消费者现在更加担心他们受保护的健康信息(PHI)由于Anthem和Allscripts等引人注目的违规行为而受到损害。最近的2019年RSA数据隐私和安全调查向欧洲和美国的近6,400名消费者询问了他们对数据安全的看法。调查显示,61%的受访者担心自己的医疗数据被泄露。他们有充分的理由担心。医疗保健行业仍然是黑客的主要目标,内部威胁的风险也很高。为什么医疗保健行业是黑客的目标医疗保健组织往往具有一些特殊属性,使其成为攻击者的目标。一个关键原因是大量不同的系统没有定期修补。“其中一些是嵌入式系统,由于制造商创建它们的方式而无法轻易修补。”“如果医疗保健领域的IT部门选择这样做,这将给供应商支持他们的方式带来重大问题。”KnowBe4首席布道师兼战略官PerryCarpenter说。医疗保健组织所做工作的关键性质也使它们很容易成为攻击者的目标.健康数据是网络犯罪世界中的宝贵商品,这使其成为盗窃的自然目标。由于风险很高——涉及患者的福祉——医疗保健组织也更有可能支付赎金要求。以下是来年最大的六大医疗保健安全威胁。1.勒索软件根据Verizon的2019年数据泄露,勒索软件攻击连续第二年占2019年医疗保健行业所有恶意软件事件的70%以上调查报告。另一项调查,Radware的TrustFactor报告显示,只有39%的医疗保健组织认为他们已经为勒索软件做好了充分或极其充分的准备攻击。没有理由相信勒索软件攻击会在明年逐渐消失。“在我们足够强化我们的人员和系统之前,勒索软件将继续证明成功并获得更多动力。他们将继续使用的载体是点击某些东西或下载某些东西的人。”木匠解释。原因很简单:黑客认为他们的勒索软件攻击很有可能成功,因为如果医院和医疗机构无法访问患者记录,他们可能会面临生命危险。他们不会经历恢复备份的漫长过程,而是会感到有压力立即采取行动并支付赎金。“医疗保健是一项业务,关乎人们的生活,”卡彭特说。“任何时候你的业务与人们生活中最私密和最重要的部分交织在一起并可能威胁到他们,你都需要立即做出反应。对于部署勒索软件的网络犯罪分子来说尤其如此有效。”当医疗机构无法快速恢复时,勒索软件的影响可能是毁灭性的。当电子健康记录(EHR)公司Allscripts在1月份因恶意软件攻击而关闭时,这一点被戏剧性地提出来。这次攻击感染了两个数据中心并使许多应用程序脱机,影响了数以千计的医疗保健提供商客户。2.窃取患者数据医疗保健数据对网络罪犯来说可能比财务数据更有价值。根据TrendMicro的网络犯罪和医疗保健行业报告以及其他威胁,被盗的MedicareID卡在暗网上的售价至少为1美元,而病历的起价为5美元。根据趋势科技的一份报告,黑客可以使用身份证和其他医疗数据中的数据来获取政府文件,例如驾照,这些文件的售价约为170美元。一个完整的农场身份——由完整的PHI和死者的其他识别数据创建的身份——可以卖到1,000美元。相比之下,信用卡号可以在暗网上以几美分的价格出售。“医疗记录之所以比信用卡数据更有价值,是因为它们将大量信息聚集在一个地方,”卡彭特说,包括一个人的财务信息和关键背景数据。“身份盗窃所需的一切都在那里。”犯罪分子对如何窃取健康数据越来越精明。假勒索软件就是一个例子。“恶意软件看起来像勒索软件,但实际上并没有像勒索软件那样做所有邪恶的事情,”Carpenter说。“在它的掩护下,它会窃取医疗记录或在系统之间横向移动,安装其他间谍软件或恶意软件,这些软件或恶意软件以后会使犯罪分子受益。”正如下一节所述,医疗保健行业的人员也在窃取患者数据。3.内部威胁根据Verizon的健康信息数据泄露预防报告,在调查的医疗保健提供商数据泄露事件中,有59%是由内部人员所为。在83%的案例中,经济利益是主要动机。很大一部分内部违规行为是出于乐趣或好奇心,主要是在工作职责之外访问数据——例如访问名人的个人信息。间谍活动和积怨也是动机之一。Fairwarning首席执行官库尔特·朗(KurtLong)表示:“在患者入住医疗保健系统期间,有数十人可以访问他们的医疗记录。”“正因为如此,医疗保健提供者也往往有松散的访问控制。普通员工可以访问大量数据,因为他们需要快速照顾他人。”医疗机构中不同系统的数量也是一个因素。Long说,这不仅包括计费和注册部门,还包括专门用于妇产科、肿瘤学、诊断学等的临床系统。“从窃取患者数据到身份盗用或医疗身份盗用的欺诈计划,一切都有经济回报。它已成为该行业的常规部分,”Long说。“人们正在为自己或朋友或家人更改账单,或者进行阿片类药物转移或处方转移。他们可以获得处方并出售以获利。”“当你从总体上看阿片类药物危机时,这是对医疗保健环境的直接解释,医护人员坐在系统中阿片类药物金矿的顶端,”朗说。“这是关于整体阿片类药物危机的最新数据。医护人员认识到它们的价值,他们可能会对它们上瘾,或者使用他们获得的处方来谋取经济利益。”Long指出,内部人士从被盗的患者数据中了解到一个公开的牟取暴利的例子,就是MemorialHealthSystem的案例。