健康數(shù)據(jù),到底是怎么被黑客偷走的? |
來源:聚銘網(wǎng)絡(luò) 發(fā)布時(shí)間:2019-12-19 瀏覽次數(shù): |
信息來源:今日頭條 由于發(fā)生了Anthem和Allscripts這樣轟動(dòng)的泄露事件,消費(fèi)者現(xiàn)在更擔(dān)心他們受保護(hù)的健康信息(PHI)會(huì)被人竊取。最近的“RSA 2019年數(shù)據(jù)隱私與安全調(diào)查”詢問了歐洲和美國(guó)近6400名消費(fèi)者對(duì)其數(shù)據(jù)安全有何感受。調(diào)查表明,61%的受訪者擔(dān)心自己的醫(yī)療數(shù)據(jù)會(huì)被泄露。
他們有充分的理由感到擔(dān)憂。作為一個(gè)行業(yè),醫(yī)療行業(yè)仍然是黑客的主要攻擊目標(biāo),而且內(nèi)部威脅也帶來了很大的風(fēng)險(xiǎn)。 醫(yī)療行業(yè)為什么會(huì)成為黑客的攻擊目標(biāo) 醫(yī)療保健機(jī)構(gòu)往往有一些特性,使其成為攻擊者非常感興趣的目標(biāo)。一個(gè)關(guān)鍵原因是有太多的各種系統(tǒng)沒有定期打上補(bǔ)丁。KnowBe4公司首席拓展專員兼戰(zhàn)略官Perry Carpenter指出:“其中一些是嵌入式系統(tǒng),由于制造商的開發(fā)方式,不太容易打上補(bǔ)丁。如果醫(yī)療保健IT部門想要打上補(bǔ)丁,那么供應(yīng)商將不得不改變其提供支持的方式,而這很難做到。” 醫(yī)療保健機(jī)構(gòu)所從事工作的關(guān)鍵特性使其備受攻擊者的關(guān)注。在網(wǎng)絡(luò)犯罪領(lǐng)域,健康數(shù)據(jù)是一種有價(jià)值的商品,極易成為盜竊目標(biāo)。因?yàn)檫@關(guān)系到病人的健康,所以醫(yī)療保健機(jī)構(gòu)更有可能向勒索軟件妥協(xié)。 本文介紹未來一年中將出現(xiàn)的六大醫(yī)療保健安全威脅。 1、勒索軟件 據(jù)Verizon的《2019年數(shù)據(jù)泄露事件調(diào)查報(bào)告》,勒索軟件攻擊已連續(xù)第二年占據(jù)2019年醫(yī)療保健領(lǐng)域所有惡意軟件事件的70%以上。另一項(xiàng)調(diào)查,Radware公司的《信心因素報(bào)告》顯示,只有39%的醫(yī)療保健機(jī)構(gòu)認(rèn)為他們?yōu)閼?yīng)對(duì)勒索軟件攻擊做好了非常或者及其充分的準(zhǔn)備。只有教育領(lǐng)域的信心水平較低,為29%。 沒有理由相信勒索軟件攻擊會(huì)在明年被終止。Carpenter說:“我們必須很好地教育員工,加強(qiáng)系統(tǒng),否則,勒索軟件會(huì)一直得手,并獲得更大的發(fā)展動(dòng)力。他們將繼續(xù)利用人作為攻擊手段,因?yàn)槿藭?huì)點(diǎn)擊或者下載一些東西。” 原因很簡(jiǎn)單:如果醫(yī)院、醫(yī)療機(jī)構(gòu)和其他衛(wèi)生組織看不到患者病歷,患者生命就會(huì)有危險(xiǎn),因此,黑客相信他們的勒索軟件攻擊更有可能成功。這些機(jī)構(gòu)將被迫立即采取行動(dòng)并支付贖金,而不是通過漫長(zhǎng)的恢復(fù)過程,從備份中恢復(fù)病歷。 Carpenter說:“醫(yī)療保健是一項(xiàng)業(yè)務(wù),但也涉及到人們的生活。任何時(shí)候,如果經(jīng)營(yíng)的業(yè)務(wù)影響到人們生活中最私人和最重要的部分,并對(duì)其造成威脅,就必須立即作出反應(yīng)。這恰恰是部署了勒索軟件的網(wǎng)絡(luò)犯罪分子頻頻得手的重要原因。” 當(dāng)醫(yī)療保健機(jī)構(gòu)無法迅速恢復(fù)時(shí),勒索軟件的后果可能是災(zāi)難性的。電子健康病歷(EHR)公司Allscripts在一月份因勒索軟件攻擊而關(guān)閉,這極大地說明了這一點(diǎn)。這次攻擊感染了兩個(gè)數(shù)據(jù)中心,導(dǎo)致一些應(yīng)用程序下線,影響了數(shù)千名醫(yī)療保健提供商客戶。 