刚过完年回来,国内几家医院遭遇黑客攻击引发了大量的关注,对于医疗机构安全的担忧,早就已经不是新鲜事。这不只是国内的现状,放眼全球,医疗保健机构依然是勒索软件、数据盗窃、网络钓鱼以及内部威胁的重点目标。

RSA近期发布的《数据隐私报告》调查了欧洲和美国的7500名消费者。59%的受访者担心他们的医疗数据受到损害,39%的人担心黑客会篡改他们的医疗信息。

他们的确有理由担心,医疗保健行业除了面临黑客的针对之外,内部威胁也让其存在重大风险。

为什么医疗保健行业成为黑客的目标?

医疗机构往往具备一些属性,使其对于攻击者来说非常有吸引力。一个关键原因在于不同系统的数量,并且没有定期打补丁。KnowBe4的首席传播者和战略官员Perry Carpenter说:“其中一些是嵌入式系统,取决于制造商创建的方式,并不是那么容易修复。如果医疗机构的IT部门”

医疗机构往往具备一些属性,使其成为攻击者的有吸引力的目标。一个关键原因是不定期打补丁的不同系统的数量。“其中一些是嵌入式系统,由于制造商创建它们的方式,不能很容易地进行修补。如果医疗机构IT部门处理不当,将会给提供支持的供应商带来麻烦。”

健康数据在网络犯罪世界中是一种有价值的商品,并且使其成为盗窃的目标,医疗机构的这种关键属性使其处于攻击者的视线之下。由于受到威胁的是病人的健康,医疗机构更有可能支付勒索软件的需求。

接下来是今年医疗机构可能遭遇的五大安全威胁。

1.勒索软件

根据2017年的CryptoniteNXT医疗保健网络研究报告,医疗机构十大安全事故中,有六起是勒索软件攻击导致。报告指出,重大勒索软件攻击(影响超过500名患者)的总数从2016年的19起增加至2017年的36起。

没有理由相信勒索软件攻击今年将会停止。“在我们充分强化我们的员工防范意识和系统安全性之前,勒索软件将继续取得成功并获得更多满足。他们将继续利用使用者的疏忽,诱骗他们点击某个东西或下载某些东西”,Carpenter说。

原因很简单:黑客认为他们的勒索软件攻击更有可能成功,因为医院、医疗机构和其他卫生组织如果无法访问患者记录,就会将无数生命置于危险之中。他们将不得不立即采取行动并支付赎金,而不是经历从备份中恢复数据那样漫长的过程。

“医疗保健是一项业务,但医疗保健也涉及人们的生活”,Carpenter说。“任何时候,如果你的业务与人们生活中最私人和最重要的部分相交叉,并且对此构成威胁,则需要立即作出反应。这对于部署勒索软件的网络犯罪分子来说,是一个非常值得利用的弱点。”

当医疗机构无法迅速恢复正常时,勒索软件的影响可能是毁灭性的。当电子病历(EHR)公司Allscripts在1月份因勒索软件攻击而关闭时,这一点非常明显。这次攻击感染了两个数据中心,并使许多应用程序脱机,影响了成千上万的医疗保健提供商。

2.盗窃病人数据

对于网络犯罪分子来说,医疗保健数据可能比财务数据更有价值。根据趋势科技《医疗机构面临的网络犯罪和其他威胁报告》,被盗的医疗保险身份证在黑色网站上至少售价1美元,医疗档案价格从每个5美元起。

根据趋势科技报告,黑客可以使用身份证和其他医疗数据中的数据获取政府文件,如驾驶执照,售价约为170美元。从完整的PHI和死者身份数据中创建一个完整的身份证,能够以1,000美元的价格出售。相比之下,信用卡号码在黑暗网络上的售价则要便宜得多。

Carpenter说:“医疗记录的价值远远超过信用卡数据等,因为它们汇集了大量信息。” 这包括个人的财务信息和主要背景数据。“身份盗窃者需要的一切都在那里。”

犯罪分子窃取健康数据的手段也越来越狡猾,伪勒索软件就是一个例子。Carpenter说:“这是恶意软件,看起来像勒索软件,但是并不会做什么太具破坏性的事情。在这些外表之下,它窃取医疗记录或安装其他间谍软件或恶意软件,这些将会在以后对犯罪分子有利。”

正如下一节所解释的,医疗保健内部人员也在窃取患者数据。

3.内部威胁

根据最近发布的《受保护健康信息泄露报告》,遭遇数据泄露事故的医疗机构中,57.5%是内部人士所为。外部攻击者只有42%。财务收益是内部威胁的主要动机,达到48%。对于外部攻击者来说,90%的案例都是获得经济收益的动机。

例如,很大一部分内部人违规行为都是出于好奇心,主要是在他们的工作职责之外访问数据 – 例如查找名人的PHI。间谍活动和解决怨恨也是动机。Fairwarning首席执行官Kurt Long表示:“在患者入住医疗系统的过程中,有数十人可以获得医疗记录。“因此,医疗服务提供者往往会有宽松的访问控制。一般工作人员可以访问大量数据,因为他们需要快速获取数据以关注特定的患者。”

