2018年醫療機構面臨的五大安全威脅
近兩年來,醫院、醫療保險機構先后被曝發生重大數據泄露事件,消費者越來越擔心自己的受保護健康信息(PHI)會不會落入壞人之手。最近,RSA對7500名歐美消費者進行了調查,其《數據隱私報告》顯示,59%的受訪者憂慮自身醫療數據被黑;39%擔心黑客會篡改自己的醫療信息。
消費者的這種擔心并非空穴來風。醫療行業仍然是黑客的首要目標,且還有來自內部人威脅的巨大風險。
一、為什么黑客會盯上醫療行業
醫療行業的幾個特征讓它們成為了黑客眼中的誘人果實。關鍵原因之一,是醫療機構中有很多系統并沒有定期更新。其中一些是嵌入式系統,由于制造方式問題,導致如今即便發現漏洞也難以打上補丁。如果醫療機構的IT部門自行更新,可能會導致供應商無法繼續提供支持。
醫療機構在社會民生中的重要性也成為了黑客盯上它們的重要因素。在網絡犯罪世界,健康數據是非常有價值的商品,盜取健康數據不失為網絡罪犯發家致富的途徑之一。而且,由于人命關天,在遭遇勒索軟件攻擊的時候,醫療機構也更傾向于支付贖金。
二、2018年,有哪些重要的醫療安全威脅值得我們注意呢?
1. 勒索軟件
CryptoniteNXT《2017醫療網絡研究報告》顯示,2017年十大醫療數據安全事件中,有6起都是勒索軟件攻擊。報告指出,2017年重大勒索軟件攻擊(受影響患者數量在500人以上)上報量為36起,幾乎是2016年19起的2倍。
很明顯,2018年勒索軟件攻擊趨勢不會減緩。除非我們夯實醫療機構IT系統安全,培育醫療從業人員的安全意識,否則勒索軟件還將繼續肆虐。勒索軟件攻擊者會繼續利用人性弱點誘騙工作人員點擊惡意鏈接或下載惡意軟件。
為什么攻擊者愛對醫療機構下手呢?個中原因很簡單:黑客認為,醫院、診所等醫療機構如果不能訪問患者病歷記錄,就會將患者的生命置于風險之中,他們覺得自己必須馬上支付贖金解鎖數據,而不是苦等數據從備份中恢復出來。
醫療行業是一門產業,但同時也掌握著人們的生命。任何一門產業只要涉及人身安全和個人最隱私的信息,從業者在面對威脅時就必須立即響應。醫療行業的這種特性對投放勒索軟件的網絡罪犯來說簡直再合適不過。
如果醫療機構不能從勒索軟件攻擊中快速恢復,其后果可能是災難性的。這一點已經在今年1月電子病歷(EHR)公司Allscripts系統宕機事件中得到了充分體現。該攻擊感染了2個數據中心,讓很多應用掉線,影響了數千家Allscripts公司的醫療服務提供商客戶。
2. 患者數據被盜
對網絡罪犯來說,醫療數據可能比金融數據更值錢。趨勢科技發布的《醫療行業面臨的網絡犯罪及其他威脅》報告稱,暗網上被盜醫保卡每張至少賣1美元,醫療信息資料的價格每份5美元起。
黑客可利用醫保卡和其他醫療數據獲取駕照之類政府證明文件,而后者在暗網上的售價大約為170美元。從死亡人口的全套PHI和其他身份數據創建的完整可用身份,則可賣到1000美元高價。相比之下,暗網上信用卡號才賣幾美分,白菜價都比這貴。
醫療記錄遠比信用卡數據賣得貴,是因為可以從醫療記錄中一次性獲取很多信息,包括金融信息和關鍵背景資料,基本上包含了身份盜竊所需的一切信息。
網絡罪犯在盜取醫療數據上可謂花招迭出。偽勒索軟件就是案例之一。這是看起來很像勒索軟件,但其實并不具備勒索軟件鎖定功能的惡意軟件。在勒索軟件的外衣偽裝下,此類軟件干的是盜取醫療記錄或散播其他間諜軟件以備后用的活兒。
正如下一節要介紹的,醫療行業內部人威脅干的也是盜取患者數據的勾當。
3. 內部人威脅
威瑞森最近發布的《受保護健康信息泄露報告》表明,受訪醫療提供商遭遇的數據泄露中,有57.5%都是內部人導致的,只有42%是外部攻擊者所為。內部人泄露數據的動機有48%是求財。外部攻擊者對醫療數據下手就幾乎都是為了錢了——求財動機占了90%。
很大一部分內部人數據泄露都是出于好玩或好奇心,主要是查詢工作職責以外的數據,比如名人PHI等。此外,間諜和出于怨恨的報復也在動機之列。患者在醫療系統中停留期間,無論是門診還是住院,都有很多人需要接觸到他們的醫療記錄。因此,醫療提供商傾向于采用寬松的訪問控制。畢竟,想要給患者提供醫療救助,就得很快獲悉患者數據。醫療機構的普通員工能夠訪問大量數據也就不足為奇了。
醫療機構里為數眾多的不同系統也是引發數據泄露的因素之一。這些系統不僅僅包含收費和掛號系統,還有婦產科、腫瘤科、診斷學專用系統和其他臨床系統。
從竊取患者數據用于身份盜竊到醫療身份盜竊欺詐騙局都是金錢惹的禍。這都成了醫療信息黑產的常規操作了。人們利用醫療信息修改自己或朋友和家人的賬單,要么就用來開具鴉片類藥物或其他管制藥物的處方。這些處方可是能賣大錢的。
縱觀鴉片類藥物危機,這基本上就是醫療行業員工在系統內用鴉片類藥物處方開具權牟利的景象。鴉片危機的最新信息點正在于此。醫療行業員工意識到了鴉片類藥物的價值,要么自己上癮,要么利用手中職權開處方牟利。
