醫療機構頻遭黑客攻擊，2018年還將面臨五大安全威脅

剛過完年回來，國內幾家醫院遭遇黑客攻擊引發了大量的關注，對於醫療機構安全的擔憂，早就已經不是新鮮事。這不只是國內的現狀，放眼全球，醫療保健機構依然是勒索軟體、數據盜竊、網路釣魚以及內部威脅的重點目標。

RSA近期發布的

《數據隱私報告》調查了歐洲和美國的7500名消費者。59％的受訪者擔心他們的醫療數據受到損害，39％的人擔心黑客會篡改他們的醫療信息。

他們的確有理由擔心，醫療保健行業除了面臨黑客的針對之外，內部威脅也讓其存在重大風險。

為什麼醫療保健行業成為黑客的目標？

醫療機構往往具備一些屬性，使其對於攻擊者來說非常有吸引力。一個關鍵原因在於不同系統的數量，並且沒有定期打補丁。KnowBe4的首席傳播者和戰略官員Perry Carpenter說：「其中一些是嵌入式系統，取決於製造商創建的方式，並不是那麼容易修復。如果醫療機構的IT部門」

醫療機構往往具備一些屬性，使其成為攻擊者的有吸引力的目標。一個關鍵原因是不定期打補丁的不同系統的數量。「其中一些是嵌入式系統，由於製造商創建它們的方式，不能很容易地進行修補。如果醫療機構IT部門處理不當，將會給提供支持的供應商帶來麻煩。」

健康數據在網路犯罪世界中是一種有價值的商品，並且使其成為盜竊的目標，

醫療機構的這種關鍵屬性使其處於攻擊者的視線之下。由於受到威脅的是病人的健康，醫療機構更有可能支付勒索軟體的需求。

接下來是今年

醫療機構可能遭遇

的五大安全威脅。

1.勒索軟體

根據2017年的CryptoniteNXT醫療保健網路研究報告，醫療機構十大安全事故中，有六起是勒索軟體攻擊導致。報告指出，重大勒索軟體攻擊（影響超過500名患者）的總數從

2016年的

19起增加至2017年的36起。

沒有理由相信勒索軟體攻擊今年將會停止。「在我們充分強化我們的員工防範意識和系統安全性之前，勒索軟體將繼續取得成功並獲得更多滿足。他們將繼續利用使用者的疏忽，誘騙他們點擊某個東西或下載某些東西」，Carpenter說。

原因很簡單：黑客認為他們的勒索軟體攻擊更有可能成功，因為醫院、醫療機構和其他衛生組織如果無法訪問患者記錄，就會將無數生命置於危險之中。他們將不得不立即採取行動並支付贖金，而不是經歷從備份中恢複數據那樣漫長的過程。

「醫療保健是一項業務，但醫療保健也涉及人們的生活」

，

Carpenter

說。「任何時候，如果你的業務與人們生活中最私人和最重要的部分相交叉，並且對此構成威脅，則需要立即作出反應。這對於部署勒索軟體的網路犯罪分子來說，是一個非常值得利用的弱點。」

當醫療機構無法迅速恢復正常時，勒索軟體的影響可能是毀滅性的。當電子病歷（EHR）公司Allscripts在1月份因勒索軟體攻擊而關閉時，這一點非常明顯。這次攻擊感染了兩個數據中心，並使許多應用程序離線，影響了成千上萬的醫療保健提供商。

2.盜竊病人數據

對於網路犯罪分子來說，醫療保健數據可能比財務數據更有價值。根據

趨勢科技《

醫療機構面臨的網路犯罪和其他威脅報告》，被盜的醫療保險身份證在黑色網站上至少售價1美元，醫療檔案價格從每個5美元起。

根據趨勢科技報告，黑客可以使用身份證和其他醫療數據中的數據獲取政府文件，如駕駛執照，售價約為170美元。從完整的PHI和死者身份數據中創建一個完整的身份證，能夠以1,000美元的價格出售。相比之下，信用卡號碼在黑暗網路上的售價則要便宜得多。

Carpenter說：「醫療記錄的價值遠遠超過信用卡數據等，因為它們彙集了大量信息。」 這包括個人的財務信息和主要背景數據。「身份盜竊者需要的一切都在那裡。」

犯罪分子竊取健康數據的手段也越來越狡猾，偽勒索軟體就是一個例子。Carpenter說：「這是惡意軟體，看起來像勒索軟體，但是並不會做什麼太具破壞性的事情。在這些外表之下，它竊取醫療記錄或安裝其他間諜軟體或惡意軟體，這些將會在以後對犯罪分子有利。」

正如下一節所解釋的，醫療保健內部人員也在竊取患者數據。

3.內部威脅

根據最近發布的《受保護健康信息泄露報告》，遭遇數據泄露事故的醫療機構中，57.5％是內部人士所為。外部攻擊者只有42％。財務收益是內部威脅的主要動機，達到48％。對於外部攻擊者來說，90％的案例都是獲得經濟收益的動機。

例如，很大一部分內部人違規行為都是出於好奇心，主要是在他們的工作職責之外訪問數據 - 例如查找名人的PHI。間諜活動和解決怨恨也是動機。Fairwarning首席執行官Kurt Long表示：「在患者入住醫療系統的過程中，有數十人可以獲得醫療記錄。「因此，醫療服務提供者往往會有寬鬆的訪問控制。一般工作人員可以訪問大量數據，因為他們需要快速獲取數據以關注特定的患者。」

