在网络犯罪分子严重,大众的医疗数据是一种极具价值的“商品”,加之大多数的医疗机构不能保证定期为其IT系统打补丁,使得医疗保健行业逐渐成为黑客攻击的热门目标。那么,在未来一年里,医疗行业又将面对哪些安全威胁呢?
根据今年的RSA数据隐私与安全调查显示,在询问了欧洲和美国近6400名消费者对其数据安全的看法后,有61%的受访者担心自己的医疗数据会被泄露,除了来自黑客等外部攻击威胁外,同时也存很大的内部风险。且必须正视的是,医疗行业仍是勒索软件,加密,数据窃取,网络钓鱼和内部威胁的热门目标。
内部威胁,监守自盗
常言道,外贼易挡,家贼难防。根据Verizon保护健康信息数据泄露报告显示,在被调查的医疗服务供应商中,高达59%的威胁行为者来自内部,且83%的情况下其动机与经济利益相关。其中大多数的内部泄露动机是出于乐趣或好奇心,访问他们工作职责之外的数据,例如查询名人的PHI。
除此之外,间谍活动和复仇也是动机之一。对此,Fairwarning的首席执行官Kurt Long表示,病人住院期间有数十人可以查阅医疗记录,正因如此,医疗服务供应商往往会设置宽松的准入控制。普通员工可以接触到大量数据,为了照顾病人他们需要快速获取数据。另外,医疗组织机构中不同系统的数量也是一个因素,这不仅包括付费和注册,还包括专门用于妇产科、肿瘤学、诊断和其他临床系统的系统。
Long还指出,内部人士从窃取病人数据中获利的一个公开例子来自Memorial Healthcare Systems。去年,为了了结一起内部违规案件,该公司支付了550万美元的HIPAA和解金。在这起案件中,两名员工访问了11.5多名患者的PHI。此次入侵事件也彻底改变了Memorial对隐私和安全的态度,以防范未来来自内部人士和其他各方的威胁。
窃取个人资料
对网络罪犯而言,医疗数据可能比财务数据更具价值。根据Trend Micro的医疗行业所面临的网络犯罪和其他威胁报告显示,窃取的医疗保险ID在黑市上的售价至少为1美元,医疗档案的起价为5美元。
网络攻击者可以利用身份证和其他医疗数据获取政府文件(例如驾照),驾照售价约为170美元。一个制造完整的身份(一个由完整的PHI和一位死者其他的身份数据构成的身份)甚至可以卖到 1000美元。相比之下,信用卡号在黑市上的售价只有几美分。
显然,医疗记录比信用卡数据更有价值,因为医疗记录将大量信息集中在了一个地方,包括财务信息和个人的关键背景数据,而身份盗窃所需的一切都在那里,且犯罪分子在窃取健康数据方面变得越来越狡猾。
伪勒索软件就是一个例子。这是一种看起来像勒索软件的恶意软件,但它并没有做勒索软件所做的邪恶的事情,它会在背后窃取医疗记录,或在系统中横向移动,安装其他间谍软件或恶意软件,这些软件在之后会使犯罪分子受益。
网络钓鱼
众所周知,网络钓鱼是攻击者进入系统最常用的手段,它可以用来安装勒索软件、挖矿脚本、间谍软件或代码来窃取数据。尽管一些专家认为,医疗保健行业更容易受到网络钓鱼的影响,但数据显示并非如此。
根据KnowBe4的一项研究表明,在遭受网络钓鱼攻击方面,医疗保健行业与大多数其他行业不相上下。在规模为250至1000名员工的医疗机构里,如果这些员工没有接受过安全意识培训,就有27.85%的几率成为网络钓鱼的受害者,而行业平均概率为27%。
KnowBe4的数据显示,人员规模与被网络钓鱼的可能性有很大相关。员工人数在1000人以上的医疗机构,平均有25.6%的可能性会被网络钓鱼。而Carpenter发现在拥有1000多名员工的企业中,大多数人接受了更多的培训,并且运营的复杂程度也更高,因为为了遵守严格的规定,他们不得不使用不同的系统。
日益猖狂的勒索软件
同样是来自Verizon 2019年的数据泄露调查报告。报告显示,勒索软件攻击已连续两年占到了2019 年医疗保健行业所有恶意软件事件的70%以上。Radware也在《信任因子》(The Trust Factor) 报告中表示,39%的医疗机构认为自己做好了足够或充分的准备,以面对勒索软件的攻击。
不仅如此,勒索软件攻击频率在明年还会持续增加。黑客认为他们的勒索软件攻击更有可能成功,因为如果医院、医疗机构和其他卫生组织无法访问患者的记录,就会危及到这些患者的生命。他们将被迫立即采取行动,支付赎金,而不会通过备份进行漫长的恢复工作。
实际上,医疗也是商业的一种。任何时候,如果你的公司涉及到人们生活中最私人、最重要的部分,而你对其构成了威胁,就需要立即做出反应,这对部署了勒索软件的网络罪犯来说非常有用。当医疗机构无法快速进行恢复时,勒索软件导致的后果无疑是毁灭性的。
攻击物联网设备
即便是再小的医疗设备,只要连入网络就会增加其被攻击的风险。且多年以来,医疗设备一直是该行业的一个热议话题,很多医疗设备在设计之初并未充分考虑到网络安全这一问题,即便有补丁,通常也只能提供有限的保护。
根据Irdeto在今年初发布的全球互联产业网络安全调查报告显示,82%的医疗机构表示他们在过去 一年里经历过针对物联网设备的网络攻击,攻击造成的平均财务影响为34.6万美元。这些攻击造成的最常见影响是业务下线(47%),其次是客户数据泄露(42%)和终端用户安全受损(31%)。在制造商开始制造更安全的设备之前,医疗保健行业脆弱的医疗和其他联网设备将持续带来风险。
写在最后
综合上述可预见的安全威胁,医疗行业当要如何自保呢?当务之急,就是尽快加强对关键IT系统的维护,尤其是那些老旧且未打补丁的系统。如果硬件厂商没有给出相应的漏洞补丁,不妨对他们施加一些压力,例如问问为什么这些系统不能或没有更新,并从行业角度施加压力。
此外,就是对内部员工进行安全意识培训,例如对网络钓鱼的识别能力,且不管医疗机构规模是大是小,都应告诉你的员工应该做些什么,是要建立一个行为条件项目,训练他们不要点击钓鱼链接。当然,如果能够持续长期的进行培训,培训会产生更好的效果,尤其是在这个网络钓鱼攻击越来越个性化的当下。