應(yīng)用

技術(shù)

物聯(lián)網(wǎng)世界 >> 物聯(lián)網(wǎng)新聞 >> 物聯(lián)網(wǎng)熱點(diǎn)新聞
企業(yè)注冊(cè)個(gè)人注冊(cè)登錄

2020年的6大醫(yī)療安全威脅

2019-10-21 09:10 企業(yè)網(wǎng)D1Net

導(dǎo)讀:最近的2019年RSA數(shù)據(jù)隱私與安全調(diào)查詢問(wèn)了歐洲和美國(guó)近6400名消費(fèi)者對(duì)其數(shù)據(jù)安全的看法。調(diào)查顯示,61%的受訪者擔(dān)心他們的醫(yī)療數(shù)據(jù)被泄露。

由于Anthem和Allscripts等備受矚目的違規(guī)行為,消費(fèi)者現(xiàn)在更擔(dān)心他們受保護(hù)的健康信息(PHI)會(huì)受到損害。最近的2019年RSA數(shù)據(jù)隱私與安全調(diào)查詢問(wèn)了歐洲和美國(guó)近6400名消費(fèi)者對(duì)其數(shù)據(jù)安全的看法。調(diào)查顯示,61%的受訪者擔(dān)心他們的醫(yī)療數(shù)據(jù)被泄露。

他們有充分的理由對(duì)此表示擔(dān)心。醫(yī)療保健行業(yè)仍然是黑客的主要目標(biāo),并且內(nèi)部威脅也有很大的風(fēng)險(xiǎn)。

為什么醫(yī)療保健行業(yè)是黑客的目標(biāo)

醫(yī)療保健組織往往有一些特殊的屬性,使其成為了攻擊者的誘人目標(biāo)。一個(gè)關(guān)鍵原因是大量的沒(méi)有定期修補(bǔ)的不同系統(tǒng)。“其中一些是嵌入式系統(tǒng),由于制造商創(chuàng)建它們的方式,這些系統(tǒng)無(wú)法被輕松地修補(bǔ)?!薄叭绻t(yī)療保健的IT部門選擇這樣做,將會(huì)給供應(yīng)商支持他們的方式帶來(lái)重大問(wèn)題?!盞nowBe4的首席布道師兼戰(zhàn)略官Perry Carpenter說(shuō)。

醫(yī)療保健機(jī)構(gòu)所做事情的關(guān)鍵性質(zhì)也使他們?nèi)菀壮蔀楣粽叩哪繕?biāo)。健康數(shù)據(jù)在網(wǎng)絡(luò)犯罪世界中是一種有價(jià)值的商品,這自然而然的使它成為了盜竊的目標(biāo)。因?yàn)槭玛P(guān)重大--涉及到病人的福祉--醫(yī)療保健機(jī)構(gòu)也更有可能支付贖金要求。

下面是未來(lái)一年中6個(gè)最大的醫(yī)療安全威脅。

1. 勒索軟件

根據(jù)Verizon 2019年的數(shù)據(jù)泄露調(diào)查報(bào)告,勒索軟件攻擊已連續(xù)第二年占據(jù)了2019年醫(yī)療行業(yè)所有惡意軟件事件的70%以上。另一項(xiàng)調(diào)查,Radware的信任因素報(bào)告顯示,只有39%的醫(yī)療機(jī)構(gòu)認(rèn)為自己對(duì)勒索軟件攻擊準(zhǔn)備得非常充分或極其充分。

沒(méi)有理由相信勒索軟件攻擊將會(huì)在明年逐漸消失?!霸谖覀兂浞謴?qiáng)化我們的員工和系統(tǒng)之前,勒索軟件將繼續(xù)被證明是成功的,并獲得更多的動(dòng)力。他們將繼續(xù)使用的載體是點(diǎn)擊某個(gè)東西或下載某個(gè)東西的人?!盋arpenter說(shuō)。

原因很簡(jiǎn)單:黑客認(rèn)為他們的勒索軟件攻擊非常有可能成功,因?yàn)獒t(yī)院和醫(yī)療機(jī)構(gòu)如果無(wú)法訪問(wèn)患者記錄,就會(huì)危及生命。他們會(huì)感到壓力被迫立即采取行動(dòng)和支付贖金,而不是經(jīng)歷漫長(zhǎng)的備份恢復(fù)過(guò)程。

