医疗行业仍然是勒索软件,加密,数据窃取,网络钓鱼和内部威胁的热门目标。
由于 Anthem 和 Allscripts 等备受瞩目的违规行为,消费者现在更担心他们受保护的健康信息 (Protected Health Information, PHI) 会被泄露。最近的 2019 年 RSA 数据隐私与安全调查询问了欧洲和美国近 6400 名消费者对其数据安全的看法。调查显示,61% 的受访者担心自己的医疗数据会被泄露。
他们有充分的理由感到担心。医疗保健行业仍然是黑客的主要目标,同时也存在很大的风险威胁会来自内部。
为什么医疗保健行业会成为黑客攻击的目标?
医疗保健相关的组织机构往往具备一些属性,让它们成为了对攻击者来说有吸引力的目标。一个关键原因是有很多不同的系统没有定期打补丁。KnowBe4 的首席宣传官兼战略官 Perry Carpenter 表示:其中一些是嵌入式系统,由于制造商创建它们的方式,不能轻易打补丁。如果医疗 IT 部门想要这样做,那将对供应商支持他们的方式造成重大问题。
医疗保健行业所做工作的关键性质使它们成为了攻击者的目标。在网络犯罪领域,健康数据是一种有价值的商品,这使得它成为了盗窃的目标。由于事关病人的健康,医疗机构更有可能为勒索软件支付赎金。
以下是未来一年里医疗行业将会面对的五大安全威胁。
1. 勒索软件
根据 Verizon 2019 年的数据泄露调查报告,勒索软件攻击连续第二年占到了 2019 年医疗保健行业所有恶意软件事件的 70% 以上。另一项 Radware 的《信任因子》(The Trust Factor) 报告显示,只有 39% 的医疗机构认为面对勒索软件的攻击,他们做好了足够或充分的准备。
勒索软件攻击在明年也会持续存在。Carpenter 表示:在充分强化员工和系统安全之前,(勒索软件)将持续取得胜利,并获得更多动力。他们将继续将矛头对准会点击或下载一些东西的人。
原因很简单:黑客认为他们的勒索软件攻击更有可能成功,因为如果医院、医疗机构和其他卫生组织无法访问患者的记录,就会危及到这些患者的生命。他们将被迫立即采取行动,支付赎金,而不会通过备份进行漫长的恢复工作。
医疗也是商业的一种,但医疗保健也涉及人们的生活。任何时候,如果你的公司涉及到人们生活中最私人、最重要的部分,而你对其构成了威胁,就需要立即做出反应。这对部署了勒索软件的网络罪犯来说非常有用。
当医疗机构无法快速进行恢复时,勒索软件导致的后果可能是毁灭性的。这一点在电子健康档案(Electronic Health Record, EHR)公司Allscripts在1月份因为勒索软件攻击而关停时体现的非常明显。这次攻击感染了两个数据中心,导致很多应用程序离线,影响了该公司服务的数千名医疗行业客户。
2. 窃取病人资料
对网络罪犯来说,医疗数据可能比财务数据更有价值。根据 Trend Micro 的医疗行业所面临的网络犯罪和其他威胁这份报告,窃取的医疗保险 ID 在黑市上的售价至少为 1 美元,医疗档案的起价为 5 美元。
黑客可以利用身份证和其他医疗数据获取政府文件,比如驾照。据 Trend Micro 报道,驾照售价约为 170 美元。一个制造完整的身份(一个由完整的 PHI 和一位死者其他的身份数据构成的身份)可以卖到 1000 美元。相比之下,信用卡号在黑市上只卖几美分。
Carpenter表示,医疗记录比信用卡数据更有价值,因为医疗记录将大量信息集中在了一个地方,包括财务信息和个人的关键背景数据。身份盗窃所需的一切都在那里。
犯罪分子在窃取健康数据方面变得越来越狡猾。伪勒索软件就是一个例子。这是一种看起来像勒索软件的恶意软件,但它并没有做勒索软件所做的邪恶的事情,它会在背后窃取医疗记录,或在系统中横向移动,安装其他间谍软件或恶意软件,这些软件在之后会使犯罪分子受益。
