毫无疑问,在疫情期间,医院、相关医疗企业和疾病研究机构站在了人类抗击病毒的最前线。然而,许多重要的医疗部门将成为网络攻击者的目标,来自不同动机的不同攻击者的网络攻击急剧增加。8月,针对医疗设施的情况如此严重,以至于红十字国际委员会主席向联合国安理会发出呼吁:“如果医疗设施不能在线保护,整个人类都会受到影响。”网络安全状况?让我们首先回顾一下使医疗保健行业面临网络攻击者高风险的因素。薄弱的基础设施和压力医院的IT基础设施庞大、复杂且经常过时。过去,医院和医疗保健组织不需要遵守与银行、保险公司和重要机构同样严格的网络法规,其中许多依赖于陈旧的遗留系统,缺乏合格的人力来维护它们并面临新的安全威胁.由于与新冠疫情相关的远程工作和限制,以及日益增长的医疗服务需求,如今医院的整个IT基础设施都承受着巨大的压力。流氓设备风险此外,医院和护理机构被迫在夜间实施远程监控技术,以应对非人员就诊的需要。这意味着他们必须购买现成的IT设备、通信设备(如家用路由器)、IP摄像机和其他传感器,所有这些都连接到本地网络。这意味着这些奇特的设备在没有适当尽职调查的情况下被引入敏感环境。其中许多设备都有默认凭证,可以作为远程网络的入口点。远程医疗风险COVID-19还加速了远程医疗(又名远程医疗)、健康应用程序和远程监控设备的采用。然而,根据研究人员的分析,在没有适当的渗透测试和验证的情况下迅速采用这些技术意味着攻击面将增加几个数量级。第三方风险医疗保健组织与众多第三方供应商(供应商、服务提供商、州和联邦机构、大学和非政府组织)合作,并且由于很难确保所有这些供应商都符合相同的网络安全标准,因此供应链中存在重大风险,是攻击者经常利用的攻击点。Children'sMinnesota是美国最大的儿童医疗机构之一,最近宣布,由于之前云软件公司Blackbaud遭到黑客攻击,超过160,000名患者的个人数据遭到泄露。原来,这次数据泄露发生在今年5月。Blackbaud遭受了勒索软件和数据泄露攻击,泄露了大量数据,影响的大学和非营利组织比原先想象的要多。即使是专门聘请来协助安全操作的供应商有时也会犯下严重后果的错误。例如,LITEEMERGENCYPHYSICIANS聘请第三方供应商来安全处理近20年的医疗记录。然而,这些记录反而被倾倒在当地的垃圾场,导致大约55,000名患者的详细信息发生大量数据泄露。过度劳累的专业人员更容易犯错,这已不是什么秘密。这对于手术和网络安全都是如此。医护人员不会从最佳网络安全实践入手:一项研究发现,医生在离开诊所治疗患者时很少锁定工作站。再加上他们繁忙的医疗职责,一个人为错误可能会使整个组织面临风险。上面讨论的所有因素都会导致网络攻击对医疗保健组织造成严重影响。大流行期间如何发生针对医疗保健的网络攻击?在过去的七到八个月里,针对医院的网络攻击,尤其是勒索软件攻击,在数量和严重性上都有所增加。2020年上半年,至少有41家医疗保健提供者遭受了勒索软件攻击,此后更多医院成为目标。今年9月,医院遍布美国和英国的美国最大连锁医院UniversalHealthSystems(UHS)的IT系统遭到勒索软件攻击。系统长期瘫痪,医院被迫转送急诊病人。目前受影响的医院位于亚利桑那州、加利福尼亚州、佐治亚州、宾夕法尼亚州、佛罗里达州等地。该勒索软件加密的文件均带有.ryk的文件扩展名,从黑客留下的勒索信息语法来看,罪魁祸首可能是知名勒索软件Ryuk。分析认为,Ryuk可能是通过钓鱼信诱使用户打开UHS计算机系统进入的。攻击几乎总是会导致数据泄露考虑到勒索软件和其他数据窃取恶意软件的攻击性更强,几乎所有成功的网络攻击都会导致数据泄露也就不足为奇了。据HIPAA杂志报道,网络攻击和数据泄露中受损的记录数量正在增加,成本也在上升。IBM的一项研究发现,医疗保健数据泄露的平均成本在全球约为713万美元,在美国约为860万美元,同比增长10.5%。