去年,该公司支付了550万美元的HIPAA和解金,以解决内部违规行为,其中两名员工访问了超过115,000名患者的PHI。这一漏洞导致MemorialHealthSystem彻底改革其隐私和安全状况,以帮助防范未来的内部威胁和其他威胁。4.网络钓鱼网络钓鱼是攻击者获取系统访问权限最常用的手段。它可用于安装勒索软件、加密脚本、间谍软件和数据窃取代码。一些人认为医疗保健更容易受到网络钓鱼攻击,但数据显示并非如此。KnowBe4的一项研究表明,在网络钓鱼攻击方面,医疗保健行业与大多数其他行业不相上下。一家拥有250至1,000名员工且未接受过安全意识培训的医疗机构遭受网络钓鱼攻击的几率为27.85%,而所有行业的平均几率为27%。“[你会认为]利他主义的、生死攸关的情况可能会导致人们在心理上准备点击一些让[医护人员]更容易受到伤害的东西,但调查数字并没有证实这一点,”卡彭特说。”当谈到网络钓鱼的敏感性时,规模很重要。KnowBe4的数据显示,在员工人数超过1000人的医疗机构中,平均有25.6%的人容易被骗。“在拥有超过1,000名员工的组织中,我们看到他们中的大多数人接受了更多的培训,并且会在更高的复杂程度下运作,因为他们必须建立不同的系统来遵守严格的规定,”Carpenter说。5.Cryptomining秘密劫持系统来挖掘加密货币是所有行业中一个日益严重的问题。医疗保健中使用的系统是非常有吸引力的加密劫持目标,因为保持它们运行至关重要。系统运行的时间越长,犯罪分子就越有可能获得加密货币。“在医院环境中,即使有人怀疑加密货币挖矿,他们也可能不会急于拔掉机器的插头,”Carpenter说。“受感染的机器运行的时间越长,对犯罪分子来说就越好。”这是假设医疗保健提供者可以检测到加密货币挖矿操作。加密挖矿代码不会对系统造成危害,但会消耗大量算力。只有当系统和生产力变慢时,才有可能识别它。一些加密矿工限制他们的代码以降低被发现的风险。许多医疗机构没有IT或安全人员来识别和修复此类加密货币攻击。6.被黑的物联网设备多年来,医疗设备的安全性一直是医疗保健领域的热门话题,众所周知,许多网络或互联网连接的医疗设备极易受到攻击。问题的症结在于许多医疗设备在设计时并未考虑网络安全。在可能的情况下,修补通常只提供边缘保护。根据爱迪德2019年初的全球互联行业网络安全调查,82%的医疗保健组织表示他们在过去12个月中经历过针对物联网设备的网络攻击。这些攻击的平均财务影响为346,205美元。这些攻击最常见的影响是运营停机(47%),其次是客户数据泄露(42%)和最终用户安全漏洞(31%)。在制造商开始制造更安全的设备之前,易受攻击的医疗设备和医疗保健中的其他连接设备将继续构成威胁。虽然问题很普遍,但更新、更安全的模型取代旧模型还需要很多年。最大限度减少医疗保健安全威胁的技巧更好地修补和更新关键系统。“这些旧的、未打补丁的系统通常作为关键设备嵌入其中,这一事实导致勒索软件的威胁更大,”Carpenter说。这可能很困难,因为修补过程可能会破坏关键系统或削弱供应商支持系统的能力。在某些情况下,也可能没有针对已知漏洞的可用补丁。Carpenter建议,当供应商不或不能修补或更新他们的系统时,应该给供应商施加压力。“与供应商保持积极的关系,询问为什么这些系统不能或不更新,并让行业承受压力。”培训员工。根据KnowBe4研究,医疗保健行业在培训员工识别网络钓鱼方面低于平均水平。许多医疗机构规模小,员工不到1,000人,这可能是一个因素。“这不仅仅是告诉他们该做什么,”卡彭特说。您需要创建一个行为模拟器来训练他们不要点击网络钓鱼链接。此过程旨在发送模拟网络钓鱼电子邮件。单击该链接的员工应该立即收到关于他们做了什么以及他们应该如何做正确事情的反馈。像这样的项目可以产生巨大的影响。如果长期坚持使用,训练就会奏效。KnowBe4的研究表明,在拥有250至999名员工的医疗机构中,一年的网络钓鱼培训和测试可以将网络钓鱼的易感性从27.85%降低到1.65%。小心有关员工的信息。网络钓鱼攻击越个性化,就越有可能成功。在鱼叉式网络钓鱼攻击中,攻击者试图尽可能多地了解目标个人。Carpenter说:“如果不在办公室的回复给出了联系人的姓名,攻击者就可以通过使用这些姓名和关系链来建立信任。”增强抵御和应对威胁的能力。“我最大的担忧(医疗保健安全)是医疗保健专业人员缺乏在发现事件后进行适当调查、记录事件和评估危害、与执法或法律当局合作进行充分取证的能力。他们也缺乏可以补救的工作人员,不能保证这种情况永远不会再次发生,”Long说。他的建议是:“通过员工或合作伙伴获得正确的专业知识。”他补充说,安全需要成为董事会和管理层的优先事项。“确定您的安全优先级后的第一步是确保您拥有一位具有相关经验的积极参与的CISO。“较小的医疗保健提供者可能没有资源聘请CISO,但他们仍然需要优先考虑安全性,”Long说。“他们可能需要更有创意地获得一流的安全专业知识。”这可以通过合作或管理安全服务来实现,但没有人可以为自己站出来说,我的病人应该得到安全,我必须承诺合作或让合适的安全人员来这里。“