医疗机构中不同系统的数量也是一个因素。Long说,这不仅包括账单和注册,还包括专门用于妇产科,肿瘤科,诊断和其他临床系统的系统。

“用钱可以办成很多事情,从盗窃病人数据到身份盗窃或实施医疗身份盗窃欺诈计划。这几乎成为了该行业黑产中常规操作,“Long说。“有人为自己或朋友更改账单,或者修改鸦片类药物或处方药。他们捕获处方并将其出售以谋取利润。“

Long说:“当你总体考察鸦片类药物危机时,它已经变成为医疗机构工作者 利用职权开局鸦片类药物处方来获取利益的的常见情形。“这是阿片类药物总体危机中的最新数据点,医疗保健工作者认识到他们的价值,他们可能会沉迷于这些或使用他们获得经济利益。“

去年,Memorial Healthcare Systems公司支付了550万美元的HIPAA协议,以解决两名员工访问超过115,000名患者的PHI的内部人员违规问题。这一违规行为导致Memorial完全改变了其隐私和安全态势,以防范未来内部人士和其他威胁。

4.网络钓鱼

网络钓鱼是攻击者进入系统最常用的手段。它可以用来安装勒索软件,密码脚本,间谍软件或代码来窃取数据。

有些人认为医疗保健更容易受到网络钓鱼企图的影响,但数据显示的情况却不太一样。KnowBe4的一项研究表明,医疗保健与大多数其他行业在被网络钓鱼攻击方面一样。拥有250至1,000名员工并且未接受安全意识培训的医疗机构,有27.85%的机会成为网络钓鱼企业的受害者,而所有行业平均为27%。

Carpenter说:“从利他主义的角度来看,医疗工作者经常接触涉及患者生命安全的情况,可能更容易去点击钓鱼邮件,但从调查结果来看,似乎也并非如此。”

在应对网络钓鱼的敏感问题时,网络规模至关重要。根据KnowBe4的数据显示,拥有1,000名或以上员工的医疗机构有25.6%可能被盗用。“有1000多名员工的组织中,我们发现他们中的大多数人已经接受了相关的培训,并且在更高层次上运作,因为他们必须制定不同的系统来遵守严格的规定。”Carpenter说。

5.Cryptojacking

秘密劫持系统以窃取加密货币是所有行业都面临的难题。由于医疗机构的特殊属性,其使用的系统是非常有吸引力的目标,因为保持它们运行至关重要。系统运行时间越长,犯罪分子就越能够挖掘加密货币。“在医院环境下,即便怀疑被劫持,他们也不可能立即关闭系统,”卡彭特说。“机器运转的时间越长,它对罪犯的益处就越大。”

假设医疗保健提供者可以检测Cryptojacking。挖矿代码不会损害系统,但会消耗大量的计算能力。识别它的最可能方式是系统和生产力变慢。一些cryptojackers会减少系统占用资源,以减少检测风险。许多医疗机构没有IT或安全人员来识别和应对这种挖矿攻击。

减少医疗保健安全威胁的建议

及时修补和更新关键系统

Carpenter说:“事实摆在那里,那些老旧的、未打补丁的系统作为关键设备嵌入,本身会导致重大漏洞,恶意软件势必会尽量利用。但更新系统也并不容易,因为修补过程可能会破坏关键系统或损害供应商支持系统的能力。

在某些情况下,没有可用于已知漏洞的修补程序。Carpenter建议在供应商没有或不能修补或更新系统的情况下向供应商施压。“对供应商采取积极的态度,并问为什么这些系统不能或没有得到更新,并保持作为一个行业的压力。”

培训员工

根据KnowBe4的研究,医疗保健服务的平均值低于培训员工识别网络钓鱼企图的平均值。许多医疗保健机构都很小 (少于1000名员工),这可能是一个因素。“这不仅仅是告诉他们什么正确的事情该做,而是培养一种安全意识,能够分辨并意识到不去点击钓鱼链接。”卡彭特说。

该计划意味着发送模拟网络钓鱼电子邮件。点击链接的员工应该立即获得反馈,要了解他们做了什么以及他们将来如何做正确事情,这样的培训计划可以产生巨大的影响。

KnowBe4的研究表明,250到999名员工的医疗机构在一年的网络钓鱼训练和测试后,其网络钓鱼敏感度可从27.85%下降到1.65%。

小心有关员工的信息

网络钓鱼攻击越个性化,它的成功机会就越大。在鱼叉式网络钓鱼攻击中,攻击者试图尽可能多地了解目标个人。Carpenter说:“如果在办公室之外的场合不小心透露了相关的员工信息,攻击者可以通过使用这些名称和关系链来建立信任。”

增强抵御和应对威胁的能力

“让我感到担忧的是,大部分医疗机构在事故发生之后,缺乏适当调查的能力,记录事件和评估伤害的能力。他们也缺乏安全补救的人员,以免再次发生这种情况,”Long说。他的建议是:“通过合作伙伴或合作伙伴获得正确的专业知识。”他补充说,安全需要成为董事会和高管层的优先考虑事项。“确定安全优先级后的第一步是,确保您拥有一个具有适用经验的专用CISO。”

Long说,较小的医疗服务提供商可能没有资源聘用CISO,但他们仍需要优先考虑安全性。“他们可能需要通过其他途径获得一流的安全专业知识。这可能是通过合作伙伴或托管安全服务,并能够深刻意识到’我的病人应该得到安全,我必须致力于合作或让合适的安全人员来到这里。”

*参考来源:CSOonline,由Andy编译

声明:本文来自FreeBuf,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。