医疗行业仍然是勒索软件、加密挖矿、数据盗窃、网络钓鱼和内部威胁的热门目标。
由于Anthem和Allscripts等备受瞩目的违规行为,消费者现在更担心他们受保护的健康信息(PHI)会受到损害。最近的2019年RSA数据隐私与安全调查询问了欧洲和美国近6400名消费者对其数据安全的看法。调查显示,61%的受访者担心他们的医疗数据被泄露。
他们有充分的理由对此表示担心。医疗保健行业仍然是黑客的主要目标,并且内部威胁也有很大的风险。
为什么医疗保健行业是黑客的目标
医疗保健组织往往有一些特殊的属性,使其成为了攻击者的诱人目标。一个关键原因是大量的没有定期修补的不同系统。“其中一些是嵌入式系统,由于制造商创建它们的方式,这些系统无法被轻松地修补。”“如果医疗保健的IT部门选择这样做,将会给供应商支持他们的方式带来重大问题。”KnowBe4的首席布道师兼战略官Perry Carpenter说。
医疗保健机构所做事情的关键性质也使他们容易成为攻击者的目标。健康数据在网络犯罪世界中是一种有价值的商品,这自然而然的使它成为了盗窃的目标。因为事关重大--涉及到病人的福祉--医疗保健机构也更有可能支付赎金要求。
下面是未来一年中6个最大的医疗安全威胁。
1.勒索软件
根据Verizon 2019年的数据泄露调查报告,勒索软件攻击已连续第二年占据了2019年医疗行业所有恶意软件事件的70%以上。另一项调查,Radware的信任因素报告显示,只有39%的医疗机构认为自己对勒索软件攻击准备得非常充分或极其充分。
没有理由相信勒索软件攻击将会在明年逐渐消失。“在我们充分强化我们的员工和系统之前,勒索软件将继续被证明是成功的,并获得更多的动力。他们将继续使用的载体是点击某个东西或下载某个东西的人。”Carpenter说。
原因很简单:黑客认为他们的勒索软件攻击非常有可能成功,因为医院和医疗机构如果无法访问患者记录,就会危及生命。他们会感到压力被迫立即采取行动和支付赎金,而不是经历漫长的备份恢复过程。
“医疗保健是一项事业,并且与人们的生活息息相关。”Carpenter说。“任何时候,当你的企业与人们生活中最私人、最重要的部分交织在一起,并可能对其造成威胁时,你都需要立即做出反应。这对部署勒索软件的网络罪犯来说非常有效。”
当医疗保健组织无法迅速恢复时,勒索软件的影响可能是毁灭性的。当电子健康记录(EHR)公司Allscripts在一月份因一次恶意软件攻击而关闭时,这一点就被戏剧性地提出来了。该攻击感染了两个数据中心,并导致许多应用程序离线,影响了数以千计的医疗保健提供商客户。
2.窃取患者数据
对网络罪犯来说,医疗保健数据可能比财务数据更有价值。根据趋势科技的网络犯罪和医疗行业报告中所提到的其他威胁,被盗的医疗保险身份证在暗网上至少可以卖1美元,而医疗档案的起价为5美元。
黑客可以使用身份证和其他医疗数据中的数据来获取政府文件,如驾驶执照,根据趋势科技的报告,这些文件的售价约为170美元。一个完整的农场身份--一个由完整的PHI和死者的其他身份数据创建的身份--可以卖到1000美元。相比之下,信用卡号码在黑网上只能够卖到几便士。
Carpenter说:“医疗记录之所以比信用卡数据更有价值,是因为它们在一个地方聚集了大量信息。”包括个人的财务信息和关键的背景数据。“身份盗窃所需的一切都在那里。”
罪犯在如何窃取健康数据方面变得越来越狡猾了。伪勒索软件就是一个例子。“看起来像勒索软件的恶意软件,但其实并没有做勒索软件所做的所有邪恶的事情,”Carpenter说。“在其掩盖下,它窃取医疗记录或在系统间横向移动,安装其他间谍软件或恶意软件,这些软件或恶意软件将在以后对罪犯有利。”
