醫(yī)療機(jī)構(gòu)需要準(zhǔn)備應(yīng)對(duì)的主要網(wǎng)絡(luò)風(fēng)險(xiǎn)包括勒索軟件、僵尸網(wǎng)絡(luò)、云配置錯(cuò)誤、網(wǎng)絡(luò)應(yīng)用攻擊、網(wǎng)絡(luò)釣魚(yú)以及智能設(shè)備相關(guān)的威脅。

自新冠疫情以來(lái)，針對(duì)醫(yī)療行業(yè)的網(wǎng)絡(luò)攻擊大幅上升，尤其是在遠(yuǎn)程醫(yī)療服務(wù)迅速發(fā)展的背景下。安全供應(yīng)商和研究人員發(fā)現(xiàn)，針對(duì)醫(yī)療服務(wù)提供商的網(wǎng)絡(luò)釣魚(yú)攻擊、勒索軟件攻擊、網(wǎng)絡(luò)應(yīng)用攻擊等威脅顯著增加。

今年醫(yī)療行業(yè)勒索軟件的增加，特別是Change Healthcare的數(shù)據(jù)泄露事件，引發(fā)了醫(yī)療高管的廣泛關(guān)注，成為業(yè)界的警鐘。

這一趨勢(shì)給醫(yī)療安全組織帶來(lái)了巨大壓力。Imperva的高級(jí)副總裁Terry Ray表示：“醫(yī)療行業(yè)正面臨一系列復(fù)雜的安全風(fēng)險(xiǎn)，網(wǎng)絡(luò)犯罪分子正在搜尋醫(yī)療機(jī)構(gòu)掌握的敏感和有價(jià)值的數(shù)據(jù)，包括患者數(shù)據(jù)和企業(yè)數(shù)據(jù)。”

許多機(jī)構(gòu)難以應(yīng)對(duì)這些挑戰(zhàn)，因?yàn)樗鼈冑Y源不足，依賴(lài)易受攻擊的系統(tǒng)、第三方應(yīng)用和API來(lái)提供服務(wù)。

此外，IT系統(tǒng)越來(lái)越多地被用于優(yōu)化臨床互動(dòng)和患者護(hù)理。例如，救護(hù)車(chē)隊(duì)可以通過(guò)現(xiàn)場(chǎng)的平板設(shè)備獲取患者的詳細(xì)病歷，英國(guó)的國(guó)家調(diào)動(dòng)應(yīng)用(NMA)正在引入，以現(xiàn)代化和標(biāo)準(zhǔn)化NHS所有救護(hù)車(chē)服務(wù)。

植入設(shè)備(如回路記錄儀)越來(lái)越多地被用于輔助診斷，如心律失常，這些設(shè)備與可穿戴設(shè)備一樣，支持遙測(cè)功能，能夠傳輸患者數(shù)據(jù)。基于這些數(shù)據(jù)作出的重要醫(yī)療決策，使得由于IT進(jìn)步而獲得的患者數(shù)據(jù)更加豐富。

物聯(lián)網(wǎng)和IT在醫(yī)療中的使用增加，對(duì)提升臨床效率和決策準(zhǔn)確性產(chǎn)生了積極影響，但也意味著對(duì)風(fēng)險(xiǎn)評(píng)估的關(guān)注必須更加深入。WithSecure首席顧問(wèn)Stuart Morgan指出，過(guò)去將患者數(shù)據(jù)存放在上鎖的文件柜中的時(shí)代早已過(guò)去。

“患者數(shù)據(jù)被篡改或泄露的影響是顯而易見(jiàn)且廣為人知的，但服務(wù)中斷的風(fēng)險(xiǎn)——無(wú)論是惡意的還是意外的——可能帶來(lái)的后果極其嚴(yán)重，”Morgan在接受記者采訪時(shí)說(shuō)道，“雖然這些系統(tǒng)具有一定的彈性，但備份系統(tǒng)本質(zhì)上效率較低，救護(hù)車(chē)隊(duì)無(wú)法查看臨床歷史、患者無(wú)法獲得電子處方，或者在家工作的臨床醫(yī)生失去對(duì)救護(hù)車(chē)調(diào)度系統(tǒng)的訪問(wèn)權(quán)限，都會(huì)對(duì)他們所在社區(qū)產(chǎn)生巨大影響，因?yàn)榇蟛糠至鞒淌腔谶@些系統(tǒng)正常運(yùn)行的前提編寫(xiě)的。”

