2020年的醫療安全威脅

常莽

2019年RSA數據隱私與安全調查詢問了歐洲和美國近6 400名消費者對其數據安全的看法。調查顯示，61%的受訪者擔心他們的醫療數據被泄露。他們有充分的理由對此表示擔心，醫療保健行業仍然是黑客的主要目標，并且內部威脅也有很大的風險。

為什么醫療保健行業是黑客的目標

醫療保健組織往往有一些特殊的屬性，使其成為了攻擊者的誘人目標。一個關鍵原因是大量的沒有定期修補的不同系統。“其中一些是嵌入式系統，由于制造商創建它們的方式，這些系統無法被輕松地修補。“如果醫療保健的IT部門選擇這樣做，將會給供應商的支持方式帶來重大問題。”KnowBe4的首席布道師兼戰略官PerryCarpenter說。

醫療保健機構所的關鍵性質也使他們容易成為攻擊者的目標。健康數據在網絡犯罪世界中是一種有價值的商品，這自然而然地使它成為了盜竊目標。因為事關重大且涉及到病人的福祉，醫療保健機構也更有可能支付贖金。

下面是未來一年中6個最大的醫療安全威脅。

1.勒索軟件

根據Verizon 2019年的數據泄露調查報告，勒索軟件攻擊已連續第二年占據了2019年醫療行業所有惡意軟件事件的70 %以上。另一項調查，Radware的信任因素報告顯示，只有39 %的醫療機構認為自己對勒索軟件攻擊準備得非常充分或極其充分。

沒有理由相信勒索軟件攻擊將會在明年逐漸消失。“在充分強化我們的員工和系統之前，勒索軟件將繼續被證明是成功的，并獲得更多的動力。他們將繼續使用的載體是點擊某個東西或下載某個東西的人。”Carpenter說。

原因很簡單：黑客認為他們的勒索軟件攻擊非常有可能成功，因為醫院和醫療機構如果無法訪問患者記錄，就會危及生命。他們會感到壓力被迫立即采取行動和支付贖金，而不是經歷漫長的備份恢復過程。

“醫療保健是一項事業，并且與人們的生活息息相關。”Carpenter說。“任何時候，當你的企業與人們生活中最私人、最重要的部分交織在一起，并可能對其造成威脅時，都需要立即做出反應。這對部署勒索軟件的網絡罪犯來說非常有效。”

當醫療保健組織的數據無法迅速恢復時，勒索軟件的影響可能是毀滅性的。當電子健康記錄（EHR）公司Allscripts在1月份因一次惡意軟件攻擊而關閉時，這一點就被戲劇性地提出來了。該攻擊感染了2個數據中心，并導致許多應用程序離線，影響了數以千計的醫療保健提供商客戶。

2.竊取患者數據

對網絡罪犯來說，醫療保健數據可能比財務數據更有價值。根據趨勢科技的網絡犯罪和醫療行業報告中所提到的其他威脅，被盜的醫療保險身份證在暗網上至少可以賣1美元，而醫療檔案的起價為5美元。

黑客可以使用身份證和其他醫療數據中的數據來獲取政府文件，如駕駛執照。根據趨勢科技的報告，這些文件的售價約為170美元。一個完整的農場身份（一個由完整的PHI和死者的其他身份數據創建的身份）可以賣到1 000美元。相比之下，信用卡號碼在黑網上只能夠賣到幾便士。

Carpenter說：“醫療記錄之所以比信用卡數據更有價值，是因為它們在一個地方聚集了大量信息。”包括個人的財務信息和關鍵的背景數據。“身份盜竊所需的一切都在那里。”

罪犯在如何竊取健康數據方面變得越來越狡猾。偽勒索軟件就是一個例子。“看起來像勒索軟件的惡意軟件，但其實并沒有做勒索軟件所做的所有事情，”Carpenter說，“在其掩蓋下，它竊取醫療記錄或在系統間橫向移動，安裝其他間諜軟件或惡意軟件，這些軟件或惡意軟件將在以后對罪犯有利。”甚至醫療保健行業的業內人士也在竊取患者數據。

3.內部威脅

根據Verizon的防止健康信息數據泄露報告，59 %被調查的醫療服務提供商的數據泄露事件的行動者是內部人員。在83 %的情況下，經濟收益是其主要動機。

很大一部分內部違規行為是出于樂趣或好奇心，主要是訪問他們工作職責之外的數據，比如查閱名人的個人信息。間諜活動和積怨也是動機之一。“在病人留在醫療系統中的過程中，有幾十個人可以獲得其醫療記錄，”Fairwarning公司的首席執行官Kurt Long說。“正因為如此，醫療保健提供商往往也有著松散的訪問控制。普通員工可以訪問大量數據，因為他們需要快速獲取數據來照顧他人。”

醫療機構中不同系統的數量也是因素之一。這不僅包括計費和注冊部門，還包括了專門用于婦產科、腫瘤學、診斷和其他的臨床系統。

“從竊取病人數據到用于身份盜竊或醫療身份盜竊的欺詐計劃，都可以獲得財務上的回報。這已經成為該行業的一個常規部分，”Long說，“人們正在為自己、朋友或家人改變賬單，或者進行阿片類藥物的轉移或處方轉移。他們可以獲取處方并出售它們以獲取利潤。”

“當從總體上看阿片類藥物的危機時，這就是對醫療保健環境的直接解釋，在醫療保健環境中，醫護人員正坐在阿片類藥物的金礦上面，”Long說。“這是阿片類藥物整體危機的最新數據。醫護人員認識到了它們的價值，他們可能會沉迷于它們，或者利用他們獲得的處方來獲得經濟利益。”

