健康數(shù)據(jù),到底是怎么被黑客偷走的? |
來源:聚銘網(wǎng)絡(luò) 發(fā)布時間:2019-12-19 瀏覽次數(shù): |
信息來源:今日頭條 由于發(fā)生了Anthem和Allscripts這樣轟動的泄露事件,消費者現(xiàn)在更擔(dān)心他們受保護的健康信息(PHI)會被人竊取。最近的“RSA 2019年數(shù)據(jù)隱私與安全調(diào)查”詢問了歐洲和美國近6400名消費者對其數(shù)據(jù)安全有何感受。調(diào)查表明,61%的受訪者擔(dān)心自己的醫(yī)療數(shù)據(jù)會被泄露。
他們有充分的理由感到擔(dān)憂。作為一個行業(yè),醫(yī)療行業(yè)仍然是黑客的主要攻擊目標(biāo),而且內(nèi)部威脅也帶來了很大的風(fēng)險。 醫(yī)療行業(yè)為什么會成為黑客的攻擊目標(biāo) 醫(yī)療保健機構(gòu)往往有一些特性,使其成為攻擊者非常感興趣的目標(biāo)。一個關(guān)鍵原因是有太多的各種系統(tǒng)沒有定期打上補丁。KnowBe4公司首席拓展專員兼戰(zhàn)略官Perry Carpenter指出:“其中一些是嵌入式系統(tǒng),由于制造商的開發(fā)方式,不太容易打上補丁。如果醫(yī)療保健IT部門想要打上補丁,那么供應(yīng)商將不得不改變其提供支持的方式,而這很難做到?!? 醫(yī)療保健機構(gòu)所從事工作的關(guān)鍵特性使其備受攻擊者的關(guān)注。在網(wǎng)絡(luò)犯罪領(lǐng)域,健康數(shù)據(jù)是一種有價值的商品,極易成為盜竊目標(biāo)。因為這關(guān)系到病人的健康,所以醫(yī)療保健機構(gòu)更有可能向勒索軟件妥協(xié)。 本文介紹未來一年中將出現(xiàn)的六大醫(yī)療保健安全威脅。 1、勒索軟件 據(jù)Verizon的《2019年數(shù)據(jù)泄露事件調(diào)查報告》,勒索軟件攻擊已連續(xù)第二年占據(jù)2019年醫(yī)療保健領(lǐng)域所有惡意軟件事件的70%以上。另一項調(diào)查,Radware公司的《信心因素報告》顯示,只有39%的醫(yī)療保健機構(gòu)認(rèn)為他們?yōu)閼?yīng)對勒索軟件攻擊做好了非常或者及其充分的準(zhǔn)備。只有教育領(lǐng)域的信心水平較低,為29%。 沒有理由相信勒索軟件攻擊會在明年被終止。Carpenter說:“我們必須很好地教育員工,加強系統(tǒng),否則,勒索軟件會一直得手,并獲得更大的發(fā)展動力。他們將繼續(xù)利用人作為攻擊手段,因為人會點擊或者下載一些東西?!? 原因很簡單:如果醫(yī)院、醫(yī)療機構(gòu)和其他衛(wèi)生組織看不到患者病歷,患者生命就會有危險,因此,黑客相信他們的勒索軟件攻擊更有可能成功。這些機構(gòu)將被迫立即采取行動并支付贖金,而不是通過漫長的恢復(fù)過程,從備份中恢復(fù)病歷。 Carpenter說:“醫(yī)療保健是一項業(yè)務(wù),但也涉及到人們的生活。任何時候,如果經(jīng)營的業(yè)務(wù)影響到人們生活中最私人和最重要的部分,并對其造成威脅,就必須立即作出反應(yīng)。這恰恰是部署了勒索軟件的網(wǎng)絡(luò)犯罪分子頻頻得手的重要原因?!? 當(dāng)醫(yī)療保健機構(gòu)無法迅速恢復(fù)時,勒索軟件的后果可能是災(zāi)難性的。電子健康病歷(EHR)公司Allscripts在一月份因勒索軟件攻擊而關(guān)閉,這極大地說明了這一點。這次攻擊感染了兩個數(shù)據(jù)中心,導(dǎo)致一些應(yīng)用程序下線,影響了數(shù)千名醫(yī)療保健提供商客戶。 