“醫(yī)療保健是一項(xiàng)事業(yè),并且與人們的生活息息相關(guān)?!盋arpenter說(shuō)?!叭魏螘r(shí)候,當(dāng)你的企業(yè)與人們生活中最私人、最重要的部分交織在一起,并可能對(duì)其造成威脅時(shí),你都需要立即做出反應(yīng)。這對(duì)部署勒索軟件的網(wǎng)絡(luò)罪犯來(lái)說(shuō)非常有效?!?/p>

當(dāng)醫(yī)療保健組織無(wú)法迅速恢復(fù)時(shí),勒索軟件的影響可能是毀滅性的。當(dāng)電子健康記錄(EHR)公司Allscripts在一月份因一次惡意軟件攻擊而關(guān)閉時(shí),這一點(diǎn)就被戲劇性地提出來(lái)了。該攻擊感染了兩個(gè)數(shù)據(jù)中心,并導(dǎo)致許多應(yīng)用程序離線,影響了數(shù)以千計(jì)的醫(yī)療保健提供商客戶。

2. 竊取患者數(shù)據(jù)

對(duì)網(wǎng)絡(luò)罪犯來(lái)說(shuō),醫(yī)療保健數(shù)據(jù)可能比財(cái)務(wù)數(shù)據(jù)更有價(jià)值。根據(jù)趨勢(shì)科技的網(wǎng)絡(luò)犯罪和醫(yī)療行業(yè)報(bào)告中所提到的其他威脅,被盜的醫(yī)療保險(xiǎn)身份證在暗網(wǎng)上至少可以賣1美元,而醫(yī)療檔案的起價(jià)為5美元。

黑客可以使用身份證和其他醫(yī)療數(shù)據(jù)中的數(shù)據(jù)來(lái)獲取政府文件,如駕駛執(zhí)照,根據(jù)趨勢(shì)科技的報(bào)告,這些文件的售價(jià)約為170美元。一個(gè)完整的農(nóng)場(chǎng)身份--一個(gè)由完整的PHI和死者的其他身份數(shù)據(jù)創(chuàng)建的身份--可以賣到1000美元。相比之下,信用卡號(hào)碼在黑網(wǎng)上只能夠賣到幾便士。

Carpenter說(shuō):“醫(yī)療記錄之所以比信用卡數(shù)據(jù)更有價(jià)值,是因?yàn)樗鼈冊(cè)谝粋€(gè)地方聚集了大量信息?!卑▊€(gè)人的財(cái)務(wù)信息和關(guān)鍵的背景數(shù)據(jù)?!吧矸荼I竊所需的一切都在那里?!?/p>

罪犯在如何竊取健康數(shù)據(jù)方面變得越來(lái)越狡猾了。偽勒索軟件就是一個(gè)例子?!翱雌饋?lái)像勒索軟件的惡意軟件,但其實(shí)并沒(méi)有做勒索軟件所做的所有邪惡的事情,”Carpenter說(shuō)?!霸谄溲谏w下,它竊取醫(yī)療記錄或在系統(tǒng)間橫向移動(dòng),安裝其他間諜軟件或惡意軟件,這些軟件或惡意軟件將在以后對(duì)罪犯有利?!?/p>

正如下一節(jié)所解釋的,醫(yī)療保健行業(yè)的業(yè)內(nèi)人士也在竊取患者數(shù)據(jù)。

3. 內(nèi)部威脅

根據(jù)Verizon的防止健康信息數(shù)據(jù)泄露報(bào)告,59%被調(diào)查的醫(yī)療服務(wù)提供商的數(shù)據(jù)泄露事件的行動(dòng)者是內(nèi)部人員。在83%的情況下,經(jīng)濟(jì)收益是其主要?jiǎng)訖C(jī)。