Imperva的Ray及其他安全專(zhuān)家已經(jīng)確定了當(dāng)前對(duì)醫(yī)療機(jī)構(gòu)構(gòu)成重大威脅的多個(gè)問(wèn)題。以下是六大主要威脅。

1. 勒索軟件威脅上升

勒索軟件已成為當(dāng)今醫(yī)療行業(yè)最大的網(wǎng)絡(luò)威脅之一。攻擊者發(fā)現(xiàn)，提供救命治療的醫(yī)療機(jī)構(gòu)比幾乎所有其他行業(yè)的受害者更容易被勒索。許多醫(yī)療機(jī)構(gòu)也因?yàn)橥瞥隽诵碌臄?shù)字應(yīng)用和服務(wù)(如遠(yuǎn)程醫(yī)療服務(wù))而更易受到攻擊。

自疫情以來(lái)，全球醫(yī)療行業(yè)的勒索軟件攻擊穩(wěn)步增加。根據(jù)美國(guó)國(guó)家情報(bào)總監(jiān)辦公室的一項(xiàng)研究，從2022年到2023年，醫(yī)療勒索軟件受害者增加了81%。安全供應(yīng)商SonicWall報(bào)告稱(chēng)，截至2024年，91%的與惡意軟件相關(guān)的醫(yī)療數(shù)據(jù)泄露事件都涉及勒索軟件。

公開(kāi)披露的針對(duì)醫(yī)療服務(wù)和醫(yī)院的勒索軟件攻擊案例不勝枚舉。

例如，2021年5月，愛(ài)爾蘭公共衛(wèi)生系統(tǒng)遭受勒索軟件攻擊，導(dǎo)致管理員不得不取消或重新安排數(shù)千個(gè)預(yù)約和手術(shù)，因?yàn)楣粽哝i定了約2000個(gè)面向患者的系統(tǒng)。

2024年2月，Change Healthcare遭受了毀滅性的勒索軟件攻擊，嚴(yán)重?cái)_亂了保險(xiǎn)理賠處理、處方藥發(fā)放和財(cái)務(wù)結(jié)算，給美國(guó)各地的醫(yī)院、診所和藥房帶來(lái)了巨大影響。2024年8月，總部位于密歇根州的McLaren Health Care在12個(gè)月內(nèi)第二次遭遇勒索軟件攻擊。

CynergisTek的總裁兼首席執(zhí)行官Caleb Barlow表示，電子健康記錄(EHR)和相關(guān)系統(tǒng)是當(dāng)今醫(yī)療行業(yè)面臨的最大風(fēng)險(xiǎn)。他說(shuō)：“過(guò)去的攻擊表明，當(dāng)醫(yī)院遭遇勒索軟件引發(fā)的停擺時(shí)，EHR的訪問(wèn)會(huì)被關(guān)閉，患者可能需要轉(zhuǎn)移到其他地方接受治療。”他說(shuō)：“這樣的攻擊可能會(huì)阻止對(duì)復(fù)雜慢性病患者(如糖尿病或癌癥患者)的關(guān)鍵處方信息和劑量的訪問(wèn)。更糟糕的是，黑客甚至可能進(jìn)一步操縱健康記錄數(shù)據(jù)，破壞患者護(hù)理。”

歷史上，醫(yī)療機(jī)構(gòu)通常將這種風(fēng)險(xiǎn)轉(zhuǎn)移給網(wǎng)絡(luò)保險(xiǎn)公司，但現(xiàn)在這變得越來(lái)越難，因?yàn)楸ｋU(xiǎn)公司要求組織必須具備多因素認(rèn)證和終端檢測(cè)與響應(yīng)技術(shù)等特定控制措施，才允許他們購(gòu)買(mǎi)勒索軟件保護(hù)，Barlow補(bǔ)充道。

2. 云漏洞和配置錯(cuò)誤

許多醫(yī)療機(jī)構(gòu)已采用云服務(wù)，作為更廣泛的數(shù)字化轉(zhuǎn)型計(jì)劃的一部分，疫情的爆發(fā)和對(duì)遠(yuǎn)程醫(yī)療服務(wù)需求的增加加速了這一轉(zhuǎn)變，結(jié)果，患者健康信息(PHI)和其他敏感數(shù)據(jù)越來(lái)越多地托管在供應(yīng)商的云環(huán)境中。