醫療行業內部人盜取患者數據牟利的一個典型例子就是 Memorial Healthcare Systems。該公司去年因2名員工盜取了11.5萬名患者的PHI而支付了550萬美元的HIPPA違規和解金。這次數據泄露讓 Memorial Healthcare Systems 徹底改變了其隱私與安全態勢,以防止未來的內部人威脅和其他威脅。
4. 網絡釣魚
網絡釣魚是攻擊者侵入目標系統的主流方法。利用網絡釣魚,攻擊者可以在目標系統上安裝勒索軟件、加密貨幣挖礦腳本、間諜軟件或數據盜取代碼。
有人認為醫療行業更易被網絡釣魚釣中,但調查數據顯示的結果并非如此。KnowBe4做的一項研究表明,在面對網絡釣魚的中招率上,醫療行業與大多數其他行業基本持平。員工規模在250到1000人的醫療機構,如果沒有接受安全意識培訓,淪為網絡釣魚受害者的概率是27.85%,而所有行業的平均中招率是27%。
人們或許會覺得,醫療行業的無私性,醫療從業者面對生死攸關情況時感受到的緊迫性,會讓他們從心理上更易于點擊那些釣魚郵件。但調查數據并不支持該感性結論。
醫療機構的規模在抗網絡釣魚上有一定作用。調查顯示,1000人以上規模的醫療機構淪為網絡釣魚受害者的平均概率是25.6%。這是因為這種規模的機構通常會做員工安全意識培訓,而且由于必須整合各類系統以遵從嚴格的監管規定而在操作運營上會更復雜些。
5. 加密劫持
當前,所有行業幾乎都面臨計算機系統被悄悄劫持來做加密貨幣挖礦的問題。醫療行業的系統必須隨時處于運行狀態,因而成為了相當誘人的加密劫持目標。系統持續運行時間越長,網絡罪犯就能挖到更多加密貨幣。而在醫院里,即便懷疑系統已被劫持來挖礦,也不能馬上斷電。網絡罪犯就是看中這一點,才特別喜歡針對醫院的系統下手。
這還是假設醫療提供商能夠檢測到加密貨幣挖礦操作的情況下。加密貨幣挖礦代碼不會損壞系統,但會消耗大量的計算資源。最有可能識別出系統被劫持挖礦的情況,就是系統變慢,CPU使用率激增。但有些加密劫持者會限制挖礦所用計算資源,減小被檢測到的風險。很多醫療機構并未安排IT或安全人員檢測和緩解此類加密貨幣挖礦攻擊。
三、最小化醫療行業安全威脅的幾條建議:
1. 關鍵系統勤更新
沒打補丁的老舊系統仍然嵌在關鍵設備中被繼續使用,這就給勒索軟件留下了巨大的切入口。但更新這些系統又十分困難,因為更新過程可能會中斷關鍵系統或損傷供應商繼續支持這些系統的能力。
某些情況下,甚至已知漏洞都沒有補丁可用。這種時候不妨給供應商施壓,讓他們盡快推出修復補丁或更新系統。對供應商要更激進一些,作為一個行業持續對其施壓,責問他們為什么系統還沒有更新。
2. 員工培訓
調查表明,醫療行業員工的防網絡釣魚培訓接受率是比較低的。很多醫療機構的規模都比較小,員工數量不到1000人,這可能是沒有設置安全意識培訓項目的原因之一。安全意識培訓不僅僅是告訴員工什么是正確的做法,而是要創建可以訓練員工不去點擊網絡釣魚鏈接的行為條件培訓項目。
該項目應能通過發送模擬釣魚郵件并針對員工行為作出反饋來培養員工安全意識。點擊了釣魚鏈接的員工會立即收到有關自己錯誤行為的反饋,反饋中還附帶如何在未來正確動作的指導。這樣的培訓項目才會對員工安全意識產生顯著影響。
只要不斷培訓,醫療機構員工的安全意識就會提高。研究顯示,經過1年的防網絡釣魚培訓和測試,250-999員工規模的醫療機構網絡釣魚上鉤率就從27.85%之多降到了只有1.65%。
3. 重視員工信息安全
網絡釣魚攻擊越個性化,目標中招率越高。魚叉式網絡釣魚攻擊中,攻擊者會先盡可能多地收集目標的個人信息。如果工作之外的交流泄露了可以聯系的人的姓名,攻擊者就會用這些名字和關系鏈建立起與目標的信任關系,更有針對性地誘使目標點擊釣魚鏈接。
4. 提高防御和響應威脅的能力
醫療提供商缺乏恰當的安全事件調查能力,無法很好地記錄并評估安全事件傷害,不能充分取證以配合司法調查,是醫療行業安全中最令人憂慮的一點。除此之外,醫療機構往往還缺乏能夠完全修復安全問題的員工。所以,最好招聘具備安全事件調查和處理能力的員工,或者與具備相應能力的提供商合作。董事會和高管應將安全問題列為頭等大事,設置專職的CISO不失為一個好辦法。
小型醫療提供商或許不具備聘用CISO的資源,但仍然要重視安全。可以在接觸頂級安全專業人士方面多下功夫,通過合作或托管安全服務來獲得專業人士的幫助。患者應享有安全保障,無論是通過合作還是通過招聘專業安全人員,醫療機構都必須保證患者的安全。
【本文是51CTO專欄作者“”李少鵬“”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