很大一部分內(nèi)部違規(guī)行為是出于樂(lè)趣或好奇心,主要是訪問(wèn)他們工作職責(zé)之外的數(shù)據(jù)--比如查閱名人的個(gè)人信息。間諜活動(dòng)和積怨也是動(dòng)機(jī)之一?!霸诓∪肆粼卺t(yī)療系統(tǒng)中的過(guò)程中,有幾十個(gè)人可以獲得其醫(yī)療記錄,”Fairwarning公司的首席執(zhí)行官Kurt Long說(shuō)。“正因?yàn)槿绱?,醫(yī)療保健提供商往往也有著松散的訪問(wèn)控制。普通員工可以訪問(wèn)大量數(shù)據(jù),因?yàn)樗麄冃枰焖佾@取數(shù)據(jù)來(lái)照顧他人?!?/p>

醫(yī)療機(jī)構(gòu)中不同系統(tǒng)的數(shù)量也是因素之一。這不僅包括計(jì)費(fèi)和注冊(cè)部門,還包括了專門用于婦產(chǎn)科、腫瘤學(xué)、診斷和其他的臨床系統(tǒng),Long說(shuō)。

“從竊取病人數(shù)據(jù)到用于身份盜竊或醫(yī)療身份盜竊的欺詐計(jì)劃,都可以獲得財(cái)務(wù)上的回報(bào)。這已經(jīng)成為了該行業(yè)的一個(gè)常規(guī)部分了,”Long說(shuō)。“人們正在為自己或朋友或家人改變賬單,或者進(jìn)行阿片類藥物的轉(zhuǎn)移或處方轉(zhuǎn)移。他們可以獲取處方并出售它們以獲取利潤(rùn)?!?/p>

“當(dāng)你從總體上看阿片類藥物的危機(jī)時(shí),這就是對(duì)醫(yī)療保健環(huán)境的直接解釋,在醫(yī)療保健環(huán)境中,醫(yī)護(hù)人員正坐在系統(tǒng)中阿片類藥物的金礦上面,”Long說(shuō)?!斑@是阿片類藥物整體危機(jī)的最新數(shù)據(jù)。醫(yī)護(hù)人員認(rèn)識(shí)到了它們的價(jià)值,他們可能會(huì)沉迷于它們,或者利用他們獲得的處方來(lái)獲得經(jīng)濟(jì)利益?!?/p>

Long指出,內(nèi)部人士從竊取的患者數(shù)據(jù)中獲利的一個(gè)公開(kāi)例子就是Memorial醫(yī)療系統(tǒng)的案例。去年,該公司支付了550萬(wàn)美元的HIPAA和解金,以了結(jié)一項(xiàng)內(nèi)部違規(guī)行為,即兩名員工訪問(wèn)了超過(guò)11.5萬(wàn)名患者的PHI。這一違規(guī)行為導(dǎo)致Memorial醫(yī)療系統(tǒng)徹底改變了其隱私和安全姿態(tài),以幫助防范未來(lái)的內(nèi)部人員和其他威脅。

4. 網(wǎng)絡(luò)釣魚(yú)

網(wǎng)絡(luò)釣魚(yú)是攻擊者獲取系統(tǒng)入口最常用的手段。它可用于安裝勒索軟件、加密腳本、間諜軟件以及竊取數(shù)據(jù)的代碼。

一些人認(rèn)為醫(yī)療保健更容易受到網(wǎng)絡(luò)釣魚(yú)的攻擊,但數(shù)據(jù)顯示的情況并非如此。KnowBe4的一項(xiàng)研究表明,在遭受釣魚(yú)攻擊方面,醫(yī)療保健行業(yè)與大多數(shù)其他行業(yè)不相上下。一家擁有250到1000名員工的醫(yī)療機(jī)構(gòu),在沒(méi)有接受過(guò)安全意識(shí)培訓(xùn)的情況下,遭受網(wǎng)絡(luò)釣魚(yú)攻擊的幾率為27.85%,而所有行業(yè)的平均幾率為27%。

Carpenter說(shuō):“(你可能會(huì)認(rèn)為)利他主義、迫在眉睫的生死狀況可能會(huì)導(dǎo)致人們做好心理準(zhǔn)備,去點(diǎn)擊一些讓(醫(yī)療工作者)更容易受到影響的東西,但調(diào)查數(shù)字并沒(méi)有證明這一點(diǎn)。”

