2020 年醫療行業面臨的 6 大安全威脅
責編:gltian |2019-09-19 14:17:13醫療行業仍然是勒索軟件,加密,數據竊取,網絡釣魚和內部威脅的熱門目標。
由于 Anthem 和 Allscripts 等備受矚目的違規行為,消費者現在更擔心他們受保護的健康信息 (Protected Health Information, PHI) 會被泄露。最近的 2019 年 RSA 數據隱私與安全調查詢問了歐洲和美國近 6400 名消費者對其數據安全的看法。調查顯示,61% 的受訪者擔心自己的醫療數據會被泄露。
他們有充分的理由感到擔心。醫療保健行業仍然是黑客的主要目標,同時也存在很大的風險威脅會來自內部。
為什么醫療保健行業會成為黑客攻擊的目標?
醫療保健相關的組織機構往往具備一些屬性,讓它們成為了對攻擊者來說有吸引力的目標。一個關鍵原因是有很多不同的系統沒有定期打補丁。KnowBe4 的首席宣傳官兼戰略官 Perry Carpenter 表示:其中一些是嵌入式系統,由于制造商創建它們的方式,不能輕易打補丁。如果醫療 IT 部門想要這樣做,那將對供應商支持他們的方式造成重大問題。
醫療保健行業所做工作的關鍵性質使它們成為了攻擊者的目標。在網絡犯罪領域,健康數據是一種有價值的商品,這使得它成為了盜竊的目標。由于事關病人的健康,醫療機構更有可能為勒索軟件支付贖金。
以下是未來一年里醫療行業將會面對的五大安全威脅。
1. 勒索軟件
根據 Verizon 2019 年的數據泄露調查報告,勒索軟件攻擊連續第二年占到了 2019 年醫療保健行業所有惡意軟件事件的 70% 以上。另一項 Radware 的《信任因子》(The Trust Factor) 報告顯示,只有 39% 的醫療機構認為面對勒索軟件的攻擊,他們做好了足夠或充分的準備。
勒索軟件攻擊在明年也會持續存在。Carpenter 表示:在充分強化員工和系統安全之前,(勒索軟件)將持續取得勝利,并獲得更多動力。他們將繼續將矛頭對準會點擊或下載一些東西的人。
原因很簡單:黑客認為他們的勒索軟件攻擊更有可能成功,因為如果醫院、醫療機構和其他衛生組織無法訪問患者的記錄,就會危及到這些患者的生命。他們將被迫立即采取行動,支付贖金,而不會通過備份進行漫長的恢復工作。
醫療也是商業的一種,但醫療保健也涉及人們的生活。任何時候,如果你的公司涉及到人們生活中最私人、最重要的部分,而你對其構成了威脅,就需要立即做出反應。這對部署了勒索軟件的網絡罪犯來說非常有用。
當醫療機構無法快速進行恢復時,勒索軟件導致的后果可能是毀滅性的。這一點在電子健康檔案(Electronic Health Record, EHR)公司Allscripts在1月份因為勒索軟件攻擊而關停時體現的非常明顯。這次攻擊感染了兩個數據中心,導致很多應用程序離線,影響了該公司服務的數千名醫療行業客戶。
2. 竊取病人資料
對網絡罪犯來說,醫療數據可能比財務數據更有價值。根據 Trend Micro 的醫療行業所面臨的網絡犯罪和其他威脅這份報告,竊取的醫療保險 ID 在黑市上的售價至少為 1 美元,醫療檔案的起價為 5 美元。
黑客可以利用身份證和其他醫療數據獲取政府文件,比如駕照。據 Trend Micro 報道,駕照售價約為 170 美元。一個制造完整的身份(一個由完整的 PHI 和一位死者其他的身份數據構成的身份)可以賣到 1000 美元。相比之下,信用卡號在黑市上只賣幾美分。
Carpenter表示,醫療記錄比信用卡數據更有價值,因為醫療記錄將大量信息集中在了一個地方,包括財務信息和個人的關鍵背景數據。身份盜竊所需的一切都在那里。
犯罪分子在竊取健康數據方面變得越來越狡猾。偽勒索軟件就是一個例子。這是一種看起來像勒索軟件的惡意軟件,但它并沒有做勒索軟件所做的邪惡的事情,它會在背后竊取醫療記錄,或在系統中橫向移動,安裝其他間諜軟件或惡意軟件,這些軟件在之后會使犯罪分子受益。