2、竊取病人數(shù)據(jù) 對于網(wǎng)絡(luò)犯罪分子而言,醫(yī)療保健數(shù)據(jù)可能比財務(wù)數(shù)據(jù)更有價值。據(jù)Trend Micro公司的《醫(yī)療行業(yè)面臨的網(wǎng)絡(luò)犯罪和其他威脅報告》,被盜的醫(yī)療保險身份證在暗網(wǎng)上的售價至少為1美元,醫(yī)療檔案的起價為5美元。 根據(jù)Trend Micro的報告,黑客可以利用身份證的數(shù)據(jù)和其他醫(yī)療數(shù)據(jù)來獲取政府文件,例如駕照,這些文件售價約為170美元。一個完整的農(nóng)民身份——包括死者全套PHI和其他身份數(shù)據(jù),能賣到1千美元。相比之下,信用卡號碼在暗網(wǎng)上只賣幾美分。 Carpenter說:“醫(yī)療保健病歷的價值遠(yuǎn)遠(yuǎn)超過信用卡數(shù)據(jù),因為它在一個地方匯集了大量信息。其中包括個人的財務(wù)信息和關(guān)鍵背景數(shù)據(jù)。有身份盜竊犯罪分子所要的一切?!? 犯罪分子在竊取健康數(shù)據(jù)方面變得越來越狡猾。偽勒索軟件就是一個例子。Carpenter說:“有的惡意軟件看起來像是勒索軟件,但并沒有執(zhí)行勒索軟件所干的所有可惡的事情。在掩護下,它盜取醫(yī)療保健病歷,或者在系統(tǒng)中橫向移動,安裝其他間諜軟件或者惡意軟件,過一段時間后才為犯罪分子牟利。” 正如下面所解釋的,醫(yī)療保健機構(gòu)內(nèi)部也有人在竊取患者數(shù)據(jù)。 3、內(nèi)部威脅 根據(jù)《Verizon受保護的健康信息數(shù)據(jù)泄露事件報告》,在受調(diào)查的醫(yī)療服務(wù)提供商中,59%的泄露事件是由內(nèi)部威脅犯罪分子造成的。在83%的案例中,經(jīng)濟利益是動機。 很大一部分的內(nèi)部泄露事件都是出于樂趣或者好奇心,主要是查閱工作職責(zé)之外的數(shù)據(jù)——例如查找名人的PHI。間諜活動和結(jié)怨也是動機。Fairwarning公司的首席執(zhí)行官Kurt Long說:“在病人住院期間,有數(shù)十人能查閱其醫(yī)療病歷=。正因為如此,醫(yī)療保健服務(wù)提供商的查閱控制措施往往很寬松。普通員工就能夠看到大量數(shù)據(jù),因為他們需要盡快獲取數(shù)據(jù),以照看病人?!? 醫(yī)療保健機構(gòu)包括了各種不同的系統(tǒng)也是一個因素。Long介紹說,這不僅包括交費和掛號系統(tǒng),還包括專門用于婦產(chǎn)科、腫瘤學(xué)、診斷學(xué)和其他臨床系統(tǒng)的系統(tǒng)。 Long說:“竊取病人數(shù)據(jù)用于身份盜竊,或者實施醫(yī)療身份盜竊欺詐計劃,都能夠獲取利益。這已經(jīng)是這個行業(yè)公開的秘密了。人們想辦法為自己、朋友或者家人修改賬單,開出鴉片類藥物轉(zhuǎn)給他人,或者為他人開處方。他們把處方拿出來賣了牟利?!? Long說:“如果從整體上看鴉片類藥物危機,這其實直接涉及到醫(yī)療保健環(huán)境,可以說醫(yī)療保健工作者是守著一座處方鴉片類藥物的金礦。這是鴉片類藥物危機的關(guān)鍵點。醫(yī)療保健工作者意識到這些藥物的價值,他們可能會對此上癮,或者利用開出處方的機會來獲取經(jīng)濟利益?!? Long介紹說,內(nèi)部員工從竊取病人數(shù)據(jù)中獲利的一個眾所周知的例子來自Memorial醫(yī)療保健系統(tǒng)公司。該公司去年為一項內(nèi)部員工造成的泄露事件支付了550萬美元的HIPAA和解金,其兩名員工獲取了11.5萬多名患者的PHI。