近年來，醫(yī)院、醫(yī)療保險等醫(yī)療衛(wèi)生機構先后被曝發(fā)生重大數(shù)據(jù)泄露事件，加上Anthem 和 Allscripts 等備受矚目的違規(guī)行為，消費者也更加擔心自己受保護健康信息(Protected Health Information, PHI)會落入他人之手。2019 年 RSA 數(shù)據(jù)隱私與安全調查詢問了歐洲和美國近 6400 名消費者對其數(shù)據(jù)安全的看法。調查顯示，61% 的受訪者擔心自己的醫(yī)療數(shù)據(jù)會被泄露。

他們有充分的理由感到擔心。醫(yī)療衛(wèi)生行業(yè)仍然是黑客的主要目標，同時機構內部本身就存在很大的風險威脅。



為什么醫(yī)療衛(wèi)生行業(yè)會成為黑客攻擊的目標？

醫(yī)療衛(wèi)生相關的組織機構往往具備一些屬性，恰恰這些屬性對攻擊者來說很具吸引力。關鍵原因之一是醫(yī)療系統(tǒng)沒有定期更新補丁，致使信息漏洞的廣泛存在。KnowBe4 的首席宣傳官兼戰(zhàn)略官 Perry Carpenter 表示：其中一些是嵌入式系統(tǒng)，即便發(fā)現(xiàn)漏洞也難以打上補丁，如果醫(yī)療機構的IT部門自行更新，可能會導致供應商無法繼續(xù)提供支持。

醫(yī)療衛(wèi)生行業(yè)的關鍵性質使它們成為了攻擊者的目標。在網(wǎng)絡犯罪領域，健康數(shù)據(jù)是一種有價值的商品，這使得它成為了盜竊的目標。由于事關病人的健康，醫(yī)療機構更有可能為勒索軟件支付贖金。

以下是2020年醫(yī)療衛(wèi)生行業(yè)將會面對的六大網(wǎng)絡安全威脅：

1. 勒索軟件

根據(jù) Verizon 2019 年的數(shù)據(jù)泄露調查報告，勒索軟件攻擊連續(xù)兩年占到了醫(yī)療衛(wèi)生行業(yè)所有惡意軟件事件的 70% 以上。另一項 Radware 的《信任因子》(The Trust Factor) 報告顯示，只有 39% 的醫(yī)療機構認為面對勒索軟件的攻擊，他們做好了足夠或充分的準備。

勒索軟件攻擊在明年也會持續(xù)存在。Carpenter 表示：在充分強化員工和系統(tǒng)安全之前，（勒索軟件）將持續(xù)取得勝利，并獲得更多動力。他們將繼續(xù)將矛頭對準會點擊或下載一些東西的人。

原因很簡單：黑客認為他們的勒索軟件攻擊更有可能成功，因為如果醫(yī)院、醫(yī)療機構和其他衛(wèi)生組織無法訪問患者的記錄，就會危及到這些患者的生命。他們將被迫立即采取行動，支付贖金，而不會通過備份進行漫長的恢復工作。

“醫(yī)療也是商業(yè)的一種，但醫(yī)療衛(wèi)生也涉及人們的生活。任何時候，如果你的公司涉及到人們生活中最私人、最重要的部分，而你對其構成了威脅，就需要立即做出反應。這對部署了勒索軟件的網(wǎng)絡罪犯來說非常有用。”

當醫(yī)療機構無法快速進行恢復時，勒索軟件導致的后果可能是毀滅性的。這一點在電子健康檔案(Electronic Health Record, EHR)公司Allscripts在1月份因為勒索軟件攻擊而關停時體現(xiàn)的非常明顯。這次攻擊感染了兩個數(shù)據(jù)中心，導致很多應用程序離線，影響了該公司服務的數(shù)千名醫(yī)療行業(yè)客戶。

2. 竊取病人資料

對網(wǎng)絡罪犯來說，醫(yī)療數(shù)據(jù)可能比財務數(shù)據(jù)更有價值。根據(jù) Trend Micro 的醫(yī)療行業(yè)所面臨的網(wǎng)絡犯罪和其他威脅這份報告，竊取的醫(yī)療保險 ID 在黑市上的售價至少為 1 美元，醫(yī)療檔案的起價為 5 美元。

黑客可以利用身份證和其他醫(yī)療數(shù)據(jù)獲取政府文件，比如駕照。據(jù) Trend Micro 報道，駕照售價約為 170 美元。一個制造完整的身份（一個由完整的 PHI 和一位死者其他的身份數(shù)據(jù)構成的身份）可以賣到 1000 美元。相比之下，信用卡號在黑市上只賣幾美分。

Carpenter表示，醫(yī)療記錄比信用卡數(shù)據(jù)更有價值，因為醫(yī)療記錄將大量信息集中在了一個地方，包括財務信息和個人的關鍵背景數(shù)據(jù)。身份盜竊所需的一切都在那里。