當(dāng)談到網(wǎng)絡(luò)釣魚(yú)的敏感性時(shí),規(guī)模很重要。KnowBe4的數(shù)據(jù)顯示,員工在1,000人以上的醫(yī)療機(jī)構(gòu)中,平均有25.6%的人可能會(huì)被詐騙。“在擁有1000多名員工的組織中,我們看到他們中的大多數(shù)人接受了更多一點(diǎn)的培訓(xùn),并會(huì)在更高的復(fù)雜程度上運(yùn)作,因?yàn)樗麄儽仨毥⒉煌南到y(tǒng)來(lái)遵守嚴(yán)格的法規(guī),”Carpenter說(shuō)。

5. 加密挖礦

秘密劫持系統(tǒng)以開(kāi)采加密貨幣是所有行業(yè)中日益嚴(yán)重的問(wèn)題。醫(yī)療保健中所使用的系統(tǒng)是加密挖礦(cryptojacking)非常有吸引力的目標(biāo),因?yàn)楸3炙鼈兊倪\(yùn)行至關(guān)重要。該系統(tǒng)運(yùn)行的時(shí)間越長(zhǎng),犯罪分子就越有可能獲得加密貨幣?!霸卺t(yī)院環(huán)境中,即使懷疑有人在加密挖礦,他們也可能不會(huì)急于拔掉機(jī)器的插頭,”Carpenter說(shuō)。“受病毒感染的機(jī)器運(yùn)行的時(shí)間越長(zhǎng),對(duì)罪犯的好處就越大?!?/p>

這還是在假設(shè)醫(yī)療保健提供者能夠檢測(cè)到加密挖礦操作的情況下。加密挖礦代碼不會(huì)損害系統(tǒng),但是會(huì)消耗大量的計(jì)算能力。只有當(dāng)系統(tǒng)和生產(chǎn)力變慢時(shí)才有可能識(shí)別到它。一些加密挖礦者會(huì)限制他們的代碼以降低檢測(cè)風(fēng)險(xiǎn)。而許多醫(yī)療保健組織也沒(méi)有IT或安全人員來(lái)識(shí)別和修復(fù)這種加密貨幣攻擊。

6. 被黑客入侵的物聯(lián)網(wǎng)設(shè)備

醫(yī)療設(shè)備的安全多年來(lái)就一直是醫(yī)療保健領(lǐng)域的熱點(diǎn)問(wèn)題,眾所周知,許多網(wǎng)絡(luò)或互聯(lián)網(wǎng)連接的醫(yī)療設(shè)備非常容易受到攻擊。問(wèn)題的關(guān)鍵是,許多醫(yī)療設(shè)備的設(shè)計(jì)并沒(méi)有考慮到網(wǎng)絡(luò)安全問(wèn)題。在可能的情況下,修補(bǔ)通常只提供邊緣保護(hù)。

根據(jù)從2019年初開(kāi)始的Irdeto全球互聯(lián)行業(yè)網(wǎng)絡(luò)安全調(diào)查,82%的醫(yī)療機(jī)構(gòu)表示,他們?cè)谶^(guò)去的12個(gè)月里經(jīng)歷過(guò)針對(duì)物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)攻擊。這些襲擊的平均財(cái)務(wù)影響為346205美元。這些攻擊最常見(jiàn)的影響是操作停機(jī)(47%),其次是客戶數(shù)據(jù)泄露(42%)和終端用戶的安全性泄露(31%)。

在制造商開(kāi)始制造更安全的設(shè)備之前,醫(yī)療保健領(lǐng)域易受攻擊的醫(yī)療設(shè)備和其他連接設(shè)備將繼續(xù)是一個(gè)威脅。雖然問(wèn)題很普遍,但更新、更安全的型號(hào)要取代舊型號(hào)還需要很多年。

最小化醫(yī)療安全威脅的技巧

更好地修補(bǔ)和更新關(guān)鍵系統(tǒng)?!笆聦?shí)上,那些舊的未修補(bǔ)系統(tǒng)常常是作為關(guān)鍵設(shè)備嵌入的,這導(dǎo)致了勒索軟件的更大威脅,”Carpenter說(shuō)。這可能會(huì)很困難,因?yàn)樾扪a(bǔ)過(guò)程可能會(huì)中斷關(guān)鍵系統(tǒng)或削弱供應(yīng)商支持系統(tǒng)的能力。

