医疗保健行业仍然是勒索软件、加密、数据盗窃、网络钓鱼和内部威胁的热门目标。由于Anthem和Allscripts等引人注目的违规行为,消费者现在更加担心其受保护的健康信息(PHI)的泄露。最近的2019年RSA数据隐私和安全调查询问了欧洲和美国近6,400名消费者对数据安全的看法。调查显示,61%的受访者担心自己的医疗数据会被泄露。他们有充分的理由担心。医疗保健行业仍然是黑客的主要目标,但也存在来自内部的威胁的高风险。为什么医疗保健行业是黑客的目标?与医疗保健相关的组织通常具有使其成为攻击者有吸引力的目标的属性。一个关键原因是有许多不同的系统没有定期打补丁。“其中一些是嵌入式系统,由于制造商创建它们的方式而无法轻易修补,”KnowBe4的首席布道者兼战略官PerryCarpenter说。如果医疗保健IT想要这样做,就会给供应商支持他们的方式带来重大问题。医疗保健行业工作的关键性使其成为攻击者的目标。健康数据是网络犯罪世界中的宝贵商品,使其成为盗窃的目标。由于患者的健康受到威胁,医疗保健组织更有可能为勒索软件付费。以下是医疗保健行业在来年将面临的六大安全威胁。1.勒索软件根据Verizon的2019年数据泄露调查报告,勒索软件攻击连续第二年占2019年医疗保健行业所有恶意软件事件的70%以上。另一份Radware《信任因子》(信任因素)报告显示,只有39%的医疗保健组织认为他们已为勒索软件攻击做好充分或充分准备。勒索软件攻击也将在明年继续。“(勒索软件)将继续获胜并获得动力,直到员工和系统得到充分强化,”卡彭特说。他们将继续以点击或下载内容的人为目标。原因很简单:黑客认为他们的勒索软件攻击更有可能成功,因为如果医院、医疗机构和其他卫生组织无法访问他们的记录,患者的生命将面临风险。他们将被迫立即采取行动并支付赎金,而无需通过备份进行冗长的恢复工作。“医疗也是一门生意,但医疗保健也关乎人的生命。任何时候你的公司触及人生命中最私密、最重要的部分,你对它构成威胁,你需要立即采取行动。回应。这个很有用对于部署勒索软件的网络罪犯。当医疗机构无法快速恢复时,勒索软件的后果可能是毁灭性的。电子健康记录(EHR)公司就是这种情况。当Allscripts在1月份因勒索软件攻击而关闭时,这一点很明显,感染了两个2.窃取患者信息对于网络犯罪分子来说,医疗数据比财务数据更有价值。根据趋势科技的网络犯罪和医疗保健行业面临的其他威胁报告,被盗健康保险ID在黑市上至少卖1美元,医疗记录起价5美元。黑客可以使用ID汽车ds和其他医疗数据以获得政府文件,例如驾驶执照。据趋势科技称,驾照售价约为170美元。一个制造完整的身份(一个由完整的PHI和一个死者的其他识别数据(身份)组成)可以以1,000美元的价格出售。相比之下,信用卡号码在黑市上只卖几美分。Carpenter说医疗记录比信用卡数据因为病历会被大量使用-ransomware是一个例子。这是一种看起来像勒索软件的恶意软件,但它不会做勒索软件所做的邪恶事情,而是在幕后窃取医疗记录,或在系统中横向移动,安装其他间谍软件或恶意软件,这以后可以使犯罪分子受益。正如下一节所讨论的,医疗保健行业内的人也在窃取患者数据。3.内幕威胁根据VerizonProtectHealthInformationDataBreach的数据,59%的威胁参与者是内部人员。在83%的案例中,他们的动机与经济利益有关。很大一部分内部人员泄露事件是出于乐趣或好奇心,在工作职责之外访问数据——例如,查询名人的PHI。间谍和报复也是动机。Fairwarning首席执行官KurtLong表示:“在患者住院期间,数十人可以访问医疗记录,因此,医疗服务提供商往往会设置宽松的访问控制。普通员工可以访问大量数据,因为他们急需它以便照顾患者。医疗机构中不同系统的数量也是一个因素。Long说这不仅包括支付和注册,还包括专用于产科、肿??瘤学、诊断学和其他临床系统的系统。“任何东西可能会被用于身份盗窃或医疗身份盗窃欺诈计划的患者数据进行交易。这已经成为这个行业的常态。人们正在为自己、他们的朋友、家人或(他们)求助于阿片类药物或处方药。他们得到处方,然后出售以获利。当您从整体上看待阿片类药物危机时,可以公平地说,医护人员正坐在系统中开具阿片类药物处方的金矿上。这是阿片类药物危机的最新表现。医护人员认识到他们的价值,他们可能会对他们上瘾,或者利用他们的权利(处方)来获取经济利益。Long指出,内部人士从窃取患者数据中获悉获利的一个公开例子来自MemorialHealthcareSystems,该公司去年支付了550万美元的HIPAA和解金,以了结一起内部违规案件,其中两名员工拜访了超过115,000名患者。该漏洞彻底改变了Memorial保护隐私和安全的方法,以防范来自内部人员和其他方的未来威胁。4.网络钓鱼网络钓鱼是攻击者用来获取系统访问权限的最常见手段。它可以是安装勒索软件、挖掘脚本、间谍软件或窃取数据的代码。有些人认为医疗保健行业更容易受到网络钓鱼的影响,但数据显示并非如此。KnowBe4的一项研究表明,就医疗保健而言,医疗保健行业与大多数其他行业不相上下。如果员工没有接受安全意识培训,拥有250到1,000名员工的组织有27.85%的机会成为网络钓鱼的受害者。行业平均水平为27%。Carpenter说你可能会认为利他主义,面对生死,可能会导致人们(医务工作者)在心理上更容易点击某些东西,但数据并不能证明这一点。