医疗保健行业一直是勒索软件、加密挖矿、数据盗窃、网络钓鱼和内部威胁的热门目标。由于Anthem和Allscripts等耸人听闻的泄密事件,消费者现在更担心他们受保护的健康信息(PHI)被盗。最近的“RSA2019年数据隐私和安全调查”向欧洲和美国的近6,400名消费者询问了他们对数据安全的看法。调查显示,61%的受访者担心自己的医疗数据会被泄露。他们有充分的理由担心。作为一个行业,医疗保健仍然是黑客的主要目标,内部威胁也构成重大风险。为什么医疗保健行业是黑客的目标医疗保健组织往往具有一些特征,使它们成为攻击者非常感兴趣的目标。一个关键原因是各种系统太多,没有定期打补丁。KnowBe4首席开发官兼战略官PerryCarpenter表示:“其中一些是嵌入式系统,由于制造商开发它们的方式,它们不太容易打补丁。如果医疗保健IT想要打补丁,那么供应商将有改变。”它支持它的方式,这很难做到。”医疗保健组织所做工作的关键性质使它们对攻击者具有吸引力。在网络犯罪的世界里,健康数据是一种有价值的商品,也是容易被盗的目标。由于患者的健康受到威胁,医疗保健组织更有可能破坏勒索软件。本文介绍了来年将出现的六大医疗保健安全威胁。1.勒索软件根据Verizon的《2019年数据泄露事件调查报告》,勒索软件攻击连续第二年占2019年医疗保健领域所有恶意软件事件的70%以上。Radware进行的另一项调查《信心因素报告》显示,只有39%的医疗保健组织认为他们已经为应对勒索软件攻击做好了充分或极其充分的准备。只有教育部门的信心水平较低,为29%。没有理由相信勒索软件攻击会在明年停止。“我们必须对我们的员工进行很好的教育并强化我们的系统,否则勒索软件将不断到达那里并获得动力,”卡彭特说。“他们将继续利用人作为攻击手段,因为人们会点击或下载某些东西。”原因很简单:如果医院、医疗机构和其他卫生组织无法访问患者记录,他们的生命就会受到威胁,因此黑客认为他们的勒索软件攻击更有可能得逞。这些机构将被迫立即采取行动并支付赎金,而不是经历漫长的恢复过程,从备份中恢复医疗记录。“医疗保健是一项业务,但它也触及人们的生活,”卡彭特说。“任何时候你经营的企业都会影响和威胁人们生活中最私密和最重要的部分,你必须立即做出反应。这就是部署勒索软件的网络犯罪分子如此成功的原因。”当医疗保健组织不能迅速恢复时,勒索软件的后果可能是灾难性的。电子健康记录(EHR)公司Allscripts在1月份因勒索软件攻击而关闭就是一个很好的例子。这次攻击感染了两个数据2.窃取患者数据对于网络犯罪分子来说,医疗保健数据可能比财务数据更有价值。根据趋势科技的,被盗的健康保险ID在网上的售价至少为1美元暗网和医疗文件起价5美元。根据趋势科技的报告,黑客可以使用身份证数据和其他医疗数据获取政府文件,例如驾照,售价约为170美元。完整的农民身份证——包括完整的死者的一组PHI和其他身份识别数据——可以卖到1,000美元。相比之下,信用卡号码在暗网上只卖几美分。“医疗保健病历是麦汁h远远超过信用卡数据,因为它在一个地方汇集了大量信息,”Carpenter说。“它包括个人财务信息和关键背景数据。它拥有身份盗窃罪犯可能想要的一切。”健康数据越来越棘手。假勒索软件就是一个例子。“有些恶意软件看起来像勒索软件,但不会做勒索软件所做的所有令人讨厌的事情,”卡彭特说。软件或恶意软件,一段时间后,它就会对犯罪分子有利可图。”如下所述,患者数据也在医疗机构内部被盗。3.内部威胁据《Verizon受保护的健康信息数据泄露事件报告》称,在接受调查的医疗保健提供者中,59%的违规行为是由内部威胁罪犯造成的。在83%的案例中,经济利益是动机。很大一部分内部违规行为是基于乐趣或好奇心,在工作职责之外查找数据——例如查找名人的PHI。间谍活动和世仇也是动机。Fairwarning的首席执行官KurtLong说:“当一个病人在医院时,几十个人都可以访问他们的医疗记录=。因此,医疗保健提供者往往具有宽松的访问控制。普通员工可以看到大量数据,因为他们需要尽快获得这些数据来照顾患者。“医疗保健组织包括各种不同的系统也是一个因素。这不仅包括计费和注册系统,还包括专用于产科、肿??瘤学、诊断学和其他临床系统的系统,”Long说。“为身份盗窃窃取患者数据,或运行医疗身份盗窃欺诈计划,可以获利。这在这个行业已经是公开的秘密。人们想方设法为自己、朋友或家人修改账单,开阿片类药物处方以转移给他人,或为他人开处方。他们拿走了处方并出售以牟利。“如果你从总体上看阿片类药物危机,它确实与医疗环境直接相关,公平地说,医护人员正在守护一个处方阿片类药物的金矿,”Long说。这是阿片类药物危机的症结所在。医护人员意识到这些药物的价值,他们可能会对这些药物上瘾,或者利用机会开处方以获取经济利益。一口井-Long说,内部人员从窃取患者数据中获利的已知例子来自MemorialHealthCareSystems。