這一泄露事件導(dǎo)致Memorial公司徹底改變了其隱私和安全形勢,以幫助防范未來的內(nèi)部威脅和其他威脅。 4、網(wǎng)絡(luò)釣魚 網(wǎng)絡(luò)釣魚是攻擊者進入系統(tǒng)最常用的手段。它可以用來安裝勒索軟件、加密挖礦腳本、間諜軟件或者竊取數(shù)據(jù)的代碼。 一些人認(rèn)為醫(yī)療保健系統(tǒng)更容易受到網(wǎng)絡(luò)釣魚的影響,但數(shù)據(jù)顯示,情況并非如此。KnowBe4的研究表明,醫(yī)療保健與大多數(shù)其他行業(yè)一樣,網(wǎng)絡(luò)釣魚對其危害都差不多。擁有250~1000名員工但未進行安全意識培訓(xùn)的醫(yī)療保健機構(gòu)有27.85%的可能成為網(wǎng)絡(luò)釣魚的受害者,而所有行業(yè)的平均比例為27%。 Carpenter說:“你可能認(rèn)為,利他主義、生死攸關(guān)的情況可能會導(dǎo)致人們心理上更愿意去點擊一些東西,而這會讓醫(yī)護人員更容易受到攻擊,但數(shù)據(jù)顯示并非如此。” 當(dāng)涉及到網(wǎng)絡(luò)釣魚的易感性時,醫(yī)療機構(gòu)的規(guī)模很重要。據(jù)KnowBe4的數(shù)據(jù),平均1000名或者更多員工的醫(yī)療保健機構(gòu)受到網(wǎng)絡(luò)釣魚攻擊的可能性是25.6%。Carpenter說:“在有1000多名員工的機構(gòu)中,我們看到大部分員工都接受了較多的培訓(xùn),而且業(yè)務(wù)水平也很高,因為他們必須建立不同的體系來遵守嚴(yán)格的法規(guī)?!? 5、挖礦劫持 在所有行業(yè)中,秘密劫持系統(tǒng)去開采加密貨幣是一個日益嚴(yán)重的問題。醫(yī)療保健行業(yè)中使用的系統(tǒng)是挖礦劫持非常感興趣的目標(biāo),因為這些系統(tǒng)一直保持運行。系統(tǒng)運行的時間越長,犯罪分子就越能開采出加密貨幣。Carpenter說:“在醫(yī)院的環(huán)境下,即使懷疑出現(xiàn)了挖礦劫持,也可能不會急著拔掉機器的電源。受感染的機器運行的時間越長,對犯罪分子就越有好處?!? 這其實是假設(shè)醫(yī)療保健服務(wù)提供商能夠檢測到加密挖礦操作。加密挖礦代碼不會危害系統(tǒng),但它消耗了大量的計算能力。當(dāng)系統(tǒng)和工作效率降低時,就最有可能發(fā)現(xiàn)它。一些挖礦劫持犯罪分子會限制他們的代碼,以降低被發(fā)現(xiàn)的風(fēng)險。很多醫(yī)療保健機構(gòu)都沒有IT員工或者安全人員來發(fā)現(xiàn)并補救這類加密挖礦攻擊。 6、入侵物聯(lián)網(wǎng)設(shè)備 醫(yī)療設(shè)備的安全多年來一直是醫(yī)療保健領(lǐng)域的熱點問題,很多聯(lián)網(wǎng)的醫(yī)療設(shè)備都因為易受攻擊而廣受詬病。問題的關(guān)鍵在于,很多醫(yī)療設(shè)備在設(shè)計之初并沒有考慮到網(wǎng)絡(luò)安全。而打補丁通常也只能提供有限的保護。 據(jù)2019年初的“Irdeto全球互聯(lián)行業(yè)網(wǎng)絡(luò)安全調(diào)查”,82%的醫(yī)療保健機構(gòu)承認(rèn),他們過去12個月內(nèi)經(jīng)歷過針對物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)攻擊。這些攻擊造成的經(jīng)濟損失平均高達346205美元。