醫療機構中不同系統的數量也是一個因素。Long說，這不僅包括賬單和註冊，還包括專門用於婦產科，腫瘤科，診斷和其他臨床系統的系統。

「用錢可以辦成很多事情，從盜竊病人數據到身份盜竊或實施醫療身份盜竊欺詐計劃。這幾乎成為了該行業黑產中常規操作，「Long說。「有人為自己或朋友更改賬單，或者修改鴉片

類

藥物或處方葯。他們捕獲處方並將其出售以謀取利潤。「

Long說：「當你總體考察鴉片類藥物危機時，它已經變成為醫療機構工作者 利用職權開局鴉片類藥物處方來獲取利益的的常見情形。「這是阿片類藥物總體危機中的最新數據點，醫療保健工作者認識到他們的價值，他們可能會沉迷於這些或使用他們獲得經濟利益。「

去年，Memorial Healthcare Systems公司支付了550萬美元的HIPAA協議，以解決兩名員工訪問超過115,000名患者的PHI的內部人員違規問題。這一違規行為導致Memorial完全改變了其隱私和安全態勢，以防範未來內部人士和其他威脅。

4.網路釣魚

網路釣魚是攻擊者進入系統最常用的手段。它可以用來安裝勒索軟體，密碼腳本，間諜軟體或代碼來竊取數據。

有些人認為醫療保健更容易受到網路釣魚企圖的影響，但數據顯示的情況卻不太一樣。KnowBe4的一項研究表明，醫療保健與大多數其他行業在被網路釣魚攻擊方面一樣。擁有250至1,000名員工並且未接受安全意識培訓的醫療機構，有27.85％的機會成為網路釣魚企業的受害者，而所有行業平均為27％。

Carpenter

說：「從利他主義的角度來看，醫療工作者經常接觸涉及患者生命安全的情況，可能更容易去點擊釣魚郵件，但從調查結果來看，似乎也並非如此。」

在應對網路釣魚的敏感問題時，網路規模至關重要。根據KnowBe4的數據顯示，擁有1,000名或以上員工的醫療機構有25.6％可能被盜用。「有1000多名員工的組織中，我們發現他們中的大多數人已經接受了相關的培訓，並且在更高層次上運作，因為他們必須制定不同的系統來遵守嚴格的規定。」Carpenter說。

5.Cryptojacking

秘密劫持系統以竊取加密貨幣是所有行業都面臨的難題。由於醫療機構的特殊屬性，其使用的系統是非常有吸引力的目標，因為保持它們運行至關重要。系統運行時間越長，犯罪分子就越能夠挖掘加密貨幣。「在醫院環境下，即便懷疑被劫持，他們也不可能立即關閉系統，」卡彭特說。「機器運轉的時間越長，它對罪犯的益處就越大。」

假設醫療保健提供者可以檢測Cryptojacking。挖礦代碼不會損害系統，但會消耗大量的計算能力。識別它的最可能方式是系統和生產力變慢。一些cryptojackers會減少系統佔用資源，以減少檢測風險。許多醫療機構沒有IT或安全人員來識別和應對這種挖礦攻擊。

減少醫療保健安全威脅的建議

及時修補和更新關鍵系統

Carpenter說：「事實擺在那裡，那些老舊的、未打補丁的系統作為關鍵設備嵌入，本身會導致重大漏洞，惡意軟體勢必會盡量利用。但更新系統也並不容易，因為修補過程可能會破壞關鍵系統或損害供應商支持系統的能力。

在某些情況下，沒有可用於已知漏洞的修補程序。Carpenter建議在供應商沒有或不能修補或更新系統的情況下向供應商施壓。「對供應商採取積極的態度，並問為什麼這些系統不能或沒有得到更新，並保持作為一個行業的壓力。」

培訓員工

根據KnowBe4的研究，醫療保健服務的平均值低於培訓員工識別網路釣魚企圖的平均值。許多醫療保健機構都很小 （少於1000名員工），這可能是一個因素。「這不僅僅是告訴他們什麼正確的事情該做，而是培養一種安全意識，能夠分辨並意識到不去點擊釣魚鏈接。」卡彭特說。

該計劃意味著發送模擬網路釣魚電子郵件。點擊鏈接的員工應該立即獲得反饋，要了解他們做了什麼以及他們將來如何做正確事情，這樣的培訓計劃可以產生巨大的影響。

KnowBe4的研究表明，250到999名員工的醫療機構在一年的網路釣魚訓練和測試後，其網路釣魚敏感度可從27.85％下降到1.65％。

小心有關員工的信息

網路釣魚攻擊越個性化，它的成功機會就越大。在魚叉式網路釣魚攻擊中，攻擊者試圖儘可能多地了解目標個人。Carpenter說：「如果在辦公室之外的場合不小心透露了相關的員工信息，攻擊者可以通過使用這些名稱和關係鏈來建立信任。」

增強抵禦和應對威脅的能力

「讓我感到擔憂的是，大部分醫療機構在事故發生之後，缺乏適當調查的能力，記錄事件和評估傷害的能力。他們也缺乏安全補救的人員，以免再次發生這種情況，」Long說。他的建議是：「通過合作夥伴或合作夥伴獲得正確的專業知識。」他補充說，安全需要成為董事會和高管層的優先考慮事項。「確定安全優先順序後的第一步是，確保您擁有一個具有適用經驗的專用CISO。」

Long說，較小的醫療服務提供商可能沒有資源聘用CISO，但他們仍需要優先考慮安全性。「他們可能需要通過其他途徑獲得一流的安全專業知識。這可能是通過合作夥伴或託管安全服務，並能夠深刻意識到』我的病人應該得到安全，我必須致力於合作或讓合適的安全人員來到這裡。」

*參考來源：CSOonline，由Andy編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 FreeBuf 的精彩文章: