō)：“竊取病人數(shù)據(jù)用于身份盜竊，或者實(shí)施醫(yī)療身份盜竊欺詐計(jì)劃，都能夠獲取利益。這已經(jīng)是這個(gè)行業(yè)公開(kāi)的秘密了。人們想辦法為自己、朋友或者家人修改賬單，開(kāi)出鴉片類(lèi)藥物轉(zhuǎn)給他人，或者為他人開(kāi)處方。他們把處方拿出來(lái)賣(mài)了牟利?！?

Long說(shuō)：“如果從整體上看鴉片類(lèi)藥物危機(jī)，這其實(shí)直接涉及到醫(yī)療保健環(huán)境，可以說(shuō)醫(yī)療保健工作者是守著一座處方鴉片類(lèi)藥物的金礦。這是鴉片類(lèi)藥物危機(jī)的關(guān)鍵點(diǎn)。醫(yī)療保健工作者意識(shí)到這些藥物的價(jià)值，他們可能會(huì)對(duì)此上癮，或者利用開(kāi)出處方的機(jī)會(huì)來(lái)獲取經(jīng)濟(jì)利益?！?

Long介紹說(shuō)，內(nèi)部員工從竊取病人數(shù)據(jù)中獲利的一個(gè)眾所周知的例子來(lái)自Memorial醫(yī)療保健系統(tǒng)公司。該公司去年為一項(xiàng)內(nèi)部員工造成的泄露事件支付了550萬(wàn)美元的HIPAA和解金，其兩名員工獲取了11.5萬(wàn)多名患者的PHI。這一泄露事件導(dǎo)致Memorial公司徹底改變了其隱私和安全形勢(shì)，以幫助防范未來(lái)的內(nèi)部威脅和其他威脅。

4、網(wǎng)絡(luò)釣魚(yú)

網(wǎng)絡(luò)釣魚(yú)是攻擊者進(jìn)入系統(tǒng)最常用的手段。它可以用來(lái)安裝勒索軟件、加密挖礦腳本、間諜軟件或者竊取數(shù)據(jù)的代碼。

一些人認(rèn)為醫(yī)療保健系統(tǒng)更容易受到網(wǎng)絡(luò)釣魚(yú)的影響，但數(shù)據(jù)顯示，情況并非如此。KnowBe4的研究表明，醫(yī)療保健與大多數(shù)其他行業(yè)一樣，網(wǎng)絡(luò)釣魚(yú)對(duì)其危害都差不多。擁有250~1000名員工但未進(jìn)行安全意識(shí)培訓(xùn)的醫(yī)療保健機(jī)構(gòu)有27.85%的可能成為網(wǎng)絡(luò)釣魚(yú)的受害者，而所有行業(yè)的平均比例為27%。

Carpenter說(shuō)：“你可能認(rèn)為，利他主義、生死攸關(guān)的情況可能會(huì)導(dǎo)致人們心理上更愿意去點(diǎn)擊一些東西，而這會(huì)讓醫(yī)護(hù)人員更容易受到攻擊，但數(shù)據(jù)顯示并非如此?！?

當(dāng)涉及到網(wǎng)絡(luò)釣魚(yú)的易感性時(shí)，醫(yī)療機(jī)構(gòu)的規(guī)模很重要。據(jù)KnowBe4的數(shù)據(jù)，平均1000名或者更多員工的醫(yī)療保健機(jī)構(gòu)受到網(wǎng)絡(luò)釣魚(yú)攻擊的可能性是25.6%。Carpenter說(shuō)：“在有1000多名員工的機(jī)構(gòu)中，我們看到大部分員工都接受了較多的培訓(xùn)，而且業(yè)務(wù)水平也很高，因?yàn)樗麄儽仨毥⒉煌捏w系來(lái)遵守嚴(yán)格的法規(guī)?！?