犯罪分子在竊取健康數(shù)據(jù)方面變得越來越狡猾。偽勒索軟件就是一個例子。這是一種看起來像勒索軟件的惡意軟件，但它并沒有做勒索軟件所做的邪惡的事情，它會在背后竊取醫(yī)療記錄，或在系統(tǒng)中橫向移動，安裝其他間諜軟件或惡意軟件，這些軟件在之后會使犯罪分子受益。

正如下一節(jié)所述，醫(yī)療衛(wèi)生業(yè)行業(yè)內的人士也在竊取患者的數(shù)據(jù)。

3. 內部威脅

根據(jù) Verizon 保護健康信息數(shù)據(jù)泄露報告，被調查的醫(yī)療服務供應商中，59% 的威脅行為者是內部人士。83% 的情況下其動機與經濟利益相關。

很大一部分的內部泄露動機是出于樂趣或好奇心，訪問他們工作職責之外的數(shù)據(jù)——例如，查詢名人的 PHI。間諜活動和復仇也是動機之一。Fairwarning 的首席執(zhí)行官 Kurt Long 表示：在病人住院期間，有數(shù)十人可以查閱醫(yī)療記錄，正因為如此，醫(yī)療服務供應商往往會設置寬松的準入控制。普通員工可以接觸到大量數(shù)據(jù)，因為為了照料病人，他們需要快速獲取數(shù)據(jù)。

醫(yī)療組織機構中不同系統(tǒng)的數(shù)量也是一個因素。Long 表示這不僅包括付費和注冊，還包括專門用于婦產科、腫瘤學、診斷和其他臨床系統(tǒng)的系統(tǒng)。

“任何東西都可能用來交易，從用于身份盜竊的病人數(shù)據(jù)或醫(yī)療身份盜竊欺詐計劃。這已經成為了這個行業(yè)的常態(tài)。人們在為自己、朋友、家人謀取錢財，或者（他們正在）轉向阿片類藥物或處方藥物。他們獲取處方，然后出售以獲取利潤。”

當你從整體上看待阿片類藥物危機時，可以說醫(yī)療工作者正坐在系統(tǒng)中處方阿片類藥物帶來的金礦上。這是阿片類藥物危機的最新證明。醫(yī)療工作者認識到它們的價值，他們可能會對它們上癮，或者為了經濟利益而使用他們的權利（開處方）。

Long 指出，內部人士從竊取病人數(shù)據(jù)中獲利的一個公開例子來自 Memorial Healthcare Systems。去年，為了了結一起內部違規(guī)案件，該公司支付了 550 萬美元的 HIPAA 和解金。在這起案件中，兩名員工訪問了 11 萬 5 千多名患者的 PHI。那次入侵事件徹底改變了 Memorial 對隱私和安全的態(tài)度，以防范未來來自內部人士和其他各方的威脅。

4. 網(wǎng)絡釣魚

網(wǎng)絡釣魚是攻擊者進入系統(tǒng)最常用的手段。它可以用來安裝勒索軟件、挖礦腳本、間諜軟件或代碼來竊取數(shù)據(jù)。

一些人認為，醫(yī)療衛(wèi)生行業(yè)更容易受到網(wǎng)絡釣魚的影響，但數(shù)據(jù)顯示并非如此。KnowBe4 的一項研究表明，在遭受網(wǎng)絡釣魚攻擊方面，醫(yī)療衛(wèi)生行業(yè)與大多數(shù)其他行業(yè)不相上下。在規(guī)模為 250 至 1000 名員工的醫(yī)療機構里，如果這些員工沒有接受過安全意識培訓，就有 27.85% 的幾率成為網(wǎng)絡釣魚的受害者，而行業(yè)平均概率為 27%。

Carpenter表示，你可能會認為利他主義、面對生死，可能會導致人們（醫(yī)療工作者）在心理上更容易受到影響去點擊一些東西，但數(shù)據(jù)并沒有證明這一點。

人員規(guī)模與被網(wǎng)絡釣魚的可能性有很大相關。KnowBe4 的數(shù)據(jù)顯示，員工人數(shù)在 1,000 人以上的醫(yī)療機構，平均有 25.6% 的可能性會被網(wǎng)絡釣魚。

Carpenter 發(fā)現(xiàn)在擁有 1000 多名員工的企業(yè)中，大多數(shù)人接受了更多的培訓，并且運營的復雜程度也更高，因為為了遵守嚴格的規(guī)定，他們不得不使用不同的系統(tǒng)。

5. 加密貨幣劫持

秘密劫持系統(tǒng)進行挖礦，在所有行業(yè)都是一個日益嚴重的問題。醫(yī)療衛(wèi)生行業(yè)使用的系統(tǒng)對于挖礦者是一個很誘人的目標，因為保持這些系統(tǒng)的運行至關重要。系統(tǒng)運行的時間越長，犯罪分子就越有可能通過挖掘加密貨幣獲利。Carpenter說道，在醫(yī)院里，他們可能不會急于拔掉這些機器的插頭（如果懷疑有加密貨幣劫持行為），（受感染的）機器運行的時間越長，犯罪分子就受益越多。