這些攻擊最常見的影響是運營中斷(47%),其次是客戶數(shù)據(jù)泄露(42%)和最終用戶安全受損(31%)。 除非制造商開始制造更安全的設(shè)備,否則醫(yī)療保健領(lǐng)域易受攻擊的醫(yī)療設(shè)備和其他聯(lián)網(wǎng)設(shè)備將持續(xù)受到威脅。這種情況很普遍——更新、更安全的機型取代舊型號還需要數(shù)年的時間。 減小醫(yī)療保健安全威脅的技巧 1、更好地修補和更新關(guān)鍵系統(tǒng)。 Carpenter說:“事實上,那些沒打上補丁的老舊系統(tǒng)是作為關(guān)鍵設(shè)備嵌入的,以至于更容易受到勒索軟件的威脅。”可能很難打上補丁,因為修補過程有可能中斷關(guān)鍵系統(tǒng),影響供應(yīng)商對系統(tǒng)的支持。 在某些情況下,甚至沒有針對已知漏洞的可用補丁。Carpenter建議,如果供應(yīng)商無法修補或者更新系統(tǒng),應(yīng)該主動督促他們?!皩?yīng)商施壓,質(zhì)問為什么這些系統(tǒng)不能或者沒有更新,讓整個行業(yè)都感受到壓力?!? 2、培訓(xùn)員工。 據(jù)KnowBe4的研究,在培訓(xùn)員工識別網(wǎng)絡(luò)釣魚攻擊方面,醫(yī)療保健低于行業(yè)平均水平。很-多醫(yī)療保健機構(gòu)規(guī)模不大,員工人數(shù)少于1000人——這可能是一個因素。Carpenter說:“這不僅僅是告訴員工應(yīng)該做什么。這其實是創(chuàng)建一個行為條件程序,教育員工不要點擊釣魚鏈接?!? 這個程序意味著發(fā)送模擬釣魚電子郵件。如果某個員工點擊了鏈接,那么他應(yīng)該立即收到反饋,知道自己做了什么,今后怎樣做才是正確的。這樣的程序會產(chǎn)生巨大的影響。 如果長期堅持應(yīng)用,就會有明顯的效果。KnowBe4的研究表明,員工數(shù)量在250~999名的醫(yī)療保健機構(gòu)經(jīng)過一年的網(wǎng)絡(luò)釣魚培訓(xùn)和測試后,其網(wǎng)絡(luò)釣魚易感性從27.85%降至1.65%。 3、注意員工信息。 網(wǎng)絡(luò)釣魚攻擊越是針對個人,就越容易成功。在魚叉式網(wǎng)絡(luò)釣魚攻擊中,攻擊者會盡可能多地了解被攻擊的目標(biāo)人選。Carpenter說:“如果‘不在辦公室’的回復(fù)給出了要聯(lián)系的人的名字,攻擊者會通過使用這些名字和關(guān)系鏈來建立信任?!? 4、增強防御和應(yīng)對威脅的能力。 Long說:“我對醫(yī)療保健安全最擔(dān)心的一件事是,醫(yī)療服務(wù)提供者在發(fā)現(xiàn)事故后沒有能力進行適當(dāng)?shù)恼{(diào)查,也無法對事故進行記錄和評估,沒有足夠的取證手段配合執(zhí)法部門或者法律部門的工作。他們也缺少工作人員來進行徹底的補救,不能杜絕類似情況的發(fā)生?!彼慕ㄗh是:“讓員工獲得適當(dāng)?shù)膶I(yè)知識,也可以通過合作伙伴獲得?!彼a充說:“安全應(yīng)是董事會和高管最為關(guān)注的。認(rèn)識到安全的重要性后,第一步是要有一名經(jīng)驗豐富的專業(yè)首席信息安全官?!? Long說:“規(guī)模較小的醫(yī)療保健服務(wù)提供商可能沒有資源來聘請首席信息安全官,但他們?nèi)匀恍枰獌?yōu)先考慮安全問題。在怎樣獲得一流的安全專業(yè)知識方面,他們應(yīng)該更有創(chuàng)意。這可能是通過合作或者托管安全服務(wù)來實現(xiàn)的,而且要態(tài)度堅決的站出來說,‘病人應(yīng)該得到安全保障,我們必須合作,或者讓合適的安全人員參與進來?!? |