健康数据，到底是怎么被黑客偷走的？

	医疗行业一直是勒索软件 加密挖矿 数据盗窃 网络钓鱼和内部威胁的热门目标。 由于发生了Anthem和Allscripts这样轰动的泄露事件 消费者现在更担心他们受保护的健康信息(PHI)会被人窃取 最近的RSA 2019年数据 隐私与安全调查询问了欧洲和美国近6400名消费者对其数据安全有何感受 调查表明 61%的受访者担心自己的医疗数据会被泄露。 他们有充分的理由感到担忧 作为一个行业 医疗行业仍然是黑客的主要攻击目标 而且内部威胁也带来了很大的风险。 医疗行业为什么会成为黑客的攻击目标 医疗保健机构往往有一些特性 使其成为攻击者非常感兴趣的目标 一个关键原因是有太多的各种系统没有定期打上补丁 KnowBe4公司首席 拓展专员兼战略官Perry Carpenter指出 其中一些是嵌入式系统 由于制造商的开发方式 不太容易打上补丁 如果医疗保健IT部门想要打上补 丁 那么供应商将不得不改变其提供支持的方式 而这很难做到。 医疗保健机构所从事工作的关键特性使其备受攻击者的关注 在网络犯罪领域 健康数据是一种有价值的商品 极易成为盗窃目标 因为这关系到病人的健康 所以医疗保健机构更有可能向勒索软件妥协。 本文介绍未来一年中将出现的六大医疗保健安全威胁。 1、勒索软件 据Verizon的《2019年数据泄露事件调查报告》 勒索软件攻击已连续第二年占据2019年医疗保健领域所有恶意软件事件的70% 以上另一项调查 Radware公司的《信心因素报告》显示 只有39%的医疗保健机构认为他们为应对勒索软件攻击做好了非常或 者及其充分的准备 只有教育领域的信心水平较低，为29%。 没有理由相信勒索软件攻击会在明年被终止 Carpenter说 我们必须很好地教育员工 加强系统 否则 勒索软件会一直得手 并获得更大的发展动力 他们将继续利用人作为攻击手段因为人会点击或者下载一些东西。 原因很简单：如果医院 医疗机构和其他卫生组织看不到患者病历 患者生命就会有危险 因此 黑客相信他们的勒索软件攻击更有 可能成功 这些机构将被迫立即采取行动并支付赎金 而不是通过漫长的恢复过程 从备份中恢复病历。 Carpenter说： 医疗保健是一项业务 但也涉及到人们的生活 任何时候 如果经营的业务影响到人们生活中最私人和最重要的部分并对 其造成威胁 就必须立即作出反应 这恰恰是部署了勒索软件的网络犯罪分子频频得手的重要原因。 当医疗保健机构无法迅速恢复时 勒索软件的后果可能是灾难性的 电子健康病历(EHR)公司Allscripts在一月份因勒索软件攻击而关闭 这极大地说明了这一点 这次攻击感染了两个数据中心 导致一些应用程序下线 影响了数千名医疗保健提供商客户。 2、窃取病人数据 对于网络犯罪分子而言 医疗保健数据可能比财务数据更有价值 据Trend Micro公司的《医疗行业面临的网络犯罪和其他威胁报告》被盗 的医疗保险身份证在暗网上的售价至少为1美元医疗档案的起价为5美元。 根据Trend Micro的报告 黑客可以利用身份证的数据和其他医疗数据来获取政府文件 例如驾照 这些文件售价约为170美元 一个完整的农 民身份——包括死者全套PHI和其他身份数据 能卖到1千美元 相比之下 信用卡号码在暗网上只卖几美分。 Carpenter说：医疗保健病历的价值远远超过信用卡数据 因为它在一个地方汇集了大量信息 其中包括个人的财 务信息和关键背景数据 有身份盗窃犯罪分子所要的一切。 