這是假設醫(yī)療衛(wèi)生行業(yè)從業(yè)人員能夠檢測到加密貨幣劫持行為。挖礦劫持代碼不會危害系統(tǒng)，但會消耗大量的計算能力。人們最有可能在系統(tǒng)和生產力降低時發(fā)現(xiàn)它們。一些挖礦人會限制他們的代碼來降低被檢測到的風險。很多醫(yī)療機構沒有IT或安全人員來識別和應對這種加密貨幣劫持攻擊。

6. 入侵物聯(lián)網(wǎng)設備

醫(yī)療設備安全多年來一直是醫(yī)療衛(wèi)生領域的一個熱點問題，很多聯(lián)網(wǎng)的醫(yī)療設備都很容易受到攻擊。問題的關鍵在于很多醫(yī)療設備的設計并沒有考慮到網(wǎng)絡安全問題。在能打補丁的情況下，補丁通常也只能提供有限的保護。

根據(jù) 2019 年初愛迪德 (Irdeto) 全球互聯(lián)產業(yè)網(wǎng)絡安全調查報告，82% 的醫(yī)療機構表示他們在過去 12 個月里經歷過針對物聯(lián)網(wǎng)設備的網(wǎng)絡攻擊。這些攻擊造成的平均財務影響為 346,205 美元。這些攻擊造成的最常見影響是業(yè)務下線 (47%)，其次是客戶數(shù)據(jù)泄露 (42%)和終端用戶安全受損 (31%)。

在制造商開始制造更安全的設備之前，醫(yī)療衛(wèi)生行業(yè)脆弱的醫(yī)療和其他聯(lián)網(wǎng)設備將持續(xù)帶來風險。但更新、更安全的型號要取代舊型號設備還需要數(shù)年的時間。


關于降低醫(yī)療安全風險的一些建議

1、加強對關鍵基礎設施的維護和更新工作。那些老舊的未打補丁的系統(tǒng)作為關鍵設備被嵌入其中，這一事實導致這些系統(tǒng)非常容易受到勒索軟件的影響。這可能很困難，因為維護過程可能會破壞關鍵系統(tǒng)或使供應商支持系統(tǒng)的能力受損。

在某些情況下，對于已知的漏洞沒有可用的補丁。Carpenter 建議在供應商沒有或不能修復或更新系統(tǒng)的情況下對他們施加壓力，對供應商強勢一些，問問他們?yōu)槭裁催@些系統(tǒng)不能或沒有更新，并從行業(yè)角度施加壓力。

2、對員工進行網(wǎng)絡安全培訓。根據(jù) KnowBe4 的研究，在培訓員工識別網(wǎng)絡釣魚企圖方面，醫(yī)療衛(wèi)生行業(yè)低于平均水平。很多醫(yī)療機構規(guī)模都很小——不到 1000 名員工，這可能是一個原因。Carpenter表示，不僅僅是告訴他們應該做什么，是要建立一個行為條件項目，訓練他們不要點擊釣魚鏈接。

這個項目會給員工發(fā)送模擬的釣魚郵件。點擊這些鏈接的員工會立即收到反饋，告訴他們自己做了什么以及他們在未來如何去做正確的事情。這樣的項目可以產生巨大的影響。

如果能夠持續(xù)進行培訓，培訓會產生效果。KnowBe4 的研究表明，擁有 250 到 999 名員工的醫(yī)療機構在經過一年的網(wǎng)絡釣魚培訓和測試后，被網(wǎng)絡釣魚的可能性可以從 27.85% 下降到 1.65%。

3、注意員工信息。網(wǎng)絡釣魚攻擊越個性化，成功的機會就越大。在魚叉式釣魚攻擊中，攻擊者試圖盡可能多地了解目標本身。Carpenter說道，如果 “外出” 的回復給出了可以聯(lián)系的人的名字，（攻擊者）可以通過這些名單和關系來建立信任。

4、加強防御和應對威脅的能力。Long說道，自己（對醫(yī)療安全）最擔心的一件事是，醫(yī)護人員沒有能力在發(fā)現(xiàn)事件以后對其進行適當?shù)恼{查，沒有能力對事件進行記錄和評估，也無法進行充分的取證，以配合執(zhí)法或法律行動。醫(yī)療機構也缺少能夠進行徹底修復的工作人員，有了這些工作人員這種情況就不會再發(fā)生了。他的建議是：從員工或合作伙伴那里獲得專業(yè)知識。并且安全性需要成為董事會和管理層的優(yōu)先考慮的事項，確定安全優(yōu)先級后的第一步是確保你有一位具有相關經驗的專職 CISO。

Long 表示規(guī)模較小的醫(yī)療服務提供商可能沒有資源雇傭 CISO，但他們仍然需要優(yōu)先考慮安全性。他們可能需要在如何獲得一流的安全專業(yè)知識方面更具有創(chuàng)造性?？赡苁峭ㄟ^合作關系或托管安全服務，但沒有方案能夠替代直接走上前說，“我的病人的安全需要得到保障，我必須進行合作，或在這里找到合適的安全專業(yè)人員。”