在某些情況下,或許也沒(méi)有可用于已知漏洞的修補(bǔ)程序。Carpenter建議應(yīng)該在供應(yīng)商沒(méi)有或不能修補(bǔ)或更新系統(tǒng)的情況下向他們施壓?!芭c供應(yīng)商保持積極的關(guān)系,詢問(wèn)為什么這些系統(tǒng)不能或沒(méi)有更新,并保持一個(gè)行業(yè)的壓力?!?/p>

培訓(xùn)員工。根據(jù)KnowBe4的研究,醫(yī)療保健行業(yè)在培訓(xùn)員工識(shí)別網(wǎng)絡(luò)釣魚(yú)方面低于平均水平。許多醫(yī)療保健機(jī)構(gòu)的規(guī)模很小,不到1000名員工,這可能是一個(gè)因素。Carpenter說(shuō):“這不僅僅是要告訴他們應(yīng)該做什么?!蹦阈枰?jiǎng)?chuàng)建一個(gè)行為模擬程序,來(lái)訓(xùn)練他們不要點(diǎn)擊網(wǎng)絡(luò)釣魚(yú)鏈接。

這個(gè)程序意味著需要發(fā)送模擬釣魚(yú)郵件。點(diǎn)擊鏈接的員工應(yīng)該會(huì)立即收到關(guān)于他們做了什么以及他們應(yīng)該如何做正確事情的反饋。這樣的項(xiàng)目會(huì)產(chǎn)生巨大的影響。

如果長(zhǎng)期堅(jiān)持使用,培訓(xùn)就會(huì)起作用。KnowBe4的研究顯示,在擁有250至999名員工的醫(yī)療機(jī)構(gòu)中,經(jīng)過(guò)一年的網(wǎng)絡(luò)釣魚(yú)培訓(xùn)和測(cè)試后,其對(duì)網(wǎng)絡(luò)釣魚(yú)的敏感度可從27.85%降至1.65%。

小心有關(guān)員工的信息。網(wǎng)絡(luò)釣魚(yú)攻擊越個(gè)性化,成功的可能性就越大。在魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊中,攻擊者會(huì)試圖盡可能多地了解目標(biāo)個(gè)人。Carpenter說(shuō):“如果不在辦公室的回復(fù)給出了要聯(lián)系的人的名字,攻擊者就可以通過(guò)使用這些名字和關(guān)系鏈來(lái)建立信任?!?。

增強(qiáng)你防御和應(yīng)對(duì)威脅的能力?!拔?對(duì)醫(yī)療安全)最擔(dān)心的事情是,醫(yī)護(hù)人員缺乏在發(fā)現(xiàn)事故后進(jìn)行適當(dāng)調(diào)查的能力,缺乏對(duì)事故進(jìn)行記錄和評(píng)估危害的能力,缺乏與執(zhí)法部門或法律部門合作以進(jìn)行充分取證的能力。他們也缺乏能夠進(jìn)行補(bǔ)救的員工,無(wú)法保證這種情況再也不會(huì)發(fā)生了,”Long說(shuō)。他的建議是:“通過(guò)員工或合作伙伴關(guān)系來(lái)獲得正確的專業(yè)知識(shí)?!彼a(bǔ)充說(shuō),安全性需要成為董事會(huì)和管理層的優(yōu)先事項(xiàng)?!按_定安全優(yōu)先級(jí)后的第一步是確保您有一個(gè)具有適用經(jīng)驗(yàn)的敬業(yè)的CISO?!?/p>

規(guī)模較小的醫(yī)療保健提供商可能沒(méi)有資源雇傭CISO,但他們?nèi)匀恍枰獌?yōu)先考慮安全性,Long說(shuō)?!八麄兛赡苄枰讷@得一流的安全專業(yè)知識(shí)方面更具創(chuàng)造性。這可能是通過(guò)合作或管理安全服務(wù)實(shí)現(xiàn)的,但沒(méi)有人能夠代替他們自己站出來(lái)說(shuō),我的病人應(yīng)該得到安全保障,我必須致力于合作或讓合適的安全人員進(jìn)入到這里?!?/p>