犯罪分子在窃取健康数据方面变得越来越狡猾 伪勒索软件就是一个例子 Carpenter说：有的恶意软件看起来像是勒索软件但并没有执行勒索软件所 干的所有可恶的事情 在掩护下 它盗取医疗保健病历 或者在系统中横向移动 安装其他间谍软件或者恶意软件 过一段时间后才为犯罪分子牟利。 正如下面所解释的医疗保健机构内部也有人在窃取患者数据。 3、内部威胁 根据《Verizon受保护的健康信息数据泄露事件报告》 在受调查的医疗服务提供商中 59%的泄露事件是由内部威胁犯罪分子造成的 在83%的案例中经济利益是动机。 很大一部分的内部泄露事件都是出于乐趣或者好奇心 主要是查阅工作职责之外的数据——例如查找名人的PHI 间谍活动和结怨也是动机 Fairwarning公司 的首席执行官Kurt Long说在病人住院期间 有数十人能查阅其医疗病历= 正因为如此 医疗保健服务提供商的查阅控制措施往往很宽松 普通员工就能够看 到大量数据 因为他们需要尽快获取数据 以照看病人。 医疗保健机构包括了各种不同的系统也是一个因素 Long介绍说 这不仅包括交费和挂号系统 还包括专门用于妇产科 肿瘤学 诊断学和其他临床系统的系统。 Long说 窃取病人数据用于身份盗窃 或者实施医疗身份盗窃欺诈计划 都能够获取利益 这已经是这个行业公开的秘密了 人们想办法为自己 朋友或者家 人修改账单开出鸦片类药物转给他人或者为他人开处方 他们把处方拿出来卖了牟利。 Long说：如果从整体上看鸦片类药物危机，这其实直接涉及到医疗保健环境 可以说医疗保健工作者是守着一座处方鸦片类药物的金矿 这是鸦片类药物危机的关键点 医疗保健工作者意识到这些药物的价值 他们可能会对此上瘾 或者利用开出处方的机会来获取经济利益。 Long介绍说，内部员工从窃取病人数据中获利的一个众所周知的例子来自Memorial医疗保健系统公司 该公司去年为一项内部员工造成的泄露 事件支付了550万美元的HIPAA和解金 其两名员工获取了11.5万多名患者的PHI 这一泄露事件导致Memorial公司彻底改变了其隐私和安全形势 以帮助防范未来的内部威胁和其他威胁。 4、网络钓鱼 网络钓鱼是攻击者进入系统最常用的手段 它可以用来安装勒索软件 加密挖矿脚本 间谍软件或者窃取数据的代码。 一些人认为医疗保健系统更容易受到网络钓鱼的影响 但数据显示 情况并非如此 KnowBe4的研究表明 医疗保健与大多数其 他行业一样网络钓鱼对其危害都差不多 拥有250~1000名员工但未进行安全意识培训的医疗保健机构有27.85%的可能成为 网络钓鱼的受害者 而所有行业的平均比例为27%。 Carpenter说：你可能认为 利他主义 生死攸关的情况可能会导致人们心理上更愿意去点击一些东西 而这会让医护人员更容易受到攻击 但数据显示并非如此。 当涉及到网络钓鱼的易感性时 医疗机构的规模很重要 据KnowBe4的数据 平均1000名或者更多员工的医疗保健机构受到网络钓鱼攻击 的可能性是25.6% Carpenter说： 在有1000多名员工的机构中我们看到大部分员工都接受了较多的培训而且业务水平也很高 因为他们 必须建立不同的体系来遵守严格的法规。 5、挖矿劫持 在所有行业中 秘密劫持系统去开采加密货币是一个日益严重的问题 医疗保健行业中使用的系统是挖矿劫持非常感兴趣 的目标因为这些系统一直保持运行 系统运行的时间越长 犯罪分子就越能开采出加密货币Carpenter说：在医院的环境下 即使怀疑出现了挖矿劫持 也可能不会急着拔掉机器的电源 受感染的机器运行的时间越长 对犯罪分子就越有好处。 