最近对RSA进行的2019年数据安全性和隐私调查向欧洲和美国近6400位消费者询问了他们的数据安全性。调查显示,有61%的受访者担心他们的医疗数据会被过滤。
现在,消费者更加担心其受保护的健康信息(PHI)会受到诸如Anthem和Allscripts之类的引人注目的违规行为的危害。最近对RSA进行的2019年数据安全性和隐私调查向欧洲和美国近6400位消费者询问了他们的数据安全性。调查显示,有61%的受访者担心他们的医疗数据会被过滤。
他们有充分的理由对此担心。卫生行业仍然是黑客的主要目标,内部威胁也面临巨大风险。
为什么健康产业成为黑客的目标?
卫生保健组织通常具有一些特殊的属性,使其成为攻击者的有吸引力的目标。一个关键原因是大量不同的系统没有得到定期审查。 “其中一些是集成系统,由于制造商创建它们的方式而无法轻松修补。”他说:“如果医疗保健IT部门选择这样做,提供商将在支持他们方面遇到重大问题。KnowBe4的首席宣教士和战略官Perry Carpenter”。
医疗保健组织所做的事情的关键性质也使它们很容易成为攻击者的目标。健康数据是网络犯罪领域的重要产品,自然使它成为盗窃的目标。因为这非常重要,这意味着患者的福利,所以医疗机构也更有可能支付救援要求。
以下是明年的六种主要医疗安全威胁。
勒索软件
根据Verizon的2019年数据泄露调查报告,勒索软件攻击已连续第二年占2019年医疗行业所有恶意软件事件的70%以上。在另一项调查中,《 Radware信心因子报告》显示,只有39%的医疗保健组织认为他们为勒索软件攻击做好了充分准备。
没有理由相信勒索软件攻击将在明年逐渐消失。 “在全面加强我们的员工和系统之前,我们将继续证明勒索软件是成功的并且获得了更大的发展势头。他们将继续使用的操作员是单击或下载某些东西的人。”他说。
原因很简单:黑客认为他们的勒索软件攻击很可能会成功,因为如果医院和医疗机构无法访问患者记录,可能会危及生命。他们感到被迫立即采取行动并支付赎金而不是经过漫长的备份恢复过程的压力。
卡彭特说:“医疗保健是一项业务,与人们的生活息息相关。” “任何时候,当您的业务与人们生活中最私人和最重要的部分交织在一起并可能受到威胁时,您必须立即做出反应。这对于实施勒索软件的网络罪犯而言非常重要。”现金。”当医疗机构无法迅速恢复时,勒索软件的影响将是灾难性的。当电子病历(EHR)公司Allscripts在一月份因恶意软件攻击而关闭时,这一点得到了极大的提高。这次攻击感染了两个数据中心,并导致许多应用程序断开连接,影响了数千名医疗保健提供者的客户。
2.窃取患者数据
对于网络犯罪分子而言,医疗保健数据可能比财务数据更有价值。根据趋势科技的医疗和网络犯罪报告中提到的其他威胁,被盗的医疗保险身份证在暗网中的售价至少为1美元,而医疗记录的起价为5美元。
根据趋势科技的报告,黑客可以使用身份证数据和其他医疗数据来获取政府文件,例如驾照,价格约为170美元。完整的农场身份(由完整的PHI和死者的其他身份数据创建的身份)可以1,000美元出售。相反,信用卡号码只能在黑网上以几美分的价格出售。
卡彭特说:“医疗记录比信用卡数据更有价值,因为它们在一个地方收集了很多信息。”它包括个人财务信息和关键背景数据。 “身份盗窃所需的一切都在那里。”
犯罪分子对如何窃取健康数据的认识越来越高。伪勒索软件就是一个例子。 Carpenter说:“它看起来像勒索软件恶意软件,但并不能解决勒索软件所做的所有坏事情。” “在他的保护下,他窃取了病历或在系统之间横向移动,安装了其他间谍软件或恶意软件,这将使将来的罪犯受益。”
如下一节所述,医疗保健行业的行业专家也在窃取患者数据。
3.内部威胁
根据《 Verizon健康信息预防数据披露报告》,接受调查的医疗服务提供商的数据流量事件中有59%是内部人员。在83%的情况下,经济回报是其主要动力。
内部违规行为的很大一部分是出于娱乐或好奇心,主要是出于工作职责之外的目的访问数据,例如访问名人的个人信息。间谍活动和投诉也是原因之一。 Fairwarning首席执行官Kurt Long说:“在患者停留在医疗系统期间,数十个人可以访问他们的病历。” “因此,医疗保健提供者通常具有灵活的访问控制。普通员工可以访问大量数据,因为他们需要快速获取数据来照顾他人。”
医疗机构中不同系统的数量也是因素之一。朗说,这不仅包括计费和注册部门,还包括专门用于妇产科,肿瘤学,诊断等的临床系统。朗说:“从窃取患者数据到欺诈性身份盗用或医疗身份盗窃,都可以带来经济利益。这已成为该行业的常规业务。”人们正在为自己,朋友或家人改变账单,或者转让阿片类药物或处方药。他们可以获得处方药并出售以获取利润。”
朗说:“当观察到一般的阿片类药物危机时,这直接说明了卫生保健环境,医护人员坐在该系统中的阿片类药物的金矿上。” “这是一般阿片类药物危机中的最新一例。医疗专业人员认识到它的价值,可以沉迷于他们或使用获得的处方来获得经济利益。”
Long指出,纪念医疗系统就是从受害患者数据中受益的内部信息公开例子。去年,该公司为解决内部违规行为支付了550万美元的HIPAA协议,两名员工到PHI接待了115,000多名患者。这种违规行为导致纪念馆的医疗系统彻底改变了其隐私和安全立场,以帮助保护未来的鉴赏家和其他威胁。
4.网络钓鱼
网络钓鱼是攻击者获得系统访问权限的最常见方法。它可以用于安装勒索软件,加密脚本,间谍软件和窃取数据的代码。
有人认为医疗服务更容易受到网络钓鱼攻击,但是数据表明情况并非如此。 KnowBe4的一项研究表明,就网络钓鱼攻击而言,医疗保健行业可与大多数其他行业相提并论。一家拥有250至1000名员工的医疗机构,未经网络安全意识培训的网络钓鱼攻击率为27.85%,所有行业的平均概率为27%。
卡彭特说:“(您可能会认为)利他主义,迫在眉睫的生死攸关局势可能会使人们在心理上做好准备,以选择使(卫生工作者)更容易受到伤害的事物,但是这些数字调查的结果不能证明这一点。
当涉及网络钓鱼敏感性时,规模很重要。根据KnowBe4的统计,平均而言,拥有1000名以上员工的员工中有25.6%会感到失望。 “在一个拥有1000多名员工的组织中,我们看到他们中的大多数人接受了更多的培训,并且将以更高的复杂度运行,因为他们必须构建不同的系统来满足严格的要求。规定,“木匠说。
5.加密挖矿
在所有行业中,秘密绑架利用加密货币的系统是一个日益严重的问题。医疗保健中使用的系统对于加密劫持是非常诱人的目标,因为保持它们的运行至关重要。系统运行时间越长,犯罪分子获得加密货币的可能性就越大。卡彭特说:“在医院环境中,即使有人怀疑他们正在加密地雷,他们可能也不急于断开机器的连接。” “受病毒感染的计算机运行时间越长,对犯罪者的利益就越大。”这也意味着医疗保健提供者可以检测加密的采矿操作。加密挖掘代码不会损坏系统,但是会消耗大量计算能力。仅当系统和生产率很慢时才可以识别它。一些加密的矿工将限制其代码,以降低被发现的风险。许多医疗保健组织没有IT或安全人员来识别和纠正这种加密货币攻击。
6.盗版物联网设备
多年来,医疗器械的安全性一直是健康领域的热门话题。众所周知,许多连接到Internet或Internet的医疗设备都非常脆弱。问题的关键在于,许多医疗设备在设计时都没有考虑网络安全性。修补程序通常仅在可能时提供边缘保护。
根据于2019年初开始的爱迪德全球互联网行业网络安全调查,有82%的医疗保健组织表示他们在过去12个月中经历了针对IoT设备的网络攻击。这些攻击的平均财务影响为346205美元。这些攻击最常见的影响是运营中断时间(47%),其次是客户数据泄露(42%)和最终用户安全漏洞(31%)。
在制造商开始制造更安全的设备之前,容易受到医疗护理的医疗设备和其他连接的设备将继续构成威胁。尽管问题很普遍,但更新和更安全的型号要花费很多年才能替换旧型号。
尽量减少对医疗安全威胁的提示。
更好地修复和更新关键系统。 “实际上,那些旧的未打补丁的系统通常被集成为关键设备,这对勒索软件造成了更大的威胁,”卡彭特说。这可能很困难,因为修补过程可能会更改关键系统或削弱提供者支持系统的能力。
在某些情况下,可能没有针对已知漏洞的解决方案。 Carpenter建议,如果提供者没有选择修复或升级系统的选项,则应按下这些按钮。 “与供应商保持积极的关系,并询问为什么这些系统尚未更新或受到行业的压力。”
培训员工。根据KnowBe4的说法,医疗保健行业在培训员工识别网络钓鱼方面的能力低于平均水平。许多医疗机构的规模很小,只有不到1000名员工,这可能是一个因素。卡彭特说:“这不只是告诉他们该怎么做。”您必须创建一个行为模拟程序,以使他们不要单击网络钓鱼链接。
此应用程序意味着发送模拟网络钓鱼电子邮件。单击该链接的员工应立即收到关于他们所做的事情以及应该如何做正确的事情的评论。这样的项目会产生很大的影响。
如果长时间保存,此培训将起作用。 KnowBe4研究表明,在拥有250至999名员工的医疗机构中,经过一年的培训和网络钓鱼测试,他们对网络钓鱼的敏感性可以从27.85%降低到1.65%。请注意有关您的员工的信息。网络钓鱼攻击的个性化程度越高,成功的可能性就越大。在鱼叉式网络钓鱼攻击中,攻击者将尝试尽可能多地了解目标个人。卡彭特说:“如果办公室里的答案给出了要联系的人的名字,那么攻击者可以使用这些名字和关系链来建立信任。”
提高防御和应对威胁的能力。 “对我来说(对医疗安全而言)最大的担忧是,医护人员在发现事故后缺乏进行适当调查的能力,他们没有记录和评估风险的能力,并且缺乏合作与执法机构或法律当局进行充分的证据。可容纳人数他们还缺乏可以补救的人员,因此不能保证这种情况将永远不会再次发生。” Long说。他的建议是:“通过员工或协会获得正确的经验。”他补充说,安全应该是优先事项。董事会和管理部门。“确定安全优先级之后的第一步是确保您拥有具有适用经验的专门CISO。”
Long说,较小的医疗保健提供者可能没有资源聘请CISO,但是他们仍然需要优先考虑安全性。 “他们可能需要更有创造力才能获得一流的安全经验。这可以通过安全服务的合作或管理来实现,但是没有人能辩称他们说我的患者应该安全,我必须努力工作。”一起工作或找合适的安全人员到达这里。”
上海IT外包服务网 链接:http://www.linemore.com
中文
电话咨询
微信咨询
公众号
