近两年来,医院、医疗保险机构先后被曝发生重大数据泄露事件,消费者越来越担心自己的受保护健康信息(PHI)会不会落入坏人之手。最近,RSA对7500名欧美消费者进行了调查,其《数据隐私报告》显示,59%的受访者忧虑自身医疗数据被黑;39%担心黑客会篡改自己的医疗信息。
消费者的这种担心并非空穴来风。医疗行业仍然是黑客的首要目标,且还有来自内部人威胁的巨大风险。
为什么黑客会盯上医疗行业
医疗行业的几个特征让它们成为了黑客眼中的诱人果实。关键原因之一,是医疗机构中有很多系统并没有定期更新。其中一些是嵌入式系统,由于制造方式问题,导致如今即便发现漏洞也难以打上补丁。如果医疗机构的IT部门自行更新,可能会导致供应商无法继续提供支持。
医疗机构在社会民生中的重要性也成为了黑客盯上它们的重要因素。在网络犯罪世界,健康数据是非常有价值的商品,盗取健康数据不失为网络罪犯发家致富的途径之一。而且,由于人命关天,在遭遇勒索软件攻击的时候,医疗机构也更倾向于支付赎金。
2018年,有哪些重要的医疗安全威胁值得我们注意呢?
1. 勒索软件
CryptoniteNXT《2017医疗网络研究报告》显示,2017年十大医疗数据安全事件中,有6起都是勒索软件攻击。报告指出,2017年重大勒索软件攻击(受影响患者数量在500人以上)上报量为36起,几乎是2016年19起的2倍。
很明显,2018年勒索软件攻击趋势不会减缓。除非我们夯实医疗机构IT系统安全,培育医疗从业人员的安全意识,否则勒索软件还将继续肆虐。勒索软件攻击者会继续利用人性弱点诱骗工作人员点击恶意链接或下载恶意软件。
为什么攻击者爱对医疗机构下手呢?个中原因很简单:黑客认为,医院、诊所等医疗机构如果不能访问患者病历记录,就会将患者的生命置于风险之中,他们觉得自己必须马上支付赎金解锁数据,而不是苦等数据从备份中恢复出来。
医疗行业是一门产业,但同时也掌握着人们的生命。任何一门产业只要涉及人身安全和个人最隐私的信息,从业者在面对威胁时就必须立即响应。医疗行业的这种特性对投放勒索软件的网络罪犯来说简直再合适不过。
如果医疗机构不能从勒索软件攻击中快速恢复,其后果可能是灾难性的。这一点已经在今年1月电子病历(EHR)公司Allscripts系统宕机事件中得到了充分体现。该攻击感染了2个数据中心,让很多应用掉线,影响了数千家Allscripts公司的医疗服务提供商客户。
2. 患者数据被盗
对网络罪犯来说,医疗数据可能比金融数据更值钱。趋势科技发布的《医疗行业面临的网络犯罪及其他威胁》报告称,暗网上被盗医保卡每张至少卖1美元,医疗信息资料的价格每份5美元起。
黑客可利用医保卡和其他医疗数据获取驾照之类政府证明文件,而后者在暗网上的售价大约为170美元。从死亡人口的全套PHI和其他身份数据创建的完整可用身份,则可卖到1000美元高价。相比之下,暗网上信用卡号才卖几美分,白菜价都比这贵。
医疗记录远比信用卡数据卖得贵,是因为可以从医疗记录中一次性获取很多信息,包括金融信息和关键背景资料,基本上包含了身份盗窃所需的一切信息。
网络罪犯在盗取医疗数据上可谓花招迭出。伪勒索软件就是案例之一。这是看起来很像勒索软件,但其实并不具备勒索软件锁定功能的恶意软件。在勒索软件的外衣伪装下,此类软件干的是盗取医疗记录或散播其他间谍软件以备后用的活儿。
正如下一节要介绍的,医疗行业内部人威胁干的也是盗取患者数据的勾当。
3. 内部人威胁
威瑞森最近发布的《受保护健康信息泄露报告》表明,受访医疗提供商遭遇的数据泄露中,有57.5%都是内部人导致的,只有42%是外部攻击者所为。内部人泄露数据的动机有48%是求财。外部攻击者对医疗数据下手就几乎都是为了钱了——求财动机占了90%。
很大一部分内部人数据泄露都是出于好玩或好奇心,主要是查询工作职责以外的数据,比如名人PHI等。此外,间谍和出于怨恨的报复也在动机之列。患者在医疗系统中停留期间,无论是门诊还是住院,都有很多人需要接触到他们的医疗记录。因此,医疗提供商倾向于采用宽松的访问控制。毕竟,想要给患者提供医疗救助,就得很快获悉患者数据。医疗机构的普通员工能够访问大量数据也就不足为奇了。
医疗机构里为数众多的不同系统也是引发数据泄露的因素之一。这些系统不仅仅包含收费和挂号系统,还有妇产科、肿瘤科、诊断学专用系统和其他临床系统。
从窃取患者数据用于身份盗窃到医疗身份盗窃欺诈骗局都是金钱惹的祸。这都成了医疗信息黑产的常规操作了。人们利用医疗信息修改自己或朋友和家人的账单,要么就用来开具鸦片类药物或其他管制药物的处方。这些处方可是能卖大钱的。