5、挖礦劫持

在所有行業(yè)中，秘密劫持系統(tǒng)去開(kāi)采加密貨幣是一個(gè)日益嚴(yán)重的問(wèn)題。醫(yī)療保健行業(yè)中使用的系統(tǒng)是挖礦劫持非常感興趣的目標(biāo)，因?yàn)檫@些系統(tǒng)一直保持運(yùn)行。系統(tǒng)運(yùn)行的時(shí)間越長(zhǎng)，犯罪分子就越能開(kāi)采出加密貨幣。Carpenter說(shuō)：“在醫(yī)院的環(huán)境下，即使懷疑出現(xiàn)了挖礦劫持，也可能不會(huì)急著拔掉機(jī)器的電源。受感染的機(jī)器運(yùn)行的時(shí)間越長(zhǎng)，對(duì)犯罪分子就越有好處。”

這其實(shí)是假設(shè)醫(yī)療保健服務(wù)提供商能夠檢測(cè)到加密挖礦操作。加密挖礦代碼不會(huì)危害系統(tǒng)，但它消耗了大量的計(jì)算能力。當(dāng)系統(tǒng)和工作效率降低時(shí)，就最有可能發(fā)現(xiàn)它。一些挖礦劫持犯罪分子會(huì)限制他們的代碼，以降低被發(fā)現(xiàn)的風(fēng)險(xiǎn)。很多醫(yī)療保健機(jī)構(gòu)都沒(méi)有IT員工或者安全人員來(lái)發(fā)現(xiàn)并補(bǔ)救這類(lèi)加密挖礦攻擊。

6、入侵物聯(lián)網(wǎng)設(shè)備

醫(yī)療設(shè)備的安全多年來(lái)一直是醫(yī)療保健領(lǐng)域的熱點(diǎn)問(wèn)題，很多聯(lián)網(wǎng)的醫(yī)療設(shè)備都因?yàn)橐资芄舳鴱V受詬病。問(wèn)題的關(guān)鍵在于，很多醫(yī)療設(shè)備在設(shè)計(jì)之初并沒(méi)有考慮到網(wǎng)絡(luò)安全。而打補(bǔ)丁通常也只能提供有限的保護(hù)。

據(jù)2019年初的“Irdeto全球互聯(lián)行業(yè)網(wǎng)絡(luò)安全調(diào)查”，82%的醫(yī)療保健機(jī)構(gòu)承認(rèn)，他們過(guò)去12個(gè)月內(nèi)經(jīng)歷過(guò)針對(duì)物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)攻擊。這些攻擊造成的經(jīng)濟(jì)損失平均高達(dá)346205美元。這些攻擊最常見(jiàn)的影響是運(yùn)營(yíng)中斷(47%)，其次是客戶(hù)數(shù)據(jù)泄露(42%)和最終用戶(hù)安全受損(31%)。

除非制造商開(kāi)始制造更安全的設(shè)備，否則醫(yī)療保健領(lǐng)域易受攻擊的醫(yī)療設(shè)備和其他聯(lián)網(wǎng)設(shè)備將持續(xù)受到威脅。這種情況很普遍——更新、更安全的機(jī)型取代舊型號(hào)還需要數(shù)年的時(shí)間。

減小醫(yī)療保健安全威脅的技巧

1、更好地修補(bǔ)和更新關(guān)鍵系統(tǒng)。

Carpenter說(shuō)：“事實(shí)上，那些沒(méi)打上補(bǔ)丁的老舊系統(tǒng)是作為關(guān)鍵設(shè)備嵌入的，以至于更容易受到勒索軟件的威脅?！笨赡芎茈y打上補(bǔ)丁，因?yàn)樾扪a(bǔ)過(guò)程有可能中斷關(guān)鍵系統(tǒng)，影響供應(yīng)商對(duì)系統(tǒng)的支持。

在某些情況下，甚至沒(méi)有針對(duì)已知漏洞的可用補(bǔ)丁。Carpenter建議，如果供應(yīng)商無(wú)法修補(bǔ)或者更新系統(tǒng)，應(yīng)該主動(dòng)督促他們?！皩?duì)供應(yīng)商施壓，質(zhì)問(wèn)為什么這些系統(tǒng)不能或者沒(méi)有更新，讓整個(gè)行業(yè)都感受到壓力?！?