2、竊取病人數(shù)據(jù) 對(duì)于網(wǎng)絡(luò)犯罪分子而言,醫(yī)療保健數(shù)據(jù)可能比財(cái)務(wù)數(shù)據(jù)更有價(jià)值。據(jù)Trend Micro公司的《醫(yī)療行業(yè)面臨的網(wǎng)絡(luò)犯罪和其他威脅報(bào)告》,被盜的醫(yī)療保險(xiǎn)身份證在暗網(wǎng)上的售價(jià)至少為1美元,醫(yī)療檔案的起價(jià)為5美元。 根據(jù)Trend Micro的報(bào)告,黑客可以利用身份證的數(shù)據(jù)和其他醫(yī)療數(shù)據(jù)來獲取政府文件,例如駕照,這些文件售價(jià)約為170美元。一個(gè)完整的農(nóng)民身份——包括死者全套PHI和其他身份數(shù)據(jù),能賣到1千美元。相比之下,信用卡號(hào)碼在暗網(wǎng)上只賣幾美分。 Carpenter說:“醫(yī)療保健病歷的價(jià)值遠(yuǎn)遠(yuǎn)超過信用卡數(shù)據(jù),因?yàn)樗谝粋€(gè)地方匯集了大量信息。其中包括個(gè)人的財(cái)務(wù)信息和關(guān)鍵背景數(shù)據(jù)。有身份盜竊犯罪分子所要的一切。” 犯罪分子在竊取健康數(shù)據(jù)方面變得越來越狡猾。偽勒索軟件就是一個(gè)例子。Carpenter說:“有的惡意軟件看起來像是勒索軟件,但并沒有執(zhí)行勒索軟件所干的所有可惡的事情。在掩護(hù)下,它盜取醫(yī)療保健病歷,或者在系統(tǒng)中橫向移動(dòng),安裝其他間諜軟件或者惡意軟件,過一段時(shí)間后才為犯罪分子牟利。” 正如下面所解釋的,醫(yī)療保健機(jī)構(gòu)內(nèi)部也有人在竊取患者數(shù)據(jù)。 3、內(nèi)部威脅 根據(jù)《Verizon受保護(hù)的健康信息數(shù)據(jù)泄露事件報(bào)告》,在受調(diào)查的醫(yī)療服務(wù)提供商中,59%的泄露事件是由內(nèi)部威脅犯罪分子造成的。在83%的案例中,經(jīng)濟(jì)利益是動(dòng)機(jī)。 很大一部分的內(nèi)部泄露事件都是出于樂趣或者好奇心,主要是查閱工作職責(zé)之外的數(shù)據(jù)——例如查找名人的PHI。間諜活動(dòng)和結(jié)怨也是動(dòng)機(jī)。Fairwarning公司的首席執(zhí)行官Kurt Long說:“在病人住院期間,有數(shù)十人能查閱其醫(yī)療病歷=。正因?yàn)槿绱耍t(yī)療保健服務(wù)提供商的查閱控制措施往往很寬松。普通員工就能夠看到大量數(shù)據(jù),因?yàn)樗麄冃枰M快獲取數(shù)據(jù),以照看病人?!? 醫(yī)療保健機(jī)構(gòu)包括了各種不同的系統(tǒng)也是一個(gè)因素。Long介紹說,這不僅包括交費(fèi)和掛號(hào)系統(tǒng),還包括專門用于婦產(chǎn)科、腫瘤學(xué)、診斷學(xué)和其他臨床系統(tǒng)的系統(tǒng)。 Long說:“竊取病人數(shù)據(jù)用于身份盜竊,或者實(shí)施醫(yī)療身份盜竊欺詐計(jì)劃,都能夠獲取利益。這已經(jīng)是這個(gè)行業(yè)公開的秘密了。人們想辦法為自己、朋友或者家人修改賬單,開出鴉片類藥物轉(zhuǎn)給他人,或者為他人開處方。他們把處方拿出來賣了牟利?!? Long說:“如果從整體上看鴉片類藥物危機(jī),這其實(shí)直接涉及到醫(yī)療保健環(huán)境,可以說醫(yī)療保健工作者是守著一座處方鴉片類藥物的金礦。這是鴉片類藥物危機(jī)的關(guān)鍵點(diǎn)。醫(yī)療保健工作者意識(shí)到這些藥物的價(jià)值,他們可能會(huì)對(duì)此上癮,或者利用開出處方的機(jī)會(huì)來獲取經(jīng)濟(jì)利益?!? Long介紹說,內(nèi)部員工從竊取病人數(shù)據(jù)中獲利的一個(gè)眾所周知的例子來自Memorial醫(yī)療保健系統(tǒng)公司。該公司去年為一項(xiàng)內(nèi)部員工造成的泄露事件支付了550萬美元的HIPAA和解金,其兩名員工獲取了11.5萬多名患者的PHI。