正如下一节所述,医疗保健业行业内的人士也在窃取患者的数据。
3. 内部威胁
根据 Verizon 保护健康信息数据泄露报告,被调查的医疗服务供应商中,59% 的威胁行为者是内部人士。83% 的情况下其动机与经济利益相关。
很大一部分的内部泄露动机是出于乐趣或好奇心,访问他们工作职责之外的数据——例如,查询名人的 PHI。间谍活动和复仇也是动机之一。Fairwarning 的首席执行官 Kurt Long 表示:在病人住院期间,有数十人可以查阅医疗记录,正因为如此,医疗服务供应商往往会设置宽松的准入控制。普通员工可以接触到大量数据,因为为了照料病人,他们需要快速获取数据。
医疗组织机构中不同系统的数量也是一个因素。Long 表示这不仅包括付费和注册,还包括专门用于妇产科、肿瘤学、诊断和其他临床系统的系统。
任何东西都可能用来交易,从用于身份盗窃的病人数据或医疗身份盗窃欺诈计划。这已经成为了这个行业的常态。人们在为自己、朋友、家人谋取钱财,或者(他们正在)转向阿片类药物或处方药物。他们获取处方,然后出售以获取利润。
当你从整体上看待阿片类药物危机时,可以说医疗工作者正坐在系统中处方阿片类药物带来的金矿上。这是阿片类药物危机的最新证明。医疗工作者认识到它们的价值,他们可能会对它们上瘾,或者为了经济利益而使用他们的权利(开处方)。
Long 指出,内部人士从窃取病人数据中获利的一个公开例子来自 Memorial Healthcare Systems。去年,为了了结一起内部违规案件,该公司支付了 550 万美元的 HIPAA 和解金。在这起案件中,两名员工访问了 11 万 5 千多名患者的 PHI。那次入侵事件彻底改变了 Memorial 对隐私和安全的态度,以防范未来来自内部人士和其他各方的威胁。
4. 网络钓鱼
网络钓鱼是攻击者进入系统最常用的手段。它可以用来安装勒索软件、挖矿脚本、间谍软件或代码来窃取数据。
一些人认为,医疗保健行业更容易受到网络钓鱼的影响,但数据显示并非如此。KnowBe4 的一项研究表明,在遭受网络钓鱼攻击方面,医疗保健行业与大多数其他行业不相上下。在规模为 250 至 1000 名员工的医疗机构里,如果这些员工没有接受过安全意识培训,就有 27.85% 的几率成为网络钓鱼的受害者,而行业平均概率为 27%。
Carpenter表示,你可能会认为利他主义、面对生死,可能会导致人们(医疗工作者)在心理上更容易受到影响去点击一些东西,但数据并没有证明这一点。
人员规模与被网络钓鱼的可能性有很大相关。KnowBe4 的数据显示,员工人数在 1,000 人以上的医疗机构,平均有 25.6% 的可能性会被网络钓鱼。
Carpenter 发现在拥有 1000 多名员工的企业中,大多数人接受了更多的培训,并且运营的复杂程度也更高,因为为了遵守严格的规定,他们不得不使用不同的系统。
5. 加密货币劫持
秘密劫持系统进行挖矿,在所有行业都是一个日益严重的问题。医疗保健行业使用的系统对于挖矿者是一个很诱人的目标,因为保持这些系统的运行至关重要。系统运行的时间越长,犯罪分子就越有可能通过挖掘加密货币获利。Carpenter说道,在医院里,他们可能不会急于拔掉这些机器的插头(如果怀疑有加密货币劫持行为),(受感染的)机器运行的时间越长,犯罪分子就受益越多。
这是假设医疗保健行业从业人员能够检测到加密货币劫持行为。挖矿劫持代码不会危害系统,但会消耗大量的计算能力。人们最有可能在系统和生产力降低时发现它们。一些挖矿人会限制他们的代码来降低被检测到的风险。很多医疗机构没有IT或安全人员来识别和应对这种加密货币劫持攻击。
6. 入侵物联网设备
医疗设备安全多年来一直是医疗保健领域的一个热点问题,很多联网的医疗设备都很容易受到攻击。问题的关键在于很多医疗设备的设计并没有考虑到网络安全问题。在能打补丁的情况下,补丁通常也只能提供有限的保护。
根据 2019 年初爱迪德 (Irdeto) 全球互联产业网络安全调查报告,82% 的医疗机构表示他们在过去 12 个月里经历过针对物联网设备的网络攻击。这些攻击造成的平均财务影响为 346,205 美元。这些攻击造成的最常见影响是业务下线 (47%),其次是客户数据泄露 (42%)和终端用户安全受损 (31%)。
在制造商开始制造更安全的设备之前,医疗保健行业脆弱的医疗和其他联网设备将持续带来风险。但更新、更安全的型号要取代旧型号设备还需要数年的时间。
降低医疗安全风险的一些建议
加强对关键系统的维护和更新工作。那些老旧的未打补丁的系统作为关键设备被嵌入其中,这一事实导致这些系统非常容易受到勒索软件的影响。这可能很困难,因为维护过程可能会破坏关键系统或使供应商支持系统的能力受损。
在某些情况下,对于已知的漏洞没有可用的补丁。Carpenter 建议在供应商没有或不能修复或更新系统的情况下对他们施加压力,对供应商强势一些,问问他们为什么这些系统不能或没有更新,并从行业角度施加压力。
对员工进行培训。根据 KnowBe4 的研究,在培训员工识别网络钓鱼企图方面,医疗保健行业低于平均水平。很多医疗机构规模都很小——不到 1000 名员工,这可能是一个原因。Carpenter表示,不仅仅是告诉他们应该做什么,是要建立一个行为条件项目,训练他们不要点击钓鱼链接。
这个项目会给员工发送模拟的钓鱼邮件。点击这些链接的员工会立即收到反馈,告诉他们自己做了什么以及他们在未来如何去做正确的事情。这样的项目可以产生巨大的影响。
如果能够持续进行培训,培训会产生效果。KnowBe4 的研究表明,拥有 250 到 999 名员工的医疗机构在经过一年的网络钓鱼培训和测试后,被网络钓鱼的可能性可以从 27.85% 下降到 1.65%。
注意员工信息。网络钓鱼攻击越个性化,成功的机会就越大。在鱼叉式钓鱼攻击中,攻击者试图尽可能多地了解目标本身。Carpenter说道,如果 “不在办公室” 的回复给出了可以联系的人的名字,(攻击者)可以通过这些名单和关系来建立信任。
加强防御和应对威胁的能力。Long说道,自己(对医疗安全)最担心的一件事是,医护人员没有能力在发现事件以后对其进行适当的调查,没有能力对事件进行记录和评估,也无法进行充分的取证,以配合执法或法律行动。医疗机构也缺少能够进行彻底修复的工作人员,有了这些工作人员这种情况就不会再发生了。他的建议是:从员工或合作伙伴那里获得专业知识。并且安全性需要成为董事会和管理层的优先考虑的事项,确定安全优先级后的第一步是确保你有一位具有相关经验的专职 CISO。
Long 表示规模较小的医疗服务提供商可能没有资源雇佣 CISO,但他们仍然需要优先考虑安全性。他们可能需要在如何获得一流的安全专业知识方面更具有创造性。可能是通过合作关系或托管安全服务,但没有方案能够替代直接走上前说,“我的病人的安全需要得到保障,我必须进行合作,或在这里找到合适的安全专业人员。”
2019 年 RSA 数据隐私与安全调查报告:
https://www.rsa.com/content/dam/en/misc/rsa-data-privacy-and-security-survey-2019.pdf
Verizon 2019 年数据泄露调查报告:
https://enterprise.verizon.com/resources/reports/dbir/
Radware 的《信任因子》(The Trust Factor) 报告:
https://www.radware.com/documents/infographics/trust-factor-cybersecurity-sustaining-business
Trend Micro 的针对医疗行业的报告:
相关阅读