Long指出，內部人士從竊取的患者數據中獲利的一個公開例子就是Memorial醫療系統的案例。2018年，該公司支付了550萬美元的HIPAA和解金，以了結一項內部違規行為，即2名員工訪問了超過11.5萬名患者的PHI。這一違規行為導致Memorial醫療系統徹底改變了其隱私和安全姿態，以幫助防范未來的內部人員和其他威脅。

4.網絡釣魚

網絡釣魚是攻擊者獲取系統入口最常用的手段。它可用于安裝勒索軟件、加密腳本、間諜軟件以及竊取數據的代碼。

一些人認為醫療保健更容易受到網絡釣魚的攻擊，但數據顯示的情況并非如此。KnowBe4的一項研究表明，在遭受釣魚攻擊方面，醫療保健行業與大多數其他行業不相上下，一家擁有250～1 000名員工的醫療機構，在沒有接受過安全意識培訓的情況下，遭受網絡釣魚攻擊的幾率為27.85 %，而所有行業的平均幾率為27 %。

Carpenter說：“（你可能會認為）利他主義、迫在眉睫的生死狀況可能會導致人們做好心理準備，去點擊一些讓（醫療工作者）更容易受到影響的東西，但調查數字并沒有證明這一點。”

當談到網絡釣魚的敏感性時，規模很重要。KnowBe4的數據顯示，員工在1 000人以上的醫療機構中，平均有25.6 %的人可能會被詐騙。

5.加密挖礦

秘密劫持系統以開采加密貨幣是所有行業中日益嚴重的問題。醫療保健中所使用的系統是加密挖礦（cryptojacking）非常有吸引力的目標，因為保持它們的運行至關重要。該系統運行的時間越長，犯罪分子就越有可能獲得加密貨幣。“在醫院環境中，即使懷疑有人在加密挖礦，他們也可能不會急于拔掉機器的插頭。”Carpenter說。

這還是在假設醫療保健提供者能夠檢測到加密挖礦操作的情況下。加密挖礦代碼不會損害系統，但是會消耗大量的計算能力。只有當系統和生產力變慢時才有可能識別到它。而且許多醫療保健組織也沒有IT或安全人員來識別和修復這種加密貨幣攻擊。

6.被黑客入侵的物聯網設備

醫療設備的安全多年來就一直是醫療保健領域的熱點問題，許多網絡或互聯網連接的醫療設備非常容易受到攻擊。問題的關鍵是，許多醫療設備的設計并沒有考慮到網絡安全問題，在可能的情況下，修補通常只提供邊緣保護。

根據從2019年初開始的Irdeto全球互聯行業網絡安全調查，82 %的醫療機構表示，在過去的12個月里經歷過針對物聯網設備的網絡攻擊。這些襲擊的平均財務影響為346 205美元。這些攻擊最常見的影響是操作停機，其次是客戶數據泄露和終端用戶的安全性泄露。

在制造商開始制造更安全的設備之前，醫療保健領域易受攻擊的醫療設備和其他連接設備會繼續是一個威脅。雖然問題很普遍，但更新、更安全的型號要取代舊型號還需要很多年。

最小化醫療安全威脅的技巧

更好地修補和更新關鍵系統。“事實上，那些舊的未修補系統常常是作為關鍵設備嵌入的，這導致了勒索軟件的更大威脅，”Carpenter說。因為修補過程可能會中斷關鍵系統或削弱供應商支持系統的能力。

在某些情況下，或許也沒有可用于已知漏洞的修補程序。Carpenter建議應該在供應商沒有或不能修補或更新系統的情況下向他們施壓。“與供應商保持積極的關系，詢問為什么這些系統不能或沒有更新，并保持壓力。”

培訓員工。根據KnowBe4的研究，醫療保健行業在培訓員工識別網絡釣魚方面低于平均水平。許多醫療保健機構的規模很小，不到1 000名員工，這可能是一個因素。Carpenter說：“這不僅是要告訴他們應該做什么。”需要創建一個行為模擬程序，來訓練他們不要點擊網絡釣魚鏈接。

如果長期堅持培訓就會起作用。KnowBe4的研究顯示，在擁有250～999名員工的醫療機構中，經過1年的網絡釣魚培訓和測試后，員工對網絡釣魚的敏感度可從27.85 %降至1.65 %。

注意有關員工的信息。網絡釣魚攻擊越個性化，成功的可能性就越大。在魚叉式網絡釣魚攻擊中，攻擊者會試圖盡可能多地了解目標個人。Carpenter說：“如果不在辦公室的回復給出了要聯系人的名字，攻擊者就可以通過使用這些名字和關系鏈來建立信任。”。

增強防御和應對威脅的能力。“我對醫療安全最擔心的事情是，醫護人員缺乏在發現事故后進行適當調查的能力，缺乏對事故進行記錄和評估危害的能力，缺乏與執法部門或法律部門合作以進行充分取證的能力。他們也缺乏能夠進行補救的員工，無法保證這種情況再也不會發生了，”Long說。他建議：“安全性需要成為董事會和管理層的優先事項。”

Long說：“規模較小的醫療保健提供商可能沒有資源雇傭CISO，但他們仍然需要優先考慮安全性，這可能通過合作或管理安全服務實現，但沒有人能夠代替他們自己站出來說，我的病人應該得到安全保障，我必須致力于合作或讓合適的安全人員進入到這里。”