Infoblox產(chǎn)品副總裁Anthony James表示，這一趨勢(shì)擴(kuò)大了醫(yī)療機(jī)構(gòu)的攻擊面，使其更容易受到針對(duì)PHI、保險(xiǎn)信息及其他敏感數(shù)據(jù)的攻擊，他指出，醫(yī)療機(jī)構(gòu)通常使用多個(gè)云供應(yīng)商和服務(wù)，這些服務(wù)的安全標(biāo)準(zhǔn)和做法各不相同，使得在整個(gè)云環(huán)境中實(shí)施一致的數(shù)據(jù)保護(hù)政策變得困難。

根據(jù)CyberRisk Alliance Business Intelligence為Infoblox進(jìn)行的2021年調(diào)查，53%的醫(yī)療IT專(zhuān)業(yè)人士表示，他們的組織在過(guò)去12個(gè)月內(nèi)經(jīng)歷了與云相關(guān)的數(shù)據(jù)泄露。2021年3月，健康計(jì)劃管理服務(wù)提供商PeakTPA披露，約5萬(wàn)名Medicare和Medicaid計(jì)劃客戶的PHI從其兩個(gè)云服務(wù)器中被訪問(wèn)并提取。另一個(gè)廣為人知的案例發(fā)生在2020年，當(dāng)時(shí)發(fā)現(xiàn)超過(guò)310萬(wàn)名患者的敏感數(shù)據(jù)暴露在一個(gè)未經(jīng)保護(hù)的云數(shù)據(jù)庫(kù)中，據(jù)信該數(shù)據(jù)庫(kù)屬于一家患者管理軟件供應(yīng)商。

在Infoblox調(diào)查中，超過(guò)三分之一(34%)的受害者表示，他們的泄露事件給公司帶來(lái)了200萬(wàn)美元或更多的損失，47%的人表示，他們?cè)庥鲠槍?duì)云托管資產(chǎn)的惡意軟件攻擊，37%的人表示他們經(jīng)歷了涉及PHI和其他存儲(chǔ)在云中的數(shù)據(jù)的內(nèi)部攻擊。

根據(jù)醫(yī)療軟件開(kāi)發(fā)商KMS Healthcare于2024年2月發(fā)布的報(bào)告，最近有61%的醫(yī)療公司表示在過(guò)去12個(gè)月內(nèi)經(jīng)歷過(guò)云網(wǎng)絡(luò)攻擊，其中86%的攻擊導(dǎo)致了財(cái)務(wù)損失或重大損害。

3. 網(wǎng)絡(luò)應(yīng)用攻擊

近年來(lái)，針對(duì)醫(yī)療機(jī)構(gòu)的網(wǎng)絡(luò)應(yīng)用攻擊急劇增加，尤其是在新冠疫情期間，安全供應(yīng)商Imperva的研究人員觀察到，2020年12月，針對(duì)醫(yī)院和其他醫(yī)療目標(biāo)的網(wǎng)絡(luò)應(yīng)用攻擊增加了51%。

2021年，醫(yī)療機(jī)構(gòu)平均每月遭遇498次攻擊，其中跨站腳本攻擊最為常見(jiàn)，其次是SQL注入、協(xié)議操作攻擊和遠(yuǎn)程代碼執(zhí)行/遠(yuǎn)程文件包含攻擊。

Ray表示：“從技術(shù)角度來(lái)看，網(wǎng)絡(luò)應(yīng)用攻擊對(duì)資源不足的醫(yī)療機(jī)構(gòu)來(lái)說(shuō)是極具挑戰(zhàn)性的。”為了解決這個(gè)問(wèn)題，醫(yī)療機(jī)構(gòu)必須實(shí)施能夠提高對(duì)第三方應(yīng)用程序和API連接可見(jiàn)性的控制措施，他指出，只有這樣，安全團(tuán)隊(duì)才能了解誰(shuí)在嘗試訪問(wèn)關(guān)鍵數(shù)據(jù)，以及這種活動(dòng)是否應(yīng)該被允許。