该公司去年为内部人员造成的违规行为支付了550万美元的HIPAA和解金,其two超过115,000名患者获得了超过115,000名患者的PHI。该漏洞导致Memorial彻底改革其隐私和安全环境,以帮助防范未来的内部人员和其他威胁。4.网络钓鱼网络钓鱼是攻击者获取系统访问权限时最常用的方法。它可用于安装勒索软件、加密脚本、间谍软件或窃取数据的代码。有些人认为医疗保健系统更容易受到网络钓鱼的影响,但数据表明情况并非如此。KnowBe4的研究表明,医疗保健与大多数其他行业一样容易受到网络钓鱼的攻击。拥有250至1,000名员工且未接受安全意识培训的医疗保健组织有27.85%的可能性成为网络钓鱼的受害者,而所有行业的平均值为27%。“你可能认为利他主义、生死攸关的情况可能会导致心理偏好点击某些东西,这会使医护人员更容易受到伤害,但数据表明情况并非如此,”卡彭特说。这样。当谈到对网络钓鱼的敏感性时,医疗机构的规模很重要。据KnowBe4称,拥有1,000名或更多员工的医疗保健机构遭受网络钓鱼攻击的可能性要高25.6%。“在拥有超过1,000名员工的组织中,我们看到大多数员工训练有素且操作性强,因为他们必须建立不同的系统以遵守严格的规定,”Carpenter说。51.挖矿劫持秘密劫持挖掘加密货币的系统是所有行业中日益严重的问题。医疗保健行业中使用的系统是加密劫持的非常有趣的目标,因为这些系统一直在运行。系统运行的时间越长,越多的犯罪分子可以挖掘加密货币。“在医院环境中,即使怀疑存在加密劫持,也可能不会急于拔掉机器的插头,”Carpenter说。“受感染的机器运行的时间越长,对犯罪分子来说就越好。”假设是医疗保健提供者能够检测到加密货币挖矿操作。挖矿代码不会危及系统,但会消耗大量计算能力。它最有可能在系统和生产力下降时被发现。一些加密货币劫持犯罪分子限制他们的代码以降低被发现的风险。许多医疗机构没有IT人员或安全人员来检测和补救这些类型的加密攻击。6.物联网设备的入侵医疗设备的安全性多年来一直是医疗保健领域的热门话题,许多联网的医疗设备因容易受到攻击而广受诟病。问题的症结在于许多医疗设备在设计时并未考虑网络安全。打补丁通常只能提供有限的保护。根据爱迪德2019年初的全球互联行业网络安全调查,82%的医疗机构承认他们在过去12个月内经历过针对物联网设备的网络攻击。这些攻击造成的平均经济损失为346,205美元。这些攻击最常见的影响是运营中断(47%),其次是客户数据泄露(42%)和最终用户安全受损(31%)。除非制造商开始制造更安全的设备,否则医疗保健中易受攻击的医疗设备和其他联网设备将继续受到威胁。这很常见——更新、更安全的模型取代旧模型还需要数年时间。减少医疗保健安全威胁的技巧更好地修补和更新关键系统。“事实上,旧的、未打补丁的系统作为关键设备嵌入其中,这使它们更容易受到勒索软件的攻击,”Carpenter说。打补丁可能很困难,因为打补丁过程有可能破坏关键系统并影响对系统的供应业务支持。在某些情况下,甚至没有针对已知漏洞的补丁。Carpenter建议,如果供应商不能修补或更新他们的系统,就应该主动督促他们。“向供应商施压,询问为什么这些系统不能或没有更新,这给行业带来了压力。”培训员工。根据KnowBe4研究,在培训员工识别网络钓鱼攻击方面,医疗保健行业低于行业平均水平。许多医疗机构都很小,员工人数不到1,000人——这可能是一个因素。“这不仅仅是告诉员工该做什么,”Carpenter说。“这是关于创建一个行为调节程序,教育员工不要点击网络钓鱼链接。”该程序意味着发送模拟网络钓鱼电子邮件。如果员工点击链接,他应该会立即收到关于他做了什么以及下一步该做什么的反馈。这样的计划可以产生巨大的影响。长期坚持涂抹,会有明显的效果。KnowBe4的研究表明,在拥有250至999名员工的医疗保健组织中经过一年的网络钓鱼培训和测试后,他们对网络钓鱼的敏感性从27.85%下降到1.65%。关注员工信息。网络钓鱼攻击越个人化,就越有可能成功。在鱼叉式网络钓鱼攻击中,攻击者试图尽可能多地了解目标人员。Carpenter说:“如果‘不在办公室’的响应提供了要联系的人的姓名,攻击者就会通过使用这些姓名和关系链来建立信任。”加强防御和应对威胁的能力。“我对医疗保健安全最大的担忧之一是,医疗保健提供者在发现事件时没有能力对其进行适当的调查、记录和评估,而且他们没有足够的取证来与执法部门合作或法律部门的工作。他们也缺乏人员进行彻底的整治,无法阻止类似情况的发生。他的建议是:“雇用具有适当专业知识的员工,也可以通过合作伙伴。”他补充说:“安全应该是董事会和高管最关心的问题。认识到安全的重要性后,第一步就是拥有一位经验丰富且专业的CISO,”Long说。“较小的医疗保健提供商可能没有资源聘请CISO,但他们仍然需要优先考虑安全性。他们应该在如何获得一流的安全专业知识方面更有创意。这可以通过合作伙伴关系或托管安全服务,并且需要站起来说,“患者应该得到安全和我们必须合作或让合适的安全人员参与进来。”
