信息化觀察網(wǎng)

由于發(fā)生了Anthem和Allscripts這樣轟動的泄露事件，消費者現(xiàn)在更擔(dān)心他們受保護的健康信息（PHI）會被人竊取。最近的“RSA 2019年數(shù)據(jù)隱私與安全調(diào)查”詢問了歐洲和美國近6400名消費者對其數(shù)據(jù)安全有何感受。調(diào)查表明，61%的受訪者擔(dān)心自己的醫(yī)療數(shù)據(jù)會被泄露。

他們有充分的理由感到擔(dān)憂。作為一個行業(yè)，醫(yī)療行業(yè)仍然是黑客的主要攻擊目標(biāo)，而且內(nèi)部威脅也帶來了很大的風(fēng)險。

醫(yī)療行業(yè)為什么會成為黑客的攻擊目標(biāo)

醫(yī)療保健機構(gòu)往往有一些特性，使其成為攻擊者非常感興趣的目標(biāo)。一個關(guān)鍵原因是有太多的各種系統(tǒng)沒有定期打上補丁。KnowBe4公司首席拓展專員兼戰(zhàn)略官Perry Carpenter指出：“其中一些是嵌入式系統(tǒng)，由于制造商的開發(fā)方式，不太容易打上補丁。如果醫(yī)療保健IT部門想要打上補丁，那么供應(yīng)商將不得不改變其提供支持的方式，而這很難做到。”

醫(yī)療保健機構(gòu)所從事工作的關(guān)鍵特性使其備受攻擊者的關(guān)注。在網(wǎng)絡(luò)犯罪領(lǐng)域，健康數(shù)據(jù)是一種有價值的商品，極易成為盜竊目標(biāo)。因為這關(guān)系到病人的健康，所以醫(yī)療保健機構(gòu)更有可能向勒索軟件妥協(xié)。

本文介紹未來一年中將出現(xiàn)的六大醫(yī)療保健安全威脅。

1、勒索軟件

據(jù)Verizon的《2019年數(shù)據(jù)泄露事件調(diào)查報告》，勒索軟件攻擊已連續(xù)第二年占據(jù)2019年醫(yī)療保健領(lǐng)域所有惡意軟件事件的70%以上。另一項調(diào)查，Radware公司的《信心因素報告》顯示，只有39%的醫(yī)療保健機構(gòu)認(rèn)為他們?yōu)閼?yīng)對勒索軟件攻擊做好了非?；蛘呒捌涑浞值臏?zhǔn)備。只有教育領(lǐng)域的信心水平較低，為29%。

沒有理由相信勒索軟件攻擊會在明年被終止。Carpenter說：“我們必須很好地教育員工，加強系統(tǒng)，否則，勒索軟件會一直得手，并獲得更大的發(fā)展動力。他們將繼續(xù)利用人作為攻擊手段，因為人會點擊或者下載一些東西。”

原因很簡單：如果醫(yī)院、醫(yī)療機構(gòu)和其他衛(wèi)生組織看不到患者病歷，患者生命就會有危險，因此，黑客相信他們的勒索軟件攻擊更有可能成功。這些機構(gòu)將被迫立即采取行動并支付贖金，而不是通過漫長的恢復(fù)過程，從備份中恢復(fù)病歷。

Carpenter說：“醫(yī)療保健是一項業(yè)務(wù)，但也涉及到人們的生活。任何時候，如果經(jīng)營的業(yè)務(wù)影響到人們生活中最私人和最重要的部分，并對其造成威脅，就必須立即作出反應(yīng)。這恰恰是部署了勒索軟件的網(wǎng)絡(luò)犯罪分子頻頻得手的重要原因。”

當(dāng)醫(yī)療保健機構(gòu)無法迅速恢復(fù)時，勒索軟件的后果可能是災(zāi)難性的。電子健康病歷（EHR）公司Allscripts在一月份因勒索軟件攻擊而關(guān)閉，這極大地說明了這一點。這次攻擊感染了兩個數(shù)據(jù)中心，導(dǎo)致一些應(yīng)用程序下線，影響了數(shù)千名醫(yī)療保健提供商客戶。

2、竊取病人數(shù)據(jù)