根據(jù)Verizon的一項(xiàng)研究，2021年網(wǎng)絡(luò)應(yīng)用成為醫(yī)療數(shù)據(jù)泄露的首要途徑，該研究基于對(duì)849起事件的分析，其中571起涉及確認(rèn)的數(shù)據(jù)泄露。

SonicWall預(yù)計(jì)，到2024年，約60%的針對(duì)醫(yī)療機(jī)構(gòu)的攻擊目標(biāo)為Microsoft Exchange。

4. 惡意機(jī)器人攻擊

來(lái)自惡意機(jī)器人的流量——例如那些嘗試從網(wǎng)站抓取數(shù)據(jù)、發(fā)送垃圾郵件或下載不需要的軟件——為醫(yī)療機(jī)構(gòu)帶來(lái)了另一個(gè)重大挑戰(zhàn)。當(dāng)全球各國(guó)政府開(kāi)始建立新的網(wǎng)站和數(shù)字基礎(chǔ)設(shè)施以支持新冠疫苗注冊(cè)和預(yù)約時(shí)，這一問(wèn)題變得尤為緊迫。不法分子大量攻擊這些新建、未經(jīng)充分測(cè)試的網(wǎng)站，導(dǎo)致惡意機(jī)器人流量激增。

Imperva表示，在疫情的第一年，醫(yī)療網(wǎng)站上的惡意機(jī)器人流量增加了372%。

Ray指出：“流量增加會(huì)導(dǎo)致合法用戶在嘗試訪問(wèn)醫(yī)療服務(wù)提供商網(wǎng)站上的關(guān)鍵服務(wù)時(shí)遇到停機(jī)和中斷問(wèn)題，這也可能導(dǎo)致機(jī)構(gòu)的基礎(chǔ)設(shè)施成本增加，因?yàn)樗鼈冃枰獞?yīng)對(duì)持續(xù)的高流量壓力，以保持正常運(yùn)行。”

根據(jù)安全供應(yīng)商Barracuda的研究，從2023年1月到2023年6月，惡意機(jī)器人占互聯(lián)網(wǎng)流量的30%。Imperva發(fā)布的最新2024年《惡意機(jī)器人報(bào)告》估計(jì)，惡意機(jī)器人占互聯(lián)網(wǎng)流量的近三分之一(32%)。

Imperva報(bào)告稱(chēng)，醫(yī)療行業(yè)的惡意機(jī)器人流量有所增加，其中33.4%的網(wǎng)站流量來(lái)自惡意機(jī)器人，而上一年為31.7%。

惡意機(jī)器人可能導(dǎo)致醫(yī)療數(shù)據(jù)泄露，例如通過(guò)對(duì)患者賬戶的憑據(jù)填充攻擊，或抓取敏感的健康信息。

Imperva警告說(shuō)，網(wǎng)絡(luò)犯罪分子以機(jī)密的健康信息為目標(biāo)，如患者記錄、病史和保險(xiǎn)詳情，因?yàn)檫@些被盜數(shù)據(jù)可以在暗網(wǎng)出售獲利或用于欺詐活動(dòng)。

5. 網(wǎng)絡(luò)釣魚(yú)攻擊量增加

網(wǎng)絡(luò)釣魚(yú)攻擊對(duì)醫(yī)療行業(yè)構(gòu)成了重大威脅，與其他行業(yè)類(lèi)似。疫情再次為醫(yī)療機(jī)構(gòu)中網(wǎng)絡(luò)釣魚(yú)攻擊量的增加提供了獨(dú)特的背景。Palo Alto Networks的Unit42團(tuán)隊(duì)的研究人員最近進(jìn)行的分析顯示，從2020年12月到2021年2月，針對(duì)藥房和醫(yī)院的網(wǎng)絡(luò)釣魚(yú)攻擊增加了189%，與疫苗相關(guān)的網(wǎng)絡(luò)釣魚(yú)攻擊在同一時(shí)期飆升了530%。

根據(jù)供應(yīng)商的說(shuō)法，在疫情早期，許多網(wǎng)絡(luò)釣魚(yú)誘餌涉及檢測(cè)和個(gè)人防護(hù)設(shè)備(PPE)。隨后，攻擊重點(diǎn)轉(zhuǎn)向了刺激措施和政府救濟(jì)計(jì)劃，最后又集中到疫苗接種推廣。

在疫情期間，由醫(yī)療信息和管理系統(tǒng)協(xié)會(huì)(HIMSS)對(duì)168名醫(yī)療網(wǎng)絡(luò)安全專(zhuān)業(yè)人士進(jìn)行的一項(xiàng)調(diào)查發(fā)現(xiàn)，網(wǎng)絡(luò)釣魚(yú)是大多數(shù)安全事件的典型初始攻擊點(diǎn)。

HIMSS在其報(bào)告中指出：“網(wǎng)絡(luò)釣魚(yú)攻擊是受訪者報(bào)告的重大安全事件的主要類(lèi)型。”它還指出，網(wǎng)絡(luò)釣魚(yú)者是導(dǎo)致醫(yī)療機(jī)構(gòu)重大安全事件的主要威脅行為者。

根據(jù)《HIPAA Journal》報(bào)道，美國(guó)衛(wèi)生與公共服務(wù)部(HHS)編制的統(tǒng)計(jì)數(shù)據(jù)顯示，從2009年10月到2021年底，共報(bào)告了4419起患者健康信息(PHI)泄露事件，其中18%涉及網(wǎng)絡(luò)釣魚(yú)攻擊或電子郵件賬戶的黑客攻擊。

網(wǎng)絡(luò)釣魚(yú)也是針對(duì)醫(yī)療機(jī)構(gòu)的幾起高調(diào)攻擊的初始向量，例如Anthem(2015年)和Magellan Health(2020年)。

英國(guó)醫(yī)學(xué)期刊《BMJ》的一項(xiàng)研究發(fā)現(xiàn)，在一個(gè)月的時(shí)間內(nèi)，發(fā)送給醫(yī)院?jiǎn)T工的電子郵件中約有3%被懷疑為威脅。

盡管許多員工似乎意識(shí)到網(wǎng)絡(luò)釣魚(yú)的風(fēng)險(xiǎn)并做出了適當(dāng)反應(yīng)，但BMJ建議，需要持續(xù)進(jìn)行教育，特別是關(guān)于通過(guò)社交媒體泄露對(duì)攻擊者有潛在利用價(jià)值的信息的風(fēng)險(xiǎn)。

6. 智能設(shè)備

可穿戴和植入式智能醫(yī)療設(shè)備被證明是一個(gè)潛在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，這些技術(shù)確實(shí)能夠提供更好的分析，幫助診斷疾病并支持獨(dú)立生活，但在保護(hù)這些醫(yī)療技術(shù)時(shí)的失誤可能會(huì)使易受攻擊的用戶面臨潛在的攻擊。

2011年已故的Barnaby Jack通過(guò)藍(lán)牙黑客入侵胰島素泵的事件是一個(gè)標(biāo)志性時(shí)刻，該攻擊的最大范圍約為300米。

自那時(shí)以來(lái)，Pen Test Partners的安全研究人員發(fā)現(xiàn)了在公共互聯(lián)網(wǎng)上的“閉環(huán)”胰島素試驗(yàn)數(shù)據(jù)。

Pen Test Partners的總經(jīng)理Ken Munro告訴記者：“在某個(gè)案例中，我們本可以修改由佩戴在體上的連續(xù)血糖監(jiān)測(cè)儀讀取的數(shù)據(jù)，并自動(dòng)遠(yuǎn)程向大約3000名試驗(yàn)用戶注入致命劑量的胰島素。”幸運(yùn)的是，涉事供應(yīng)商對(duì)我們的報(bào)告做出了非常快速的響應(yīng)，并在同一天修復(fù)了系統(tǒng)。

Pen Test Partners還發(fā)現(xiàn)其他連接醫(yī)療設(shè)備存在安全問(wèn)題，包括顱骨刺激器、藥物輸送泵和醫(yī)療機(jī)器人等設(shè)備，幸運(yùn)的是，智能設(shè)備的威脅已被重視，監(jiān)管機(jī)構(gòu)正在采取行動(dòng)。

例如，美國(guó)食品和藥物管理局(FDA)去年推出了《FD&C 524b》法案，旨在推動(dòng)連接醫(yī)療設(shè)備的網(wǎng)絡(luò)安全。