正如下一节所解释的,医疗保健行业的业内人士也在窃取患者数据。
3.内部威胁
根据Verizon的防止健康信息数据泄露报告,59%被调查的医疗服务提供商的数据泄露事件的行动者是内部人员。在83%的情况下,经济收益是其主要动机。
很大一部分内部违规行为是出于乐趣或好奇心,主要是访问他们工作职责之外的数据--比如查阅名人的个人信息。间谍活动和积怨也是动机之一。“在病人留在医疗系统中的过程中,有几十个人可以获得其医疗记录,”Fairwarning公司的首席执行官Kurt Long说。“正因为如此,医疗保健提供商往往也有着松散的访问控制。普通员工可以访问大量数据,因为他们需要快速获取数据来照顾他人。”
医疗机构中不同系统的数量也是因素之一。这不仅包括计费和注册部门,还包括了专门用于妇产科、肿瘤学、诊断和其他的临床系统,Long说。
“从窃取病人数据到用于身份盗窃或医疗身份盗窃的欺诈计划,都可以获得财务上的回报。这已经成为了该行业的一个常规部分了,”Long说。“人们正在为自己或朋友或家人改变账单,或者进行阿片类药物的转移或处方转移。他们可以获取处方并出售它们以获取利润。”
“当你从总体上看阿片类药物的危机时,这就是对医疗保健环境的直接解释,在医疗保健环境中,医护人员正坐在系统中阿片类药物的金矿上面,”Long说。“这是阿片类药物整体危机的最新数据。医护人员认识到了它们的价值,他们可能会沉迷于它们,或者利用他们获得的处方来获得经济利益。”
Long指出,内部人士从窃取的患者数据中获利的一个公开例子就是Memorial医疗系统的案例。去年,该公司支付了550万美元的HIPAA和解金,以了结一项内部违规行为,即两名员工访问了超过11.5万名患者的PHI。这一违规行为导致Memorial医疗系统彻底改变了其隐私和安全姿态,以帮助防范未来的内部人员和其他威胁。
4.网络钓鱼
网络钓鱼是攻击者获取系统入口最常用的手段。它可用于安装勒索软件、加密脚本、间谍软件以及窃取数据的代码。
一些人认为医疗保健更容易受到网络钓鱼的攻击,但数据显示的情况并非如此。KnowBe4的一项研究表明,在遭受钓鱼攻击方面,医疗保健行业与大多数其他行业不相上下。一家拥有250到1000名员工的医疗机构,在没有接受过安全意识培训的情况下,遭受网络钓鱼攻击的几率为27.85%,而所有行业的平均几率为27%。
Carpenter说:“(你可能会认为)利他主义、迫在眉睫的生死状况可能会导致人们做好心理准备,去点击一些让(医疗工作者)更容易受到影响的东西,但调查数字并没有证明这一点。”
当谈到网络钓鱼的敏感性时,规模很重要。KnowBe4的数据显示,员工在1,000人以上的医疗机构中,平均有25.6%的人可能会被诈骗。“在拥有1000多名员工的组织中,我们看到他们中的大多数人接受了更多一点的培训,并会在更高的复杂程度上运作,因为他们必须建立不同的系统来遵守严格的法规,”Carpenter说。
5.加密挖矿
秘密劫持系统以开采加密货币是所有行业中日益严重的问题。医疗保健中所使用的系统是加密挖矿(cryptojacking)非常有吸引力的目标,因为保持它们的运行至关重要。该系统运行的时间越长,犯罪分子就越有可能获得加密货币。“在医院环境中,即使怀疑有人在加密挖矿,他们也可能不会急于拔掉机器的插头,”Carpenter说。“受病毒感染的机器运行的时间越长,对罪犯的好处就越大。”
