2020年的6大医疗安全威胁

由于Anthem和Allscripts等备受瞩目的违规行为，消费者现在更担心他们受保护的健康信息(PHI)会受到损害。最近的2019年RSA数据隐私与安全调查询问了欧洲和美国近6400名消费者对其数据安全的看法。调查显示，61%的受访者担心他们的医疗数据被泄露。

他们有充分的理由对此表示担心。医疗保健行业仍然是黑客的主要目标，并且内部威胁也有很大的风险。

为什么医疗保健行业是黑客的目标

医疗保健组织往往有一些特殊的属性，使其成为了攻击者的诱人目标。一个关键原因是大量的没有定期修补的不同系统。“其中一些是嵌入式系统，由于制造商创建它们的方式，这些系统无法被轻松地修补。”“如果医疗保健的IT部门选择这样做，将会给供应商支持他们的方式带来重大问题。”KnowBe4的首席布道师兼战略官Perry Carpenter说。

医疗保健机构所做事情的关键性质也使他们容易成为攻击者的目标。健康数据在网络犯罪世界中是一种有价值的商品，这自然而然的使它成为了盗窃的目标。因为事关重大--涉及到病人的福祉--医疗保健机构也更有可能支付赎金要求。

下面是未来一年中6个最大的医疗安全威胁。

1. 勒索软件

根据Verizon 2019年的数据泄露调查报告，勒索软件攻击已连续第二年占据了2019年医疗行业所有恶意软件事件的70%以上。另一项调查，Radware的信任因素报告显示，只有39%的医疗机构认为自己对勒索软件攻击准备得非常充分或极其充分。

没有理由相信勒索软件攻击将会在明年逐渐消失。“在我们充分强化我们的员工和系统之前，勒索软件将继续被证明是成功的，并获得更多的动力。他们将继续使用的载体是点击某个东西或下载某个东西的人。”Carpenter说。

原因很简单：黑客认为他们的勒索软件攻击非常有可能成功，因为医院和医疗机构如果无法访问患者记录，就会危及生命。他们会感到压力被迫立即采取行动和支付赎金，而不是经历漫长的备份恢复过程。

“医疗保健是一项事业，并且与人们的生活息息相关。”Carpenter说。“任何时候，当你的企业与人们生活中最私人、最重要的部分交织在一起，并可能对其造成威胁时，你都需要立即做出反应。这对部署勒索软件的网络罪犯来说非常有效。”

当医疗保健组织无法迅速恢复时，勒索软件的影响可能是毁灭性的。当电子健康记录(EHR)公司Allscripts在一月份因一次恶意软件攻击而关闭时，这一点就被戏剧性地提出来了。该攻击感染了两个数据中心，并导致许多应用程序离线，影响了数以千计的医疗保健提供商客户。

2. 窃取患者数据

对网络罪犯来说，医疗保健数据可能比财务数据更有价值。根据趋势科技的网络犯罪和医疗行业报告中所提到的其他威胁，被盗的医疗保险身份证在暗网上至少可以卖1美元，而医疗档案的起价为5美元。

黑客可以使用身份证和其他医疗数据中的数据来获取政府文件，如驾驶执照，根据趋势科技的报告，这些文件的售价约为170美元。一个完整的农场身份--一个由完整的PHI和死者的其他身份数据创建的身份--可以卖到1000美元。相比之下，信用卡号码在黑网上只能够卖到几便士。

Carpenter说：“医疗记录之所以比信用卡数据更有价值，是因为它们在一个地方聚集了大量信息。”包括个人的财务信息和关键的背景数据。“身份盗窃所需的一切都在那里。”

罪犯在如何窃取健康数据方面变得越来越狡猾了。伪勒索软件就是一个例子。“看起来像勒索软件的恶意软件，但其实并没有做勒索软件所做的所有邪恶的事情，”Carpenter说。“在其掩盖下，它窃取医疗记录或在系统间横向移动，安装其他间谍软件或恶意软件，这些软件或恶意软件将在以后对罪犯有利。”

正如下一节所解释的，医疗保健行业的业内人士也在窃取患者数据。

3. 内部威胁

根据Verizon的防止健康信息数据泄露报告，59%被调查的医疗服务提供商的数据泄露事件的行动者是内部人员。在83%的情况下，经济收益是其主要动机。

很大一部分内部违规行为是出于乐趣或好奇心，主要是访问他们工作职责之外的数据--比如查阅名人的个人信息。间谍活动和积怨也是动机之一。“在病人留在医疗系统中的过程中，有几十个人可以获得其医疗记录，”Fairwarning公司的首席执行官Kurt Long说。“正因为如此，医疗保健提供商往往也有着松散的访问控制。普通员工可以访问大量数据，因为他们需要快速获取数据来照顾他人。”

医疗机构中不同系统的数量也是因素之一。这不仅包括计费和注册部门，还包括了专门用于妇产科、肿瘤学、诊断和其他的临床系统，Long说。

“从窃取病人数据到用于身份盗窃或医疗身份盗窃的欺诈计划，都可以获得财务上的回报。这已经成为了该行业的一个常规部分了，”Long说。“人们正在为自己或朋友或家人改变账单，或者进行阿片类药物的转移或处方转移。他们可以获取处方并出售它们以获取利润。”

“当你从总体上看阿片类药物的危机时，这就是对医疗保健环境的直接解释，在医疗保健环境中，医护人员正坐在系统中阿片类药物的金矿上面，”Long说。“这是阿片类药物整体危机的最新数据。医护人员认识到了它们的价值，他们可能会沉迷于它们，或者利用他们获得的处方来获得经济利益。”

Long指出，内部人士从窃取的患者数据中获利的一个公开例子就是Memorial医疗系统的案例。去年，该公司支付了550万美元的HIPAA和解金，以了结一项内部违规行为，即两名员工访问了超过11.5万名患者的PHI。这一违规行为导致Memorial医疗系统彻底改变了其隐私和安全姿态，以帮助防范未来的内部人员和其他威胁。

4. 网络钓鱼

网络钓鱼是攻击者获取系统入口最常用的手段。它可用于安装勒索软件、加密脚本、间谍软件以及窃取数据的代码。

一些人认为医疗保健更容易受到网络钓鱼的攻击，但数据显示的情况并非如此。KnowBe4的一项研究表明，在遭受钓鱼攻击方面，医疗保健行业与大多数其他行业不相上下。一家拥有250到1000名员工的医疗机构，在没有接受过安全意识培训的情况下，遭受网络钓鱼攻击的几率为27.85%，而所有行业的平均几率为27%。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!