卫生行业所做工作的关键性质使他们成为攻击者的目标。以下是健康行业明年将面临的六种主要安全威胁。
现在,消费者更加担心由于诸如Anthem和Allscripts之类的知名违规行为,其受保护的健康信息(PHI)受到损害。 2019年最新的RSA数据安全和隐私调查向欧洲和美国的近6,400位消费者询问了他们的数据安全性。根据调查,有61%的受访者担心他们的医疗数据被泄露。
他们有充分的理由担心。卫生行业仍然是黑客的主要目标,并且内部也存在重大的风险威胁。
为什么健康产业成为黑客的目标?
与医疗相关的组织通常具有使其成为攻击者有吸引力的目标的属性。一个关键的原因是,有许多不同的系统没有得到定期审查。 KnowBe4的首席宣传官兼战略官Perry Carpenter表示:其中一些是集成系统,由于制造商创建它们的方式,它们不容易打补丁。如果医疗保健IT部门希望执行此操作,则将由于提供者支持他们的方式而引起重大问题。
卫生行业所做工作的关键性质使他们成为攻击者的目标。在网络犯罪领域,健康数据是宝贵的资产,因此它是盗窃的目标。由于患者健康,医疗机构更有可能支付勒索软件赎金。
以下是健康行业明年将面临的六种主要安全威胁。
勒索软件
根据Verizon 2019数据泄露调查报告,勒索软件攻击连续第二年占2019年医疗保健行业所有恶意软件事件的70%以上。 Radware的另一份报告《信任因子》(信任因素)显示,只有39%的医疗保健组织认为他们已经为防范勒索软件攻击做好了充分准备。
明年,勒索软件攻击将继续存在。 Carpenter说:(勒索软件)将继续获得越来越多的动力,然后才能充分改善员工和系统的安全性。他们将继续指向点击或下载内容的人。
原因很简单:黑客认为,他们的勒索软件攻击更有可能成功,因为如果医院,医疗机构和其他卫生组织无法访问患者记录,他们就无法破坏患者记录。他们将被迫立即采取措施支付赎金,而无法长期恢复备份。“医疗也是一种业务,但医疗也涉及人们的生活。在任何时候,如果您的业务涉及人们生活中最私人和最重要的部分,并且您对这应该立即完成。反应:这对于实施勒索软件的网络罪犯非常有用。
当医疗机构无法迅速恢复时,勒索软件的后果将是灾难性的。当电子健康记录(EHR)公司的所有健康状况在一月份由于勒索软件攻击而关闭时,这一点就显而易见。这次攻击感染了两个数据中心,导致许多应用程序断开连接,影响了为公司服务的数千名医疗保健客户。
2.窃取患者数据
对于网络罪犯,医疗数据可能比财务数据更有价值。根据趋势科技的网络犯罪和对医疗保健行业的其他威胁,被盗的医疗保险标识在黑市上的定价至少为1美元,在医疗档案中的定价为5美元。
黑客可以使用身份证和其他医疗信息来获取政府文件,例如驾照。根据趋势科技的说法,驾驶执照的价格约为170美元。一个完整制造的身份(由完整的PHI和其他死者的身份数据组成的身份)可以1,000美元的价格出售。相比之下,信用卡号在黑市上只卖几美分。
根据Carpenter的说法,病历比信用卡数据更有价值,因为病历将大量信息集中在一个地方,包括财务信息和关键的个人背景数据。身份盗用所需的一切都在那里。
罪犯在窃取健康数据方面变得越来越猖ramp。伪勒索软件就是一个例子。这是一种类似于勒索软件的恶意软件,但不具有勒索软件的恶意功能,不会在后台窃取病历或在系统中横向移动,安装其他间谍软件或恶意软件。该软件将使罪犯受益。
如下一节所述,医疗行业的人们也正在窃取患者数据。
3.内部威胁
根据Verizon健康信息保护披露报告,接受调查的卫生保健提供者中有59%是专家。在83%的情况下,其动机与经济利益有关。
内部泄密的动机很大一部分是出于娱乐或好奇心,例如在您的工作职责之外访问数据——,例如,咨询名人的PHI。间谍和报复也是原因之一。 Fairwarning的首席执行官Kurt Long说,住院期间有数十个人可以访问病历,这就是为什么医疗提供者通常会建立灵活的访问控制的原因。普通员工可以访问大量数据,因为他们需要快速获取数据来照顾患者。医疗机构中不同系统的数量也是一个因素。 Long说,这不仅包括付款和注册,还包括妇产科,肿瘤学,诊断和其他临床系统的专用系统。
“从身份验证盗窃或医疗身份盗用欺诈计划的患者数据中,所有东西都可以用来交易。这已成为该行业的规范。人们为自己,朋友,家庭成员或正在转换阿片类药物或处方药:他们得到处方,然后出售以获取利润。
当观察到整个阿片类药物危机时,可以说医务人员正坐在该系统规定的处方阿片类药物的金矿中。这是对阿片类药物危机的最后一次测试。卫生工作者认识到自己的价值,可以沉迷于他们,或者利用自己的权利(处方)获取经济利益。