这其实是假设医疗保健服务提供商能够检测到加密挖矿操作。加密挖矿代码不会危害系统 但它消耗了大量的计算能力 当系统和工作效率降低时 就最有可能发现它 一些挖矿劫持犯罪分子会限制他们的代码 以降低被发现的风险 很多医疗 保健机构都没有IT员工或者安全人员来发现并补救这类加密挖矿攻击。 6、入侵物联网设备 医疗设备的安全多年来一直是医疗保健领域的热点问题 很多联网的医疗设备都因为易受攻击而广受诟病 问题的关键在于 很多医疗设备在设计之初并没有考虑到网络安全 而打补丁通常也只能提供有限的保护。 据2019年初的“Irdeto全球互联行业网络安全调查 82%的医疗保健机构承认 他们过去12个月内经历过针对物联网设备的网络攻击这些攻击造 成的经济损失平均高达346205美元 这些攻击最常见的影响是运营中断(47%) 其次是客户数据泄露(42%)和最终用户安全受损(31%)。 除非制造商开始制造更安全的设备 否则医疗保健领域易受攻击的医疗设备和其他联网设备将持续受到威胁 这种情况很普遍——更新 更安全的机型取代旧型号还需要数年的时间。 减小医疗保健安全威胁的技巧 更好地修补和更新关键系统 Carpenter说：事实上 那些没打上补丁的老旧系统是作为关键设备嵌入的 以至于更容易受到勒索软 件的威胁 可能很难打上补丁因为修补过程有可能中断关键系统影响供应商对系统的支持。 在某些情况下 甚至没有针对已知漏洞的可用补丁 Carpenter建议 如果供应商无法修补或者更新系统 应该主动督促他们对供应商施压 质问为什么这些系统不能或者没有更新 让整个行业都感受到压力。 培训员工 据KnowBe4的研究 在培训员工识别网络钓鱼攻击方面 医疗保健低于行业平均水平 很-多医疗保健机构规模不大员工人数少于1000 人——这可能是一个因素 Carpenter说：这不仅仅是告诉员工应该做什么 这其实是创建一个行为条件程序 教育员工不要点击钓鱼链接。 这个程序意味着发送模拟钓鱼电子邮件 如果某个员工点击了链接 那么他应该立即收到反馈 知道自己做了什么 今后怎样做才是正确的这样的程序会产生巨大的影响。 如果长期坚持应用 就会有明显的效果 KnowBe4的研究表明 员工数量在250~999名的医疗保健机构经过一 年的网络钓鱼培训和测试后其网络钓鱼易感性从27.85%降至1.65%。 注意员工信息 网络钓鱼攻击越是针对个人 就越容易成功 在鱼叉式网络钓鱼攻击中 攻击者会尽可能多地了解被攻击的目标人选 Carpenter说： 如果 不在办公室’的回复给出了要联系的人的名字 攻击者会通过使用这些名字和关系链来建立信任。 增强防御和应对威胁的能力 Long说： 我对医疗保健安全最担心的一件事是 医疗服务提供者在发现事故后没有能力进行适当的调查 也无法对事故进行记录和评估 没有足够的取证手段配合执法部门或者法律部门的工作 他们也缺少工作人员来进行彻底的补救 不能 杜绝类似情况的发生 他的建议是：让员工获得适当的专业知识 也可以通过合作伙伴获得  他补充说： 安全应是董事会和高管最为 关注的 认识到安全的重要性后 第一步是要有一名经验丰富的专业首席信息安全官。 Long说：规模较小的医疗保健服务提供商可能没有资源来聘请首席信息安全官 但他们仍然需要优先考虑安全问题 在怎样获得一流的 安全专业知识方面 他们应该更有创意 这可能是通过合作或者托管安全服务来实现的 而且要态度坚决的站出来说 病人应该得到安全保 障 我们必须合作 或者让合适的安全人员参与进来。