美国医疗行业是行业黑客的金矿。对那些实施攻击的人来说,“征用”医疗系统已经成为一项稳定而有利可图的工作。虽然数年来遭遇多起数据泄露事件,但行业内的回应力度仍然不足,不少人甚至毫无危机意识。
美国卫生与公众服务部(HHS)终于介入此事。该机构今年成立了一个新的网络安全部门,专门帮助医疗行业打击网络犯罪分子。这个名为卫生机构网络安全协调中心(HC3)的部门在帮助遏制网络攻击方面还有漫长的征途。
医疗保健的网络安全危机在2015年达到顶峰,当时1.43亿份记录被曝出泄露,使其成为当年美国受创最严重的(私营)行业。自2015年以来,医疗行业的领导者增加了网络安全保护力度,数据泄露事件也随之减少。
不幸的是,悲剧并未就此结束。随着大规模入侵的减少,有针对性的勒索软件攻击取代了它们。2016年1月,Titus区域医疗中心(位于德克萨斯州芒特普莱森特)的电子健康记录(EHR)和患者数据因勒索软件攻击而完全无法访问。黑客对医疗记录进行加密,并要求支付比特币赎金来恢复这些记录。在接下来的几个星期里,医生和护士们用纸质表格进行护理。
仅仅两周后,同样的故事在洛杉矶的好莱坞长老会医疗中心上演。黑客要求超过300万美元的比特币来恢复对加密病人数据的访问。当时,联邦调查局(FBI)负责网络和反情报工作的助理特工Joseph Bonavolonta说,“最简单的办法可能就是支付赎金。”这些罪犯因此获取了大量非法收入。
赎金软件攻击此后仍然逐年增长。2018年,一场勒索软件攻击摧毁了基于云计算的EHR供应商Allscripts,将1500多家供应商的患者记录系统因而被封锁整整一周。
最近的一项研究发现,从2017年到2018年,医疗行业的勒索软件攻击增长了3倍。新的HHS部门HC3将试图扭转这些趋势。为此,需要解决一系列广泛的问题。HC3在这方面遇到了阻力,主要原因是:
- 医疗保健是一个容易瞄准的目标。一份2018年的国家医疗防范审计发现,只有45%的企业遵循NIST的网络安全框架。此外,超过一半的联网医疗设备被认为存在安全隐患。Forrester即将发布的医疗设备网络安全报告对这些令人担忧的趋势进行了更深入的探讨。网络安全工作的落实仍然跟不上技术应用的步伐。
- 医疗保健是一个有利可图的目标。医疗记录数据在暗网上的售价远远高于正常财务数据。医疗记录可以用来支持保险和税务欺诈,而这两种行为可以在更长时间内不被发现,并为网络罪犯带来更多收入。
这并不是政府首次试图组织应对这些针对医疗基础设施的攻击。事实上,2016年,卫生与公众服务部成立了一个独立的部门,专注于同一重心。然而部门刚运作不久,就因道德调查问题陷入困境,导致领导人辞职,组织工作也不了了之。
声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。