對于網(wǎng)絡(luò)犯罪分子而言，醫(yī)療保健數(shù)據(jù)可能比財務(wù)數(shù)據(jù)更有價值。據(jù)Trend Micro公司的《醫(yī)療行業(yè)面臨的網(wǎng)絡(luò)犯罪和其他威脅報告》，被盜的醫(yī)療保險身份證在暗網(wǎng)上的售價至少為1美元，醫(yī)療檔案的起價為5美元。

根據(jù)Trend Micro的報告，黑客可以利用身份證的數(shù)據(jù)和其他醫(yī)療數(shù)據(jù)來獲取政府文件，例如駕照，這些文件售價約為170美元。一個完整的農(nóng)民身份——包括死者全套PHI和其他身份數(shù)據(jù)，能賣到1千美元。相比之下，信用卡號碼在暗網(wǎng)上只賣幾美分。

Carpenter說：“醫(yī)療保健病歷的價值遠(yuǎn)遠(yuǎn)超過信用卡數(shù)據(jù)，因為它在一個地方匯集了大量信息。其中包括個人的財務(wù)信息和關(guān)鍵背景數(shù)據(jù)。有身份盜竊犯罪分子所要的一切。”

犯罪分子在竊取健康數(shù)據(jù)方面變得越來越狡猾。偽勒索軟件就是一個例子。Carpenter說：“有的惡意軟件看起來像是勒索軟件，但并沒有執(zhí)行勒索軟件所干的所有可惡的事情。在掩護下，它盜取醫(yī)療保健病歷，或者在系統(tǒng)中橫向移動，安裝其他間諜軟件或者惡意軟件，過一段時間后才為犯罪分子牟利。”

正如下面所解釋的，醫(yī)療保健機構(gòu)內(nèi)部也有人在竊取患者數(shù)據(jù)。

3、內(nèi)部威脅

根據(jù)《Verizon受保護的健康信息數(shù)據(jù)泄露事件報告》，在受調(diào)查的醫(yī)療服務(wù)提供商中，59%的泄露事件是由內(nèi)部威脅犯罪分子造成的。在83%的案例中，經(jīng)濟利益是動機。

很大一部分的內(nèi)部泄露事件都是出于樂趣或者好奇心，主要是查閱工作職責(zé)之外的數(shù)據(jù)——例如查找名人的PHI。間諜活動和結(jié)怨也是動機。Fairwarning公司的首席執(zhí)行官Kurt Long說：“在病人住院期間，有數(shù)十人能查閱其醫(yī)療病歷=。正因為如此，醫(yī)療保健服務(wù)提供商的查閱控制措施往往很寬松。普通員工就能夠看到大量數(shù)據(jù)，因為他們需要盡快獲取數(shù)據(jù)，以照看病人。”

醫(yī)療保健機構(gòu)包括了各種不同的系統(tǒng)也是一個因素。Long介紹說，這不僅包括交費和掛號系統(tǒng)，還包括專門用于婦產(chǎn)科、腫瘤學(xué)、診斷學(xué)和其他臨床系統(tǒng)的系統(tǒng)。

Long說：“竊取病人數(shù)據(jù)用于身份盜竊，或者實施醫(yī)療身份盜竊欺詐計劃，都能夠獲取利益。這已經(jīng)是這個行業(yè)公開的秘密了。人們想辦法為自己、朋友或者家人修改賬單，開出鴉片類藥物轉(zhuǎn)給他人，或者為他人開處方。他們把處方拿出來賣了牟利。”

Long說：“如果從整體上看鴉片類藥物危機，這其實直接涉及到醫(yī)療保健環(huán)境，可以說醫(yī)療保健工作者是守著一座處方鴉片類藥物的金礦。這是鴉片類藥物危機的關(guān)鍵點。醫(yī)療保健工作者意識到這些藥物的價值，他們可能會對此上癮，或者利用開出處方的機會來獲取經(jīng)濟利益。”

Long介紹說，內(nèi)部員工從竊取病人數(shù)據(jù)中獲利的一個眾所周知的例子來自Memorial醫(yī)療保健系統(tǒng)公司。該公司去年為一項內(nèi)部員工造成的泄露事件支付了550萬美元的HIPAA和解金，其兩名員工獲取了11.5萬多名患者的PHI。這一泄露事件導(dǎo)致Memorial公司徹底改變了其隱私和安全形勢，以幫助防范未來的內(nèi)部威脅和其他威脅。