长期以来,人们一直猜测黑客有朝一日会破坏医疗设备并对患者造成伤害,这是有史以来第一起与网络相关的伤亡事件。就在今年9月,德国当局正在调查针对德国杜塞尔多夫一家医院的勒索软件攻击事件,该事件导致一名患者在被转移到附近医院后死亡。患者是一名需要紧急治疗的女性,在被送往伍珀塔尔市的一家医院后死亡,该医院距离她最初的目的地杜塞尔多夫大学医院30多公里。杜塞尔多夫医院无法接收她,因为它正在处理勒索软件攻击。9月10日,勒索软件攻击医院网络,导致30多台内部服务器被感染。这是有史以来第一次勒索软件攻击间接造成人员死亡。德国当局目前正在调查患者的死亡原因。德国警方表示,如果发现勒索软件攻击和医院关闭是这名妇女死亡的直接原因,他们计划将调查归类为谋杀案。阻碍寻找COVID-19疫苗的努力全世界都在热切等待COVID-19疫苗来帮助结束大流行,但许多研究项目正在进行中,都在攻击者的监视之下。比如,美国的黑客似乎走了“捷径”,试图窃取新冠疫苗的研究成果。10月,勒索软件攻击袭击了eResearchTechnology(ERT),这是一家医疗保健软件公司,为全球制药公司提供工具以进行临床试验,包括COVID-19疫苗试验,威胁到包括Bristol-MyersSquibb、AstraZeneca、Pfizer和Johnson&约翰逊。据报道,Cyber??attacks等公司在过去两周对ERT公司进行的多个新冠研究项目的潜在影响导致试验放缓,因为研究人员被迫改用笔和纸来追踪患者数据。保护医疗保健免受网络威胁随着医疗保健网络安全状况的恶化,一些国际。国家和私人机构都在努力改善这种情况。以色列宣布了保卫医院的国家计划,英国设立了一个基金来提供免费的政府网络认证和培训。援助医疗保健部门的也不只有政府。CTI联盟是今年3月成立的全球首个志愿者应急响应小组,旨在保护与疫情相关的医疗机构并处理其安全漏洞。它由3000多名网络专家组成,其成员包括网络威胁情报专家、事件响应团队成员、行业专家和执法机构的代表。CTI联盟对医疗机构的服务是免费的,主要包括四项内容:处理持续的网络攻击(合法途径破坏不法分子发起网络攻击的能力或让执法机构介入)、预防网络攻击(发现漏洞、建立网络威胁数据库并提供预警),支持医疗保健相关部门网络(提高网络安全能力,提供技术指导等),以及监测潜在的网络危险。民间志愿者组织与执法部门合作的模式极大地提高了CTI联盟的工作效率。据该组织发布的一份报告显示,CTI联盟成立仅一个月时间,就协助执法部门处理了近3000起网络犯罪案件,发现了2000多起网络犯罪案件。医疗机构的系统漏洞并向他们发出警报。迄今为止,已有来自80多个国家、21个时区的1500多名志愿者加入,这意味着每当有情况出现时,都有成员在线随时准备采取行动。以下是一些可以立即改善医疗机构网络安全状况的事情:安全意识和电子邮件安全:许多网络攻击利用在医疗机构工作的人员,提高意识将减少他们下载可疑文件或点击可疑链接的机会,最近有这么多针对医疗保健组织的攻击示例,创建逼真的网络钓鱼模拟应该不会太困难。面向互联网的设备:电子邮件不是唯一的攻击媒介,许多网络攻击利用开放端口和远程访问协议。只应向互联网开放必要的端口。事实上,研究人员发现易受攻击的RDP端口使勒索软件攻击成功的可能性增加了37%,并且某些黑客专门在暗网上窃取和销售RDP凭据。凭据盗窃:一旦进入受害者的设备,攻击者就会使用Mimikatz等现成的工具来访问服务器并在整个网络中传播。这些利用攻击性密码喷洒和其他凭据窃取技术,设置强密码将降低攻击成功的机会。终端安全:终端是进入网络的关键通道,需要在所有终端和服务器上都有先进的终端安全解决方案,以提高医疗机构的网络安全。本文翻译自:https://www.sentinelone.com/blog/healthcare-and-cybersecurity-in-the-time-of-covid-19/