这还是在假设医疗保健提供者能够检测到加密挖矿操作的情况下。加密挖矿代码不会损害系统,但是会消耗大量的计算能力。只有当系统和生产力变慢时才有可能识别到它。一些加密挖矿者会限制他们的代码以降低检测风险。而许多医疗保健组织也没有IT或安全人员来识别和修复这种加密货币攻击。
6.被黑客入侵的物联网设备
医疗设备的安全多年来就一直是医疗保健领域的热点问题,众所周知,许多网络或互联网连接的医疗设备非常容易受到攻击。问题的关键是,许多医疗设备的设计并没有考虑到网络安全问题。在可能的情况下,修补通常只提供边缘保护。
根据从2019年初开始的Irdeto全球互联行业网络安全调查,82%的医疗机构表示,他们在过去的12个月里经历过针对物联网设备的网络攻击。这些袭击的平均财务影响为346205美元。这些攻击最常见的影响是操作停机(47%),其次是客户数据泄露(42%)和终端用户的安全性泄露(31%)。
在制造商开始制造更安全的设备之前,医疗保健领域易受攻击的医疗设备和其他连接设备将继续是一个威胁。虽然问题很普遍,但更新、更安全的型号要取代旧型号还需要很多年。
最小化医疗安全威胁的技巧
更好地修补和更新关键系统。“事实上,那些旧的未修补系统常常是作为关键设备嵌入的,这导致了勒索软件的更大威胁,”Carpenter说。这可能会很困难,因为修补过程可能会中断关键系统或削弱供应商支持系统的能力。
在某些情况下,或许也没有可用于已知漏洞的修补程序。Carpenter建议应该在供应商没有或不能修补或更新系统的情况下向他们施压。“与供应商保持积极的关系,询问为什么这些系统不能或没有更新,并保持一个行业的压力。”
培训员工。根据KnowBe4的研究,医疗保健行业在培训员工识别网络钓鱼方面低于平均水平。许多医疗保健机构的规模很小,不到1000名员工,这可能是一个因素。Carpenter说:“这不仅仅是要告诉他们应该做什么。”你需要创建一个行为模拟程序,来训练他们不要点击网络钓鱼链接。
这个程序意味着需要发送模拟钓鱼邮件。点击链接的员工应该会立即收到关于他们做了什么以及他们应该如何做正确事情的反馈。这样的项目会产生巨大的影响。
如果长期坚持使用,培训就会起作用。KnowBe4的研究显示,在拥有250至999名员工的医疗机构中,经过一年的网络钓鱼培训和测试后,其对网络钓鱼的敏感度可从27.85%降至1.65%。
小心有关员工的信息。网络钓鱼攻击越个性化,成功的可能性就越大。在鱼叉式网络钓鱼攻击中,攻击者会试图尽可能多地了解目标个人。Carpenter说:“如果不在办公室的回复给出了要联系的人的名字,攻击者就可以通过使用这些名字和关系链来建立信任。”。
增强你防御和应对威胁的能力。“我(对医疗安全)最担心的事情是,医护人员缺乏在发现事故后进行适当调查的能力,缺乏对事故进行记录和评估危害的能力,缺乏与执法部门或法律部门合作以进行充分取证的能力。他们也缺乏能够进行补救的员工,无法保证这种情况再也不会发生了,”Long说。他的建议是:“通过员工或合作伙伴关系来获得正确的专业知识。”他补充说,安全性需要成为董事会和管理层的优先事项。“确定安全优先级后的第一步是确保您有一个具有适用经验的敬业的CISO。”
规模较小的医疗保健提供商可能没有资源雇佣CISO,但他们仍然需要优先考虑安全性,Long说。“他们可能需要在获得一流的安全专业知识方面更具创造性。这可能是通过合作或管理安全服务实现的,但没有人能够代替他们自己站出来说,我的病人应该得到安全保障,我必须致力于合作或让合适的安全人员进入到这里。”