4、網(wǎng)絡(luò)釣魚

網(wǎng)絡(luò)釣魚是攻擊者進入系統(tǒng)最常用的手段。它可以用來安裝勒索軟件、加密挖礦腳本、間諜軟件或者竊取數(shù)據(jù)的代碼。

一些人認(rèn)為醫(yī)療保健系統(tǒng)更容易受到網(wǎng)絡(luò)釣魚的影響，但數(shù)據(jù)顯示，情況并非如此。KnowBe4的研究表明，醫(yī)療保健與大多數(shù)其他行業(yè)一樣，網(wǎng)絡(luò)釣魚對其危害都差不多。擁有250~1000名員工但未進行安全意識培訓(xùn)的醫(yī)療保健機構(gòu)有27.85%的可能成為網(wǎng)絡(luò)釣魚的受害者，而所有行業(yè)的平均比例為27%。

Carpenter說：“你可能認(rèn)為，利他主義、生死攸關(guān)的情況可能會導(dǎo)致人們心理上更愿意去點擊一些東西，而這會讓醫(yī)護人員更容易受到攻擊，但數(shù)據(jù)顯示并非如此。”

當(dāng)涉及到網(wǎng)絡(luò)釣魚的易感性時，醫(yī)療機構(gòu)的規(guī)模很重要。據(jù)KnowBe4的數(shù)據(jù)，平均1000名或者更多員工的醫(yī)療保健機構(gòu)受到網(wǎng)絡(luò)釣魚攻擊的可能性是25.6%。Carpenter說：“在有1000多名員工的機構(gòu)中，我們看到大部分員工都接受了較多的培訓(xùn)，而且業(yè)務(wù)水平也很高，因為他們必須建立不同的體系來遵守嚴(yán)格的法規(guī)。”

5、挖礦劫持

在所有行業(yè)中，秘密劫持系統(tǒng)去開采加密貨幣是一個日益嚴(yán)重的問題。醫(yī)療保健行業(yè)中使用的系統(tǒng)是挖礦劫持非常感興趣的目標(biāo)，因為這些系統(tǒng)一直保持運行。系統(tǒng)運行的時間越長，犯罪分子就越能開采出加密貨幣。Carpenter說：“在醫(yī)院的環(huán)境下，即使懷疑出現(xiàn)了挖礦劫持，也可能不會急著拔掉機器的電源。受感染的機器運行的時間越長，對犯罪分子就越有好處。”

這其實是假設(shè)醫(yī)療保健服務(wù)提供商能夠檢測到加密挖礦操作。加密挖礦代碼不會危害系統(tǒng)，但它消耗了大量的計算能力。當(dāng)系統(tǒng)和工作效率降低時

，就最有可能發(fā)現(xiàn)它。一些挖礦劫持犯罪分子會限制他們的代碼，以降低被發(fā)現(xiàn)的風(fēng)險。很多醫(yī)療保健機構(gòu)都沒有IT員工或者安全人員來發(fā)現(xiàn)并補救這類加密挖礦攻擊。

6、入侵物聯(lián)網(wǎng)設(shè)備

醫(yī)療設(shè)備的安全多年來一直是醫(yī)療保健領(lǐng)域的熱點問題，很多聯(lián)網(wǎng)的醫(yī)療設(shè)備都因為易受攻擊而廣受詬病。問題的關(guān)鍵在于，很多醫(yī)療設(shè)備在設(shè)計之初并沒有考慮到網(wǎng)絡(luò)安全。而打補丁通常也只能提供有限的保護。

據(jù)2019年初的“Irdeto全球互聯(lián)行業(yè)網(wǎng)絡(luò)安全調(diào)查”，82%的醫(yī)療保健機構(gòu)承認(rèn)，他們過去12個月內(nèi)經(jīng)歷過針對物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)攻擊。這些攻擊造成的經(jīng)濟損失平均高達(dá)346205美元。這些攻擊最常見的影響是運營中斷（47%），其次是客戶數(shù)據(jù)泄露（42%）和最終用戶安全受損（31%）。