Long指出,从窃取患者数据中受益的内部人信息的公开示例来自Memorial Healthcare Systems。去年,为解决内部违规行为,该公司支付了550万美元的HIPAA协议。在这种情况下,两名员工访问了超过115,000名患者的PHI。这次入侵彻底改变了纪念馆对隐私和安全的态度,从而避免了内部人员和其他人未来的威胁。
4.网络钓鱼
网络钓鱼是攻击者进入系统的最常见方法。它可以用于安装勒索软件,挖掘脚本,间谍软件或代码以窃取数据。
有人认为医疗行业更容易受到网络钓鱼的侵害,但数据表明事实并非如此。 KnowBe4的一项研究表明,就网络钓鱼攻击而言,医疗行业可与大多数其他行业媲美。在拥有250至1000名员工的医疗机构中,如果他们没有接受安全培训,则他们有27.85%的可能性成为网络钓鱼的受害者,而该行业的平均概率为27%。
卡彭特说,他可能认为利他主义,生死攸关,可以通过单击某些东西使人们(卫生工作者)在心理上受到更大的影响,但数据并不能证明这一点。
员工人数在很大程度上取决于网络钓鱼的可能性。根据KnowBe4的统计,在拥有1000名员工的医疗机构中,平均有25.6%的网络钓鱼行为。
Carpenter发现,在拥有1000多名员工的公司中,大多数人接受了更多培训,并且操作更为复杂,因为他们必须使用不同的系统来遵守严格的法规。5.劫持加密货币
采矿的秘密绑架系统在所有行业中都是一个日益严重的问题。保健行业中使用的系统对于矿工来说是一个有吸引力的目标,因为维持这些系统的运行至关重要。系统运行时间越长,犯罪分子越有可能从挖掘加密货币中受益。卡彭特说,在医院里,他们可能并不急于断开这些机器的连接(如果怀疑有加密货币),机器运行(感染)的时间越长,越多的罪犯将受益。
这意味着健康行业的专业人员可以检测到加密货币的绑架。挖掘劫持代码不会损坏系统,但是会消耗大量计算能力。当系统和生产率降低时,人们更有可能找到它们。一些矿工将限制其代码,以降低被发现的风险。许多医疗机构没有IT或安全人员来识别和响应这种加密货币劫持攻击。
6.侵入式物联网设备
多年来,医疗设备的安全性一直是健康领域中的热门话题,并且许多连接的医疗设备都容易受到攻击。问题的症结在于,许多医疗设备在设计时都没有考虑网络安全性。对于补丁程序,补丁程序通常仅提供有限的保护。
根据2019年初的爱迪德全球互联网行业网络安全调查,有82%的医疗保健组织表示在过去的12个月中,他们经历了针对物联网设备的网络攻击。这些攻击的平均财务影响为346205美元。这些攻击最常见的影响是企业的业务中断(47%),其次是客户数据泄露(42%)和最终用户安全缺陷(31%)。
在制造商开始制造更安全的设备之前,医疗保健行业中易碎的医疗设备和其他连接的设备继续构成风险。但是用更新和更安全的模型替换旧模型需要花费数年的时间。
减少医疗安全风险的一些建议。
加强关键系统的维护和更新。将没有补丁的旧系统集成为关键设备的事实使这些系统非常容易受到勒索软件的攻击。这可能很困难,因为维护过程可能会损坏关键系统或影响提供商的系统支持能力。
在某些情况下,没有适用于已知漏洞的补丁程序。 Carpenter建议在没有或无法修复或更新系统的情况下向供应商施压,与供应商保持紧密联系,询问他们为什么不更新或不更新,并从行业角度进行压制。
培训员工根据KnowBe4的说法,卫生行业在培训员工识别网络钓鱼尝试方面的水平低于平均水平。许多医疗机构较小,有33,354个机构,雇员不到1000名,这可能是一个原因。 Carpenter说,这不仅是要告诉他们应该怎么做,而且还涉及建立有条件的行为项目并对其进行培训,以使他们不必单击网络钓鱼链接。该项目将向员工发送模拟网络钓鱼电子邮件。单击这些链接的员工将立即收到关于他们所做的事情以及将来他们将如何做正确的事情的评论。这样的项目会产生很大的影响。
如果继续培训,培训会产生效果。 KnowBe4研究表明,经过一年的培训和网络钓鱼测试,拥有250至999名员工的医疗机构可以将网络钓鱼的可能性从27.85%降低到1.65%。
注意员工信息。网络钓鱼攻击越个性化,成功的机会就越大。在网络钓鱼攻击中,攻击者试图尽可能多地了解目标本身。 Carpenter说,如果“不在办公室”的响应给出了可以联系的人的名字,则攻击者可以通过这些列表和关系建立信任。
增强防御和应对威胁的能力。 Long说,(为了医疗安全)自己最大的担忧之一是医务人员在发现事件后无法进行适当的调查,没有记录和评估事件的能力,也无法执行测试。足以匹配执法或法律行动。医疗机构也缺乏可以完全修复的人员,有了这些人员,这种情况就不会再发生了。他的建议是从员工或合作伙伴那里获得经验。安全必须是董事会和管理部门的首要任务。确定安全优先级之后的第一步是确保您拥有具有相关经验的专职CISO。
上海IT外包服务网 链接:http://www.linemore.com
中文
电话咨询
微信咨询
公众号