纵观鸦片类药物危机,这基本上就是医疗行业员工在系统内用鸦片类药物处方开具权牟利的景象。鸦片危机的最新信息点正在于此。医疗行业员工意识到了鸦片类药物的价值,要么自己上瘾,要么利用手中职权开处方牟利。
医疗行业内部人盗取患者数据牟利的一个典型例子就是 Memorial Healthcare Systems。该公司去年因2名员工盗取了11.5万名患者的PHI而支付了550万美元的HIPPA违规和解金。这次数据泄露让 Memorial Healthcare Systems 彻底改变了其隐私与安全态势,以防止未来的内部人威胁和其他威胁。
4. 网络钓鱼
网络钓鱼是攻击者侵入目标系统的主流方法。利用网络钓鱼,攻击者可以在目标系统上安装勒索软件、加密货币挖矿脚本、间谍软件或数据盗取代码。
有人认为医疗行业更易被网络钓鱼钓中,但调查数据显示的结果并非如此。KnowBe4做的一项研究表明,在面对网络钓鱼的中招率上,医疗行业与大多数其他行业基本持平。员工规模在250到1000人的医疗机构,如果没有接受安全意识培训,沦为网络钓鱼受害者的概率是27.85%,而所有行业的平均中招率是27%。
人们或许会觉得,医疗行业的无私性,医疗从业者面对生死攸关情况时感受到的紧迫性,会让他们从心理上更易于点击那些钓鱼邮件。但调查数据并不支持该感性结论。
医疗机构的规模在抗网络钓鱼上有一定作用。调查显示,1000人以上规模的医疗机构沦为网络钓鱼受害者的平均概率是25.6%。这是因为这种规模的机构通常会做员工安全意识培训,而且由于必须整合各类系统以遵从严格的监管规定而在操作运营上会更复杂些。
5. 加密劫持
当前,所有行业几乎都面临计算机系统被悄悄劫持来做加密货币挖矿的问题。医疗行业的系统必须随时处于运行状态,因而成为了相当诱人的加密劫持目标。系统持续运行时间越长,网络罪犯就能挖到更多加密货币。而在医院里,即便怀疑系统已被劫持来挖矿,也不能马上断电。网络罪犯就是看中这一点,才特别喜欢针对医院的系统下手。
这还是假设医疗提供商能够检测到加密货币挖矿操作的情况下。加密货币挖矿代码不会损坏系统,但会消耗大量的计算资源。最有可能识别出系统被劫持挖矿的情况,就是系统变慢,CPU使用率激增。但有些加密劫持者会限制挖矿所用计算资源,减小被检测到的风险。很多医疗机构并未安排IT或安全人员检测和缓解此类加密货币挖矿攻击。
最小化医疗行业安全威胁的几条建议:
关键系统勤更新
没打补丁的老旧系统仍然嵌在关键设备中被继续使用,这就给勒索软件留下了巨大的切入口。但更新这些系统又十分困难,因为更新过程可能会中断关键系统或损伤供应商继续支持这些系统的能力。
某些情况下,甚至已知漏洞都没有补丁可用。这种时候不妨给供应商施压,让他们尽快推出修复补丁或更新系统。对供应商要更激进一些,作为一个行业持续对其施压,责问他们为什么系统还没有更新。
员工培训
调查表明,医疗行业员工的防网络钓鱼培训接受率是比较低的。很多医疗机构的规模都比较小,员工数量不到1000人,这可能是没有设置安全意识培训项目的原因之一。安全意识培训不仅仅是告诉员工什么是正确的做法,而是要创建可以训练员工不去点击网络钓鱼链接的行为条件培训项目。
该项目应能通过发送模拟钓鱼邮件并针对员工行为作出反馈来培养员工安全意识。点击了钓鱼链接的员工会立即收到有关自己错误行为的反馈,反馈中还附带如何在未来正确动作的指导。这样的培训项目才会对员工安全意识产生显著影响。
只要不断培训,医疗机构员工的安全意识就会提高。研究显示,经过1年的防网络钓鱼培训和测试,250-999员工规模的医疗机构网络钓鱼上钩率就从27.85%之多降到了只有1.65%。
重视员工信息安全
网络钓鱼攻击越个性化,目标中招率越高。鱼叉式网络钓鱼攻击中,攻击者会先尽可能多地收集目标的个人信息。如果工作之外的交流泄露了可以联系的人的姓名,攻击者就会用这些名字和关系链建立起与目标的信任关系,更有针对性地诱使目标点击钓鱼链接。
提高防御和响应威胁的能力
医疗提供商缺乏恰当的安全事件调查能力,无法很好地记录并评估安全事件伤害,不能充分取证以配合司法调查,是医疗行业安全中最令人忧虑的一点。除此之外,医疗机构往往还缺乏能够完全修复安全问题的员工。所以,最好招聘具备安全事件调查和处理能力的员工,或者与具备相应能力的提供商合作。董事会和高管应将安全问题列为头等大事,设置专职的CISO不失为一个好办法。
小型医疗提供商或许不具备聘用CISO的资源,但仍然要重视安全。可以在接触顶级安全专业人士方面多下功夫,通过合作或托管安全服务来获得专业人士的帮助。患者应享有安全保障,无论是通过合作还是通过招聘专业安全人员,医疗机构都必须保证患者的安全。
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。