2020年医疗行业面临的6大安全威胁
|
秘密劫持系统进行挖矿,在所有行业都是一个日益严重的问题。医疗保健行业使用的系统对于挖矿者是一个很诱人的目标,因为保持这些系统的运行至关重要。系统运行的时间越长,犯罪分子就越有可能通过挖掘加密货币获利。Carpenter说道,在医院里,他们可能不会急于拔掉这些机器的插头(如果怀疑有加密货币劫持行为),(受感染的)机器运行的时间越长,犯罪分子就受益越多。 这是假设医疗保健行业从业人员能够检测到加密货币劫持行为。挖矿劫持代码不会危害系统,但会消耗大量的计算能力。人们最有可能在系统和生产力降低时发现它们。一些挖矿人会限制他们的代码来降低被检测到的风险。很多医疗机构没有IT或安全人员来识别和应对这种加密货币劫持攻击。 6. 入侵物联网设备 医疗设备安全多年来一直是医疗保健领域的一个热点问题,很多联网的医疗设备都很容易受到攻击。问题的关键在于很多医疗设备的设计并没有考虑到网络安全问题。在能打补丁的情况下,补丁通常也只能提供有限的保护。 根据 2019 年初爱迪德 (Irdeto) 全球互联产业网络安全调查报告,82% 的医疗机构表示他们在过去 12 个月里经历过针对物联网设备的网络攻击。这些攻击造成的平均财务影响为 346,205 美元。这些攻击造成的最常见影响是业务下线 (47%),其次是客户数据泄露 (42%)和终端用户安全受损 (31%)。 在制造商开始制造更安全的设备之前,医疗保健行业脆弱的医疗和其他联网设备将持续带来风险。但更新、更安全的型号要取代旧型号设备还需要数年的时间。 降低医疗安全风险的一些建议 加强对关键系统的维护和更新工作。那些老旧的未打补丁的系统作为关键设备被嵌入其中,这一事实导致这些系统非常容易受到勒索软件的影响。这可能很困难,因为维护过程可能会破坏关键系统或使供应商支持系统的能力受损。 在某些情况下,对于已知的漏洞没有可用的补丁。Carpenter 建议在供应商没有或不能修复或更新系统的情况下对他们施加压力,对供应商强势一些,问问他们为什么这些系统不能或没有更新,并从行业角度施加压力。 对员工进行培训。根据 KnowBe4 的研究,在培训员工识别网络钓鱼企图方面,医疗保健行业低于平均水平。很多医疗机构规模都很小——不到 1000 名员工,这可能是一个原因。Carpenter表示,不仅仅是告诉他们应该做什么,是要建立一个行为条件项目,训练他们不要点击钓鱼链接。 这个项目会给员工发送模拟的钓鱼邮件。点击这些链接的员工会立即收到反馈,告诉他们自己做了什么以及他们在未来如何去做正确的事情。这样的项目可以产生巨大的影响。 如果能够持续进行培训,培训会产生效果。KnowBe4 的研究表明,拥有 250 到 999 名员工的医疗机构在经过一年的网络钓鱼培训和测试后,被网络钓鱼的可能性可以从 27.85% 下降到 1.65%。 注意员工信息。网络钓鱼攻击越个性化,成功的机会就越大。在鱼叉式钓鱼攻击中,攻击者试图尽可能多地了解目标本身。Carpenter说道,如果 “不在办公室” 的回复给出了可以联系的人的名字,(攻击者)可以通过这些名单和关系来建立信任。 加强防御和应对威胁的能力。Long说道,自己(对医疗安全)最担心的一件事是,医护人员没有能力在发现事件以后对其进行适当的调查,没有能力对事件进行记录和评估,也无法进行充分的取证,以配合执法或法律行动。医疗机构也缺少能够进行彻底修复的工作人员,有了这些工作人员这种情况就不会再发生了。他的建议是:从员工或合作伙伴那里获得专业知识。并且安全性需要成为董事会和管理层的优先考虑的事项,确定安全优先级后的第一步是确保你有一位具有相关经验的专职 CISO。 Long 表示规模较小的医疗服务提供商可能没有资源雇佣 CISO,但他们仍然需要优先考虑安全性。他们可能需要在如何获得一流的安全专业知识方面更具有创造性。可能是通过合作关系或托管安全服务,但没有方案能够替代直接走上前说,“我的病人的安全需要得到保障,我必须进行合作,或在这里找到合适的安全专业人员。”
【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】 戳这里,看该作者更多好文
(编辑:核心网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