除非制造商開始制造更安全的設(shè)備，否則醫(yī)療保健領(lǐng)域易受攻擊的醫(yī)療設(shè)備和其他聯(lián)網(wǎng)設(shè)備將持續(xù)受到威脅。這種情況很普遍——更新、更安全的機型取代舊型號還需要數(shù)年的時間。

減小醫(yī)療保健安全威脅的技巧

更好地修補和更新關(guān)鍵系統(tǒng)。Carpenter說：“事實上，那些沒打上補丁的老舊系統(tǒng)是作為關(guān)鍵設(shè)備嵌入的，以至于更容易受到勒索軟件的威脅。”可能很難打上補丁，因為修補過程有可能中斷關(guān)鍵系統(tǒng)，影響供應(yīng)商對系統(tǒng)的支持。

在某些情況下，甚至沒有針對已知漏洞的可用補丁。Carpenter建議，如果供應(yīng)商無法修補或者更新系統(tǒng)，應(yīng)該主動督促他們。“對供應(yīng)商施壓，質(zhì)問為什么這些系統(tǒng)不能或者沒有更新，讓整個行業(yè)都感受到壓力。”

培訓(xùn)員工。據(jù)KnowBe4的研究，在培訓(xùn)員工識別網(wǎng)絡(luò)釣魚攻擊方面，醫(yī)療保健低于行業(yè)平均水平。很-多醫(yī)療保健機構(gòu)規(guī)模不大，員工人數(shù)少于1000人——這可能是一個因素。Carpenter說：“這不僅僅是告訴員工應(yīng)該做什么。這其實是創(chuàng)建一個行為條件程序，教育員工不要點擊釣魚鏈接。”

這個程序意味著發(fā)送模擬釣魚電子郵件。如果某個員工點擊了鏈接，那么他應(yīng)該立即收到反饋，知道自己做了什么，今后怎樣做才是正確的。這樣的程序會產(chǎn)生巨大的影響。

如果長期堅持應(yīng)用，就會有明顯的效果。KnowBe4的研究表明，員工數(shù)量在250~999名的醫(yī)療保健機構(gòu)經(jīng)過一年的網(wǎng)絡(luò)釣魚培訓(xùn)和測試后，其網(wǎng)絡(luò)釣魚易感性從27.85%降至1.65%。

注意員工信息。網(wǎng)絡(luò)釣魚攻擊越是針對個人，就越容易成功。在魚叉式網(wǎng)絡(luò)釣魚攻擊中，攻擊者會盡可能多地了解被攻擊的目標(biāo)人選。Carpenter說：“如果‘不在辦公室’的回復(fù)給出了要聯(lián)系的人的名字，攻擊者會通過使用這些名字和關(guān)系鏈來建立信任。”

增強防御和應(yīng)對威脅的能力。Long說：“我對醫(yī)療保健安全最擔(dān)心的一件事是，醫(yī)療服務(wù)提供者在發(fā)現(xiàn)事故后沒有能力進行適當(dāng)?shù)恼{(diào)查，也無法對事故進行記錄和評估，沒有足夠的取證手段配合執(zhí)法部門或者法律部門的工作。他們也缺少工作人員來進行徹底的補救，不能杜絕類似情況的發(fā)生。”他的建議是：“讓員工獲得適當(dāng)?shù)膶I(yè)知識，也可以通過合作伙伴獲得。”他補充說：“安全應(yīng)是董事會和高管最為關(guān)注的。認(rèn)識到安全的重要性后，第一步是要有一名經(jīng)驗豐富的專業(yè)首席信息安全官。”

Long說：“規(guī)模較小的醫(yī)療保健服務(wù)提供商可能沒有資源來聘請首席信息安全官，但他們?nèi)匀恍枰獌?yōu)先考慮安全問題。在怎樣獲得一流的安全專業(yè)知識方面，他們應(yīng)該更有創(chuàng)意。這可能是通過合作或者托管安全服務(wù)來實現(xiàn)的，而且要態(tài)度堅決的站出來說，‘病人應(yīng)該得到安全保障，我們必須合作，或者讓合適的安全人員參與進來。’”