2、培訓(xùn)員工。

據(jù)KnowBe4的研究，在培訓(xùn)員工識(shí)別網(wǎng)絡(luò)釣魚(yú)攻擊方面，醫(yī)療保健低于行業(yè)平均水平。很-多醫(yī)療保健機(jī)構(gòu)規(guī)模不大，員工人數(shù)少于1000人——這可能是一個(gè)因素。Carpenter說(shuō)：“這不僅僅是告訴員工應(yīng)該做什么。這其實(shí)是創(chuàng)建一個(gè)行為條件程序，教育員工不要點(diǎn)擊釣魚(yú)鏈接。”

這個(gè)程序意味著發(fā)送模擬釣魚(yú)電子郵件。如果某個(gè)員工點(diǎn)擊了鏈接，那么他應(yīng)該立即收到反饋，知道自己做了什么，今后怎樣做才是正確的。這樣的程序會(huì)產(chǎn)生巨大的影響。

如果長(zhǎng)期堅(jiān)持應(yīng)用，就會(huì)有明顯的效果。KnowBe4的研究表明，員工數(shù)量在250~999名的醫(yī)療保健機(jī)構(gòu)經(jīng)過(guò)一年的網(wǎng)絡(luò)釣魚(yú)培訓(xùn)和測(cè)試后，其網(wǎng)絡(luò)釣魚(yú)易感性從27.85%降至1.65%。

3、注意員工信息。

網(wǎng)絡(luò)釣魚(yú)攻擊越是針對(duì)個(gè)人，就越容易成功。在魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊中，攻擊者會(huì)盡可能多地了解被攻擊的目標(biāo)人選。Carpenter說(shuō)：“如果‘不在辦公室’的回復(fù)給出了要聯(lián)系的人的名字，攻擊者會(huì)通過(guò)使用這些名字和關(guān)系鏈來(lái)建立信任。”

4、增強(qiáng)防御和應(yīng)對(duì)威脅的能力。

Long說(shuō)：“我對(duì)醫(yī)療保健安全最擔(dān)心的一件事是，醫(yī)療服務(wù)提供者在發(fā)現(xiàn)事故后沒(méi)有能力進(jìn)行適當(dāng)?shù)恼{(diào)查，也無(wú)法對(duì)事故進(jìn)行記錄和評(píng)估，沒(méi)有足夠的取證手段配合執(zhí)法部門(mén)或者法律部門(mén)的工作。他們也缺少工作人員來(lái)進(jìn)行徹底的補(bǔ)救，不能杜絕類(lèi)似情況的發(fā)生。”他的建議是：“讓員工獲得適當(dāng)?shù)膶?zhuān)業(yè)知識(shí)，也可以通過(guò)合作伙伴獲得?！彼a(bǔ)充說(shuō)：“安全應(yīng)是董事會(huì)和高管最為關(guān)注的。認(rèn)識(shí)到安全的重要性后，第一步是要有一名經(jīng)驗(yàn)豐富的專(zhuān)業(yè)首席信息安全官?！?

Long說(shuō)：“規(guī)模較小的醫(yī)療保健服務(wù)提供商可能沒(méi)有資源來(lái)聘請(qǐng)首席信息安全官，但他們?nèi)匀恍枰獌?yōu)先考慮安全問(wèn)題。在怎樣獲得一流的安全專(zhuān)業(yè)知識(shí)方面，他們應(yīng)該更有創(chuàng)意。這可能是通過(guò)合作或者托管安全服務(wù)來(lái)實(shí)現(xiàn)的，而且要態(tài)度堅(jiān)決的站出來(lái)說(shuō)，‘病人應(yīng)該得到安全保障，我們必須合作，或者讓合適的安全人員參與進(jìn)來(lái)。’”