Trustwave發布了一份2015年醫療行業的安全報告，通過對398名專業的醫療專業人員(部分是技術人員，包括CIO、CISO、IT主管等，另一部分是普通的醫護人員)的調查，發現有91%的調查對象認為針對醫療行業的網絡攻擊活動越來越多，然而用在保護病人敏感信息方面的預算卻還不到10%。

[[154444]]

在過去的兩年間，有90%的醫療行業公司均遭到黑客攻擊，泄露病人數據。為什么醫療行業會成為網絡攻擊的中心目標呢?大致原因有：

1，醫療記錄迅速的轉移到了網上，并且在病人、醫療機構之間可共享;

2，物聯網設備和云服務的使用;

3，醫療健康保險數據的價值越來越高。

全球電子醫療保健記錄系統中的數據在以每年5.5%的速度增長，其中的數據量可想而知是非常驚人的。從醫院到內科醫生、急診門診，再到健康保障組織，無不涵蓋著病人的敏感數據，所以刻不容緩的需要采取安全保障措施來保護它們。任何企業都會遇到安全威脅，但是當這種安全問題威脅到個人的生命安全，那問題就變得非常嚴重了。

方法論

Trustwave在第三方專業調查公司的幫助下，對398位專業的全職醫療行業人員(其中198位是技術人員，200位是非技術人員)進行了調查。目的是衡量醫療保健機構所面臨的挑戰、員工們的安全意識和期望。

數據泄露

在過去的幾年間，美國政府曾傾注了數百億的資金來扶持醫療保障行業使用電子醫療保健記錄技術，目的是為了提高病患照顧質量、減少醫療錯誤的發生、降低就醫成本等。由此說來，病人的醫療記錄可被所有的醫療機構共享，方便快捷，但同時也給攻擊者留下了一個廣闊的攻擊場所。

總而言之，幾乎所有醫療行業的技術人員都認為他們的機構越來越多的成為了黑客攻擊的目標。

是什么使得醫療機構的電子記錄更吸引人并且更易受到網絡攻擊呢?

大部分醫療組織和機構的安全保障和風險管理措施比較落后，所以黑客們才有機可乘竊取病人的敏感數據(從個人信息到信用卡賬號，再到知識產權)。從過去幾個月泄露的醫療數據看，黑客竊取的數據量巨大、竊取過程簡單、花費時間較少，而且還不容易被察覺到。

其實大部分的網絡犯罪者組織都是在金融行業煉就了高超的技能之后，轉而向醫療行業發動大規模的攻擊。相比于其他行業，醫療行業的攻擊阻力比較小，并且敏感數據比較多。

醫療行業的醫療記錄很容易被攻擊的另外一個原因是其流動性比較大，數據分類好，黑客可以輕而易舉的找到利益相關的數據。包括姓名、家庭住址、郵箱地址、生日，甚至還包括保單號碼、檢驗結果、診斷結果等。如此一來，黑客便可以用這些數據偽造虛假身份和虛假保單進行就醫、買藥、買醫療設備等。

醫療行業數據盜竊后果非常嚴重，美國每年有超過200萬的人會成為受害者，由此造成的損失高達13500美元，并且還需花費上百個小時來解決這個問題。為了解決醫療行業數據被竊，技術人員提供了兩個安全方法：

1是數據分割，控制用戶個人和醫療機構查看數據內容的權限;

2是加密。

加密對數據來說非常重要，尤其是數據在各醫療機構的傳輸過程中。然而即使數據加密了，但是在向另一機構傳輸的過程中如果缺乏必要的安全保障，同樣會存在安全風險。調查發現有94%的人指出機構中加密的用戶數據會被傳輸到外網。

調查中還發現了一個很致命的安全隱患，就是大部分的醫療機構并沒有把敏感數據和非敏感數據分開，這種機構占到89%。

內部威脅其實是醫療機構一個很嚴重的安全風險，最近發生的幾起醫療行業入侵事件都是由內部人員引起的。除了健康信息帶來的利益驅動，處于個人的好奇也可能導致不正當的訪問或者數據竊取。所以這些組織需要嚴格限制訪問權限，確保數據只能被相關人員訪問。

安全專業資源短缺

隨著威脅的增加和攻擊范圍的擴大，醫療行業面臨著越來越大的挑戰。其中最大的問題是企業中安全部門員工嚴重缺失，迫切需要配備專業的網絡安全人員，這種情況不是一個地區的問題，全球的醫療行業都面臨這個問題。

從傳統經濟學的角度來說，高需求和短供應這種嚴重失衡的狀態必然會造成市場混亂。應用到醫療行業，專業的網絡安全人員極度缺失，而專業人員的供應又極其不足，所以醫療機構需要通過高薪水來激發更多的人加入醫療行業的網絡安全隊伍，緩解這種不平衡。

通過調查發現有35%的人稱，公司安全方面的專業人員不足。在近幾年頻繁發生的數據泄露事件之后，越來越多的人認為他們需要聘用更多的安全人員，以保障用戶數據安全。

漏洞

試想一下，一個黑客坐在幾百英里以外，只需通過輸入幾行命令就可以控制病人胰島素輸送管中的激素劑量，那將是一件多么可怕的事。也許他是個稍有“良知”的黑客，不會用這種方法殺人于無形，但他可以通過入侵聯網醫療設備，進而入侵醫院網絡，竊取病人的敏感數據。

隨著電子醫療記錄的普及，黑客們越來越多的關注在了醫療行業上，被發現的漏洞也越來越多，最常見的有：SQL注入漏洞，弱口令，遠程訪問漏洞，未修復的漏洞等。醫療機構還有一個很大的安全疏忽，就是他們不會定期檢查基礎設施是否含有漏洞。有87%的人稱他們的機構基本上一年或者兩年才對其基礎設施檢查一次。

所以，醫療行業中的安全評估是非常有必要的，它可以幫助企業預測系統、進程、政策中存在的安全風險，從而可以保障醫療行業數據的安全。然而并不是所有的醫療機構都會定期的對其基礎設施進行評估。另外，醫療組織還必須要確定這些安全問題是來自外部供應商，還是內部問題。

醫療行業的安全主要分為兩種，一種是來自內部的威脅，一種是外部威脅。內部威脅可以概括為以下兩種：

1，懷有惡意目的的員工會訪問并竊取用戶的敏感信息

2，正常員工的一個人為錯誤可能會給攻擊者留下攻擊入口(員工不小心弄丟了電腦;不小心點了含有惡意程序的鏈接;安全人員不小心裝錯了系統)

外部威脅主要就是黑客利用設備漏洞、系統漏洞、人性缺陷(社工)來攻擊機構網站，從而竊取用戶數據。

所以企業應該定期對員工進行培訓，讓員工掌握一定的安全知識和技能。然而當下企業對員工的安全培訓并不盡人意。

建議

醫療行業正經歷一個非常嚴峻的安全時代：威脅越來越高級，安全技能卻沒能同步進化，安全方面的預算嚴重不足，醫療設備很難管理，傳統系統亟待更新，被攻擊的范圍在逐漸擴大。

對于用戶個人來說，我們需要做的是：

1，不要在多個網站上使用相同的密碼

2，不要留下過多的個人信息

3，不要隨意打開來源不明的鏈接和文件

對于醫療設備供應商來說，他們需要不斷的檢測物聯網設備和應用程序的安全，如發現漏洞應及時通知相關買家，快速響應修復漏洞。

對于醫療機構(醫院)來說，應該定期對員工進行培訓，提高安全防范意識，訓練安全應急技能。

完整報告點我!