這一泄露事件導(dǎo)致Memorial公司徹底改變了其隱私和安全形勢(shì),以幫助防范未來的內(nèi)部威脅和其他威脅。 4、網(wǎng)絡(luò)釣魚 網(wǎng)絡(luò)釣魚是攻擊者進(jìn)入系統(tǒng)最常用的手段。它可以用來安裝勒索軟件、加密挖礦腳本、間諜軟件或者竊取數(shù)據(jù)的代碼。 一些人認(rèn)為醫(yī)療保健系統(tǒng)更容易受到網(wǎng)絡(luò)釣魚的影響,但數(shù)據(jù)顯示,情況并非如此。KnowBe4的研究表明,醫(yī)療保健與大多數(shù)其他行業(yè)一樣,網(wǎng)絡(luò)釣魚對(duì)其危害都差不多。擁有250~1000名員工但未進(jìn)行安全意識(shí)培訓(xùn)的醫(yī)療保健機(jī)構(gòu)有27.85%的可能成為網(wǎng)絡(luò)釣魚的受害者,而所有行業(yè)的平均比例為27%。 Carpenter說:“你可能認(rèn)為,利他主義、生死攸關(guān)的情況可能會(huì)導(dǎo)致人們心理上更愿意去點(diǎn)擊一些東西,而這會(huì)讓醫(yī)護(hù)人員更容易受到攻擊,但數(shù)據(jù)顯示并非如此。” 當(dāng)涉及到網(wǎng)絡(luò)釣魚的易感性時(shí),醫(yī)療機(jī)構(gòu)的規(guī)模很重要。據(jù)KnowBe4的數(shù)據(jù),平均1000名或者更多員工的醫(yī)療保健機(jī)構(gòu)受到網(wǎng)絡(luò)釣魚攻擊的可能性是25.6%。Carpenter說:“在有1000多名員工的機(jī)構(gòu)中,我們看到大部分員工都接受了較多的培訓(xùn),而且業(yè)務(wù)水平也很高,因?yàn)樗麄儽仨毥⒉煌捏w系來遵守嚴(yán)格的法規(guī)?!? 5、挖礦劫持 在所有行業(yè)中,秘密劫持系統(tǒng)去開采加密貨幣是一個(gè)日益嚴(yán)重的問題。醫(yī)療保健行業(yè)中使用的系統(tǒng)是挖礦劫持非常感興趣的目標(biāo),因?yàn)檫@些系統(tǒng)一直保持運(yùn)行。系統(tǒng)運(yùn)行的時(shí)間越長(zhǎng),犯罪分子就越能開采出加密貨幣。Carpenter說:“在醫(yī)院的環(huán)境下,即使懷疑出現(xiàn)了挖礦劫持,也可能不會(huì)急著拔掉機(jī)器的電源。受感染的機(jī)器運(yùn)行的時(shí)間越長(zhǎng),對(duì)犯罪分子就越有好處?!? 這其實(shí)是假設(shè)醫(yī)療保健服務(wù)提供商能夠檢測(cè)到加密挖礦操作。加密挖礦代碼不會(huì)危害系統(tǒng),但它消耗了大量的計(jì)算能力。當(dāng)系統(tǒng)和工作效率降低時(shí),就最有可能發(fā)現(xiàn)它。一些挖礦劫持犯罪分子會(huì)限制他們的代碼,以降低被發(fā)現(xiàn)的風(fēng)險(xiǎn)。很多醫(yī)療保健機(jī)構(gòu)都沒有IT員工或者安全人員來發(fā)現(xiàn)并補(bǔ)救這類加密挖礦攻擊。 6、入侵物聯(lián)網(wǎng)設(shè)備 醫(yī)療設(shè)備的安全多年來一直是醫(yī)療保健領(lǐng)域的熱點(diǎn)問題,很多聯(lián)網(wǎng)的醫(yī)療設(shè)備都因?yàn)橐资芄舳鴱V受詬病。問題的關(guān)鍵在于,很多醫(yī)療設(shè)備在設(shè)計(jì)之初并沒有考慮到網(wǎng)絡(luò)安全。而打補(bǔ)丁通常也只能提供有限的保護(hù)。 據(jù)2019年初的“Irdeto全球互聯(lián)行業(yè)網(wǎng)絡(luò)安全調(diào)查”,82%的醫(yī)療保健機(jī)構(gòu)承認(rèn),他們過去12個(gè)月內(nèi)經(jīng)歷過針對(duì)物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)攻擊。這些攻擊造成的經(jīng)濟(jì)損失平均高達(dá)346205美元。這些攻擊最常見的影響是運(yùn)營(yíng)中斷(47%),其次是客戶數(shù)據(jù)泄露(42%)和最終用戶安全受損(31%)。 