人员规模与被钓鱼的可能性有很强的相关性.据KnowBe4数据显示,员工人数在1000人以上的医疗机构被钓鱼的概率平均为25.6%。Carpenter发现,在拥有超过1,000名员工的企业中,大多数人接受了更多的培训并且运营更加复杂,因为他们必须使用不同的系统来遵守严格的法规。5.Cryptojacking挖矿系统的秘密劫持是所有行业中一个日益严重的问题。医疗保健行业中使用的系统对矿工来说是一个有吸引力的目标,因为保持这些系统的运行至关重要。系统运行的时间越长,犯罪分子就越有可能从挖掘加密货币中获利。Carpenter说,在医院里,他们可能不会急于拔掉机器(如果怀疑是加密劫持),而且(受感染的)机器运行的时间越长,犯罪分子就越多。这是假设医疗行业从业者能够检测到加密劫持。Cryptojacking代码不会损害系统,但会消耗大量计算能力。当系统和生产力下降时,人们最有可能发现它们。一些矿工限制他们的代码以降低被发现的风险。许多医疗机构没有IT或安全人员来识别和响应此类加密劫持攻击。6.攻击物联网设备多年来,医疗设备安全一直是医疗保健领域的热门话题,许多联网医疗设备都容易受到攻击。问题的症结在于许多医疗设备在设计时并未考虑网络安全。补丁即使可用,通常也只能提供有限的保护。根据2019年初爱迪德全球互联行业网络安全调查报告,82%的医疗保健组织表示,他们在过去12个月内经历过针对物联网设备的网络攻击。这些攻击的平均财务影响为346,205美元。这些攻击最常见的影响是离线业务(47%),其次是客户数据受损(42%)和最终用户安全受损(31%)。在制造商开始制造更安全的设备之前,医疗保健行业中易受攻击的医疗设备和其他联网设备将继续构成风险。但更新、更安全的型号取代旧设备还需要数年时间。降低医疗安全风险的若干建议加强关键系统的维护和更新。这些旧的、未打补丁的系统作为关键设备嵌入其中,这一事实使这些系统非常容易受到勒索软件的攻击。这可能很困难,因为维护过程可能会破坏关键系统或削弱供应商支持系统的能力。在某些情况下,没有针对已知漏洞的可用补丁。Carpenter建议,如果供应商不或不能修复或更新他们的系统,就向供应商施加压力,对供应商要强硬,询问他们为什么这些系统不能或不更新,并从行业角度施加压力。培训员工。根据KnowBe4研究,在培训员工识别网络钓鱼企图方面,医疗保健行业低于平均水平。许多医疗机构都很小——不到1,000名员工——这可能是一个原因。Carpenter说,与其仅仅告诉他们该做什么,不如创建一个行为调节程序来训练他们不要点击网络钓鱼链接。该程序向员工发送模拟网络钓鱼电子邮件。单击这些链接的员工会立即收到有关他们所做的事情以及他们将来如何做正确事情的反馈。像这样的项目可以产生巨大的影响。如果始终如一地进行培训,培训就会奏效。KnowBe4的研究表明,拥有250至999名员工的医疗机构经过一年的网络钓鱼培训和测试后,被网络钓鱼的可能性可以从27.85%降低到1.65%。关注员工信息。网络钓鱼攻击越个性化,成功的机会就越大。在鱼叉式网络钓鱼攻击中,攻击者试图尽可能多地了解目标本身。Carpenter说,如果“不在办公室”的响应给出了可以联系的人的姓名,(攻击者)就可以通过这些列表和关系建立信任。加强防御和应对威胁的能力。龙说,他最大的担忧之一(医疗安全)是医务人员没有能力在发现事件后进行适当的调查,没有能力记录和评估事件,也没有能力进行充分的取证合作。执法或法律行动。医疗机构也缺乏能够彻底修复的人员,这样的情况就不会再发生了。他的建议是:从员工或合作伙伴那里获得专业知识。安全需要成为董事会和管理层的优先事项,确定安全优先事项后的第一步是确保您拥有一名具有相关经验的专门CISO。Long表示,较小的医疗保健提供商可能没有资源聘请CISO,但他们仍然需要优先考虑安全性。他们可能需要在如何获得一流的安全专业知识方面更具创造性。它可以通过合作伙伴关系或托管安全服务来实现,但没有什么可以替代的,只能上前说,“我的病人需要安全,我必须合作,或者在这里找到合适的安全专家。2019RSA数据隐私和安全调查报告:https://www.rsa.com/content/dam/en/misc/rsa-data-privacy-and-security-survey-2019.pdfVerizon2019数据泄露调查报告:https://enterprise.verizon.com/resources/reports/dbir/Radware的《信任因子》(信任因素)报告:https://www.radware.com/documents/infographics/trust-factor-cybersecurity-sustaining-businessTrendMicro的医疗保健行业报告:https://www.trendmicro.com/content/dam/trendmicro/global/en/security-intelligence/research/reports/wp-cybercrime-&-other-threats-faced-by-the-healthcare-industry.pdf【本文为专栏作家“李少鹏”原创文章,转载请通过安安牛(微信♂id:gooann-sectv)获得授权】点此阅读更多作者good文本