正如下一節所述,醫療保健業行業內的人士也在竊取患者的數據。
3. 內部威脅
根據 Verizon 保護健康信息數據泄露報告,被調查的醫療服務供應商中,59% 的威脅行為者是內部人士。83% 的情況下其動機與經濟利益相關。
很大一部分的內部泄露動機是出于樂趣或好奇心,訪問他們工作職責之外的數據——例如,查詢名人的 PHI。間諜活動和復仇也是動機之一。Fairwarning 的首席執行官 Kurt Long 表示:在病人住院期間,有數十人可以查閱醫療記錄,正因為如此,醫療服務供應商往往會設置寬松的準入控制。普通員工可以接觸到大量數據,因為為了照料病人,他們需要快速獲取數據。
醫療組織機構中不同系統的數量也是一個因素。Long 表示這不僅包括付費和注冊,還包括專門用于婦產科、腫瘤學、診斷和其他臨床系統的系統。
任何東西都可能用來交易,從用于身份盜竊的病人數據或醫療身份盜竊欺詐計劃。這已經成為了這個行業的常態。人們在為自己、朋友、家人謀取錢財,或者(他們正在)轉向阿片類藥物或處方藥物。他們獲取處方,然后出售以獲取利潤。
當你從整體上看待阿片類藥物危機時,可以說醫療工作者正坐在系統中處方阿片類藥物帶來的金礦上。這是阿片類藥物危機的最新證明。醫療工作者認識到它們的價值,他們可能會對它們上癮,或者為了經濟利益而使用他們的權利(開處方)。
Long 指出,內部人士從竊取病人數據中獲利的一個公開例子來自 Memorial Healthcare Systems。去年,為了了結一起內部違規案件,該公司支付了 550 萬美元的 HIPAA 和解金。在這起案件中,兩名員工訪問了 11 萬 5 千多名患者的 PHI。那次入侵事件徹底改變了 Memorial 對隱私和安全的態度,以防范未來來自內部人士和其他各方的威脅。
4. 網絡釣魚
網絡釣魚是攻擊者進入系統最常用的手段。它可以用來安裝勒索軟件、挖礦腳本、間諜軟件或代碼來竊取數據。
一些人認為,醫療保健行業更容易受到網絡釣魚的影響,但數據顯示并非如此。KnowBe4 的一項研究表明,在遭受網絡釣魚攻擊方面,醫療保健行業與大多數其他行業不相上下。在規模為 250 至 1000 名員工的醫療機構里,如果這些員工沒有接受過安全意識培訓,就有 27.85% 的幾率成為網絡釣魚的受害者,而行業平均概率為 27%。
Carpenter表示,你可能會認為利他主義、面對生死,可能會導致人們(醫療工作者)在心理上更容易受到影響去點擊一些東西,但數據并沒有證明這一點。
人員規模與被網絡釣魚的可能性有很大相關。KnowBe4 的數據顯示,員工人數在 1,000 人以上的醫療機構,平均有 25.6% 的可能性會被網絡釣魚。
Carpenter 發現在擁有 1000 多名員工的企業中,大多數人接受了更多的培訓,并且運營的復雜程度也更高,因為為了遵守嚴格的規定,他們不得不使用不同的系統。
5. 加密貨幣劫持
秘密劫持系統進行挖礦,在所有行業都是一個日益嚴重的問題。醫療保健行業使用的系統對于挖礦者是一個很誘人的目標,因為保持這些系統的運行至關重要。系統運行的時間越長,犯罪分子就越有可能通過挖掘加密貨幣獲利。Carpenter說道,在醫院里,他們可能不會急于拔掉這些機器的插頭(如果懷疑有加密貨幣劫持行為),(受感染的)機器運行的時間越長,犯罪分子就受益越多。
這是假設醫療保健行業從業人員能夠檢測到加密貨幣劫持行為。挖礦劫持代碼不會危害系統,但會消耗大量的計算能力。人們最有可能在系統和生產力降低時發現它們。一些挖礦人會限制他們的代碼來降低被檢測到的風險。很多醫療機構沒有IT或安全人員來識別和應對這種加密貨幣劫持攻擊。
6. 入侵物聯網設備
醫療設備安全多年來一直是醫療保健領域的一個熱點問題,很多聯網的醫療設備都很容易受到攻擊。問題的關鍵在于很多醫療設備的設計并沒有考慮到網絡安全問題。在能打補丁的情況下,補丁通常也只能提供有限的保護。