除非制造商開始制造更安全的設(shè)備,否則醫(yī)療保健領(lǐng)域易受攻擊的醫(yī)療設(shè)備和其他聯(lián)網(wǎng)設(shè)備將持續(xù)受到威脅。這種情況很普遍——更新、更安全的機(jī)型取代舊型號(hào)還需要數(shù)年的時(shí)間。 減小醫(yī)療保健安全威脅的技巧 1、更好地修補(bǔ)和更新關(guān)鍵系統(tǒng)。 Carpenter說:“事實(shí)上,那些沒打上補(bǔ)丁的老舊系統(tǒng)是作為關(guān)鍵設(shè)備嵌入的,以至于更容易受到勒索軟件的威脅?!笨赡芎茈y打上補(bǔ)丁,因?yàn)樾扪a(bǔ)過程有可能中斷關(guān)鍵系統(tǒng),影響供應(yīng)商對(duì)系統(tǒng)的支持。 在某些情況下,甚至沒有針對(duì)已知漏洞的可用補(bǔ)丁。Carpenter建議,如果供應(yīng)商無法修補(bǔ)或者更新系統(tǒng),應(yīng)該主動(dòng)督促他們。“對(duì)供應(yīng)商施壓,質(zhì)問為什么這些系統(tǒng)不能或者沒有更新,讓整個(gè)行業(yè)都感受到壓力。” 2、培訓(xùn)員工。 據(jù)KnowBe4的研究,在培訓(xùn)員工識(shí)別網(wǎng)絡(luò)釣魚攻擊方面,醫(yī)療保健低于行業(yè)平均水平。很-多醫(yī)療保健機(jī)構(gòu)規(guī)模不大,員工人數(shù)少于1000人——這可能是一個(gè)因素。Carpenter說:“這不僅僅是告訴員工應(yīng)該做什么。這其實(shí)是創(chuàng)建一個(gè)行為條件程序,教育員工不要點(diǎn)擊釣魚鏈接?!? 這個(gè)程序意味著發(fā)送模擬釣魚電子郵件。如果某個(gè)員工點(diǎn)擊了鏈接,那么他應(yīng)該立即收到反饋,知道自己做了什么,今后怎樣做才是正確的。這樣的程序會(huì)產(chǎn)生巨大的影響。 如果長(zhǎng)期堅(jiān)持應(yīng)用,就會(huì)有明顯的效果。KnowBe4的研究表明,員工數(shù)量在250~999名的醫(yī)療保健機(jī)構(gòu)經(jīng)過一年的網(wǎng)絡(luò)釣魚培訓(xùn)和測(cè)試后,其網(wǎng)絡(luò)釣魚易感性從27.85%降至1.65%。 3、注意員工信息。 網(wǎng)絡(luò)釣魚攻擊越是針對(duì)個(gè)人,就越容易成功。在魚叉式網(wǎng)絡(luò)釣魚攻擊中,攻擊者會(huì)盡可能多地了解被攻擊的目標(biāo)人選。Carpenter說:“如果‘不在辦公室’的回復(fù)給出了要聯(lián)系的人的名字,攻擊者會(huì)通過使用這些名字和關(guān)系鏈來建立信任。” 4、增強(qiáng)防御和應(yīng)對(duì)威脅的能力。 Long說:“我對(duì)醫(yī)療保健安全最擔(dān)心的一件事是,醫(yī)療服務(wù)提供者在發(fā)現(xiàn)事故后沒有能力進(jìn)行適當(dāng)?shù)恼{(diào)查,也無法對(duì)事故進(jìn)行記錄和評(píng)估,沒有足夠的取證手段配合執(zhí)法部門或者法律部門的工作。他們也缺少工作人員來進(jìn)行徹底的補(bǔ)救,不能杜絕類似情況的發(fā)生?!彼慕ㄗh是:“讓員工獲得適當(dāng)?shù)膶I(yè)知識(shí),也可以通過合作伙伴獲得?!彼a(bǔ)充說:“安全應(yīng)是董事會(huì)和高管最為關(guān)注的。認(rèn)識(shí)到安全的重要性后,第一步是要有一名經(jīng)驗(yàn)豐富的專業(yè)首席信息安全官?!? Long說:“規(guī)模較小的醫(yī)療保健服務(wù)提供商可能沒有資源來聘請(qǐng)首席信息安全官,但他們?nèi)匀恍枰獌?yōu)先考慮安全問題。在怎樣獲得一流的安全專業(yè)知識(shí)方面,他們應(yīng)該更有創(chuàng)意。這可能是通過合作或者托管安全服務(wù)來實(shí)現(xiàn)的,而且要態(tài)度堅(jiān)決的站出來說,‘病人應(yīng)該得到安全保障,我們必須合作,或者讓合適的安全人員參與進(jìn)來。’” |