根據 2019 年初愛迪德 (Irdeto) 全球互聯產業網絡安全調查報告,82% 的醫療機構表示他們在過去 12 個月里經歷過針對物聯網設備的網絡攻擊。這些攻擊造成的平均財務影響為 346,205 美元。這些攻擊造成的最常見影響是業務下線 (47%),其次是客戶數據泄露 (42%)和終端用戶安全受損 (31%)。
在制造商開始制造更安全的設備之前,醫療保健行業脆弱的醫療和其他聯網設備將持續帶來風險。但更新、更安全的型號要取代舊型號設備還需要數年的時間。
降低醫療安全風險的一些建議
加強對關鍵系統的維護和更新工作。那些老舊的未打補丁的系統作為關鍵設備被嵌入其中,這一事實導致這些系統非常容易受到勒索軟件的影響。這可能很困難,因為維護過程可能會破壞關鍵系統或使供應商支持系統的能力受損。
在某些情況下,對于已知的漏洞沒有可用的補丁。Carpenter 建議在供應商沒有或不能修復或更新系統的情況下對他們施加壓力,對供應商強勢一些,問問他們為什么這些系統不能或沒有更新,并從行業角度施加壓力。
對員工進行培訓。根據 KnowBe4 的研究,在培訓員工識別網絡釣魚企圖方面,醫療保健行業低于平均水平。很多醫療機構規模都很小——不到 1000 名員工,這可能是一個原因。Carpenter表示,不僅僅是告訴他們應該做什么,是要建立一個行為條件項目,訓練他們不要點擊釣魚鏈接。
這個項目會給員工發送模擬的釣魚郵件。點擊這些鏈接的員工會立即收到反饋,告訴他們自己做了什么以及他們在未來如何去做正確的事情。這樣的項目可以產生巨大的影響。
如果能夠持續進行培訓,培訓會產生效果。KnowBe4 的研究表明,擁有 250 到 999 名員工的醫療機構在經過一年的網絡釣魚培訓和測試后,被網絡釣魚的可能性可以從 27.85% 下降到 1.65%。
注意員工信息。網絡釣魚攻擊越個性化,成功的機會就越大。在魚叉式釣魚攻擊中,攻擊者試圖盡可能多地了解目標本身。Carpenter說道,如果 “不在辦公室” 的回復給出了可以聯系的人的名字,(攻擊者)可以通過這些名單和關系來建立信任。
加強防御和應對威脅的能力。Long說道,自己(對醫療安全)最擔心的一件事是,醫護人員沒有能力在發現事件以后對其進行適當的調查,沒有能力對事件進行記錄和評估,也無法進行充分的取證,以配合執法或法律行動。醫療機構也缺少能夠進行徹底修復的工作人員,有了這些工作人員這種情況就不會再發生了。他的建議是:從員工或合作伙伴那里獲得專業知識。并且安全性需要成為董事會和管理層的優先考慮的事項,確定安全優先級后的第一步是確保你有一位具有相關經驗的專職 CISO。
Long 表示規模較小的醫療服務提供商可能沒有資源雇傭 CISO,但他們仍然需要優先考慮安全性。他們可能需要在如何獲得一流的安全專業知識方面更具有創造性。可能是通過合作關系或托管安全服務,但沒有方案能夠替代直接走上前說,“我的病人的安全需要得到保障,我必須進行合作,或在這里找到合適的安全專業人員。”
2019 年 RSA 數據隱私與安全調查報告:
https://www.rsa.com/content/dam/en/misc/rsa-data-privacy-and-security-survey-2019.pdf
Verizon 2019 年數據泄露調查報告:
https://enterprise.verizon.com/resources/reports/dbir/
Radware 的《信任因子》(The Trust Factor) 報告:
https://www.radware.com/documents/infographics/trust-factor-cybersecurity-sustaining-business
Trend Micro 的針對醫療行業的報告: