应用

技术

物联网世界 >> 物联网新闻 >> 物联网热点新闻
企业注册个人注册登录

2020年的6大医疗安全威胁

2019-10-21 09:10 企业网D1Net

导读:最近的2019年RSA数据隐私与安全调查询问了欧洲和美国近6400名消费者对其数据安全的看法。调查显示,61%的受访者担心他们的医疗数据被泄露。

由于Anthem和Allscripts等备受瞩目的违规行为,消费者现在更担心他们受保护的健康信息(PHI)会受到损害。最近的2019年RSA数据隐私与安全调查询问了欧洲和美国近6400名消费者对其数据安全的看法。调查显示,61%的受访者担心他们的医疗数据被泄露。

他们有充分的理由对此表示担心。医疗保健行业仍然是黑客的主要目标,并且内部威胁也有很大的风险。

为什么医疗保健行业是黑客的目标

医疗保健组织往往有一些特殊的属性,使其成为了攻击者的诱人目标。一个关键原因是大量的没有定期修补的不同系统。“其中一些是嵌入式系统,由于制造商创建它们的方式,这些系统无法被轻松地修补。”“如果医疗保健的IT部门选择这样做,将会给供应商支持他们的方式带来重大问题。”KnowBe4的首席布道师兼战略官Perry Carpenter说。

医疗保健机构所做事情的关键性质也使他们容易成为攻击者的目标。健康数据在网络犯罪世界中是一种有价值的商品,这自然而然的使它成为了盗窃的目标。因为事关重大--涉及到病人的福祉--医疗保健机构也更有可能支付赎金要求。

下面是未来一年中6个最大的医疗安全威胁。

1. 勒索软件

根据Verizon 2019年的数据泄露调查报告,勒索软件攻击已连续第二年占据了2019年医疗行业所有恶意软件?#24405;?#30340;70%以上。另一项调查,Radware的信任因素报告显示,只有39%的医疗机构认为自己对勒索软件攻击准备得非常充分或极其充分。

没有理由相信勒索软件攻击将会在明年逐渐消失。“在我们充?#26234;?#21270;我们的员工和系统之前,勒索软件将继续被证明是成功的,并获得更多的动力。他们将继续使用的载体是点击某个东西或?#30053;?#26576;个东西的人。”Carpenter说。

原因很简单:黑客认为他们的勒索软件攻击非常有可能成功,因为医院和医疗机构如果无法访问患者记录,就会危及生命。他们会感到压力被迫立即采取行动和支付赎金,而不是经历漫长的备份恢复过程。

“医疗保健是一项事?#25285;?#24182;且与人们的生活息息相关。”Carpenter说。“任?#38382;?#20505;,当你的企业与人们生活中最私人、最重要的部分交织在一起,并可能对其造成威胁?#20445;?#20320;都需要立即做出反应。这对部署勒索软件的网络罪犯?#27492;?#38750;常?#34892;А!?/p>

当医疗保健组织无法迅速恢?#35789;保?#21202;索软件的影响可能是毁灭性的。当电子健?#23548;?#24405;(EHR)公司Allscripts在一月份因一次恶意软件攻击而关闭?#20445;?#36825;一点就被戏剧性地提出来了。该攻击感染了两个数据中心,并导致许多应用程序离线,影响了数以千计的医疗保健提供商客户。

2. 窃取患者数据

对网络罪犯?#27492;担?#21307;疗保健数据可能比财务数据更有价值。根据趋势科技的网络犯罪和医疗行业报告中所提到的其他威胁,被盗的医疗保险身份证在暗网?#29616;?#23569;可以卖1美元,而医疗档案的起价为5美元。

黑客可以使用身份证和其他医疗数据中的数据来获取政府文件,如驾?#24674;?#29031;,根据趋势科技的报告,这些文件的售价约为170美元。一个完整的农场身份--一个由完整的PHI和死者的其他身份数据创建的身份--可以卖到1000美元。相比之下,信用卡号码在黑网?#29616;?#33021;够卖到几便士。

Carpenter?#25285;骸?#21307;疗记录之所以比信用卡数据更有价?#25285;?#26159;因为它们在一个地方聚集了大量信息。”包括个人的财务信息和关键的背景数据。“身份盗窃所需的一切都在那里。”

罪犯在如何窃取健康数据方面变得越来越狡猾了。伪勒索软件就是一个例子。“看起来像勒索软件的恶意软件,但其实并没有做勒索软件所做的所?#34892;?#24694;的事情,”Carpenter说。“在其掩盖下,它窃取医疗记录或在系统间横向移动,安装其他间谍软件或恶意软件,这些软件或恶意软件将在以后对罪犯有利。”

正如下一节所解释的,医疗保健行业的?#30340;?#20154;士也在窃取患者数据。

3. 内部威胁

根据Verizon的防止健康信息数据泄露报告,59%被调查的医疗服务提供商的数据泄露?#24405;?#30340;行动者是内部人员。在83%的情况下,经济收益是其主要动机。

很大一部分内部违规行为是出于乐趣或好奇心,主要是访问他们工作职责之外的数据--?#28909;?#26597;阅名人的个人信息。间谍活动和积怨也是动机之一。“在病人留在医疗系统中的过程中,有几十个人可以获得其医疗记录,”Fairwarning公司的首席执?#27844;貹urt Long说。“正因为如此,医疗保健提供商往往也有着松散的访问控制。普通员工可以访问大量数据,因为他们需要快速获取数据来照顾他人。”

医疗机构?#32961;?#21516;系统的数量也是因素之一。这不仅包括计费和注册部门,还包括了专门用于妇产科、肿瘤学、诊断和其他的临床系统,Long说。

“从窃取病人数据到用于身份盗窃或医疗身份盗窃的欺诈计划,都可以获得财务上的回报。这已经成为了该行业的一个常规部分了,”Long说。“人们正在为自己或朋友或家人改变?#35828;ィ?#25110;者进行阿片类药物的转移或处方转移。他们可以获取处方并出售它们以获取利润。”

“当你从总体上看阿片类药物的危机?#20445;?#36825;就是对医疗保健环境的直接解释,在医疗保健环境中,医护人员正坐在系统中阿片类药物的金矿上面,”Long说。“这是阿片类药物整体危机的最新数据。医护人员认识到了它们的价?#25285;?#20182;们可能会沉迷于它们,或者利用他们获得的处方来获得经?#32654;?#30410;。”

Long指出,内部人?#30475;?#31363;取的患者数据中获利的一个公开例子就是Memorial医疗系统的案例。去年,该公司支付了550万美元的HIPAA和解金,以?#31169;?#19968;项内部违规行为,即两名员工访问了超过11.5万名患者的PHI。这一违规行为导致Memorial医疗系统彻底改变了其隐私和安全姿态,以帮助防范未来的内部人员和其他威胁。

4. 网络钓鱼

网络钓鱼是攻击者获取系统入口最常用的手段。它可用于安装勒索软件、?#29992;?#33050;本、间谍软件以及窃取数据的代码。

一些人认为医疗保健更容易受到网络钓鱼的攻击,但数据显示的情况并非如此。KnowBe4的一项研究表明,在遭受钓鱼攻击方面,医疗保健行业与大多数其他行业不相上下。一家拥有250到1000名员工的医疗机构,在没有接受过安全意识培训的情况下,遭受网络钓鱼攻击的几率为27.85%,而所?#34892;?#19994;的平均几率为27%。

Carpenter?#25285;骸?你可能会认为)利他主义、迫在眉睫的生死状况可能会导致人们做好心理准备,去点击一些让(医疗工作者)更容易受到影响的东西,但调查数字并没有证明这一点。”

当谈到网络钓鱼的敏感性?#20445;?#35268;模很重要。KnowBe4的数据显示,员工在1,000人以上的医疗机构中,平均有25.6%的人可能会被诈骗。“在拥有1000多名员工的组织中,我们看到他们中的大多数?#31169;?#21463;了更多一点的培?#25285;?#24182;会在更高的复杂程度?#26174;?#20316;,因为他们必须建立不同的系统来遵守严格的法规,”Carpenter说。

5. ?#29992;?#25366;矿

秘密劫持系统以开采?#29992;?#36135;币是所?#34892;?#19994;中日益?#29616;?#30340;问题。医疗保健中所使用的系统是?#29992;?#25366;矿(cryptojacking)非常有吸引力的目标,因为保持它们的运行至关重要。该系统运行的时间越长,犯罪分子就越有可能获得?#29992;?#36135;币。“在医院环境中,?#35789;够?#30097;有人在?#29992;?#25366;矿,他们?#37096;?#33021;不会急于拔掉机器的插头,”Carpenter说。“受病毒感染的机器运行的时间越长,对罪犯的?#20040;?#23601;越大。”

这还是在假设医疗保健提供者能?#24739;?#27979;到?#29992;?#25366;矿操作的情况下。?#29992;?#25366;矿代码不会损害系统,但是会消耗大量的计算能力。只有当系统和生产力变慢时才有可能识别到它。一些?#29992;?#25366;矿者会限制他们的代码以?#26723;?#26816;测风险。而许多医疗保健组织也没有IT或安全人员来识别和修复这种?#29992;?#36135;币攻击。

6. 被黑客入侵的物联网设备

医疗设备的安全多年来就一直是医疗保健领域的热点问题,众所周知,许多网络或互联网连接的医疗设备非常容易受到攻击。问题的关键是,许多医疗设备的设计并没有考虑到网络安全问题。在可能的情况下,修补通常只提供边缘保护。

根据从2019年初开始的Irdeto全球互联行业网络安全调查,82%的医疗机构表示,他们在过去的12个月里经历过针对物联网设备的网络攻击。这些袭击的平均财务影响为346205美元。这些攻击最常见的影响是操作停机(47%),其?#38382;?#23458;户数据泄露(42%)和终端用户的安全性泄露(31%)。

在制造商开始制造更安全的设备之前,医疗保健领域易受攻击的医疗设备和其他连?#30001;?#22791;将继续是一个威胁。虽然问题很普遍,但更新、更安全的型号要取代旧型号还需要很多年。

最小化医疗安全威胁的技巧

更好地修补和更新关键系统。“事实上,那些旧的未修补系统常常是作为关键设备嵌入的,这导致了勒索软件的更大威胁,”Carpenter说。这可能会很困难,因为修补过程可能会中断关键系统或削弱供应商支持系统的能力。

在某些情况下,或许也没有可用于已知漏洞的修补程序。Carpenter建议应该在供应商没有或不能修补或更新系统的情况下向他们施压。“与供应商保持积极的关?#25285;?#35810;问为什么这些系统不能或没有更新,并保持一个行业的压力。”

培训员工。根据KnowBe4的研究,医疗保健行业在培训员工识别网络钓鱼方面低于平均水平。许多医疗保健机构的规模很小,不到1000名员工,这可能是一个因素。Carpenter?#25285;骸?#36825;不仅仅是要告诉他们应该做什么。”你需要创建一个行为模拟程序,来?#30423;?#20182;们不要点击网络钓鱼链接。

这个程序意味着需要发送模拟钓鱼邮件。点击链接的员工应该会立?#35789;?#21040;关于他们做了什么以及他们应该如何做正确事情的反馈。这样的项目会产生巨大的影响。

如果长期坚持使用,培训就会起作用。KnowBe4的研究显示,在拥有250至999名员工的医疗机构中,经过一年的网络钓鱼培训和测?#38498;螅?#20854;对网络钓鱼的敏感度可从27.85%降至1.65%。

小心?#27844;?#21592;工的信息。网络钓鱼攻击越个性化,成功的可能性就越大。在鱼叉式网络钓鱼攻击中,攻击者会试图尽可能多地?#31169;?#30446;标个人。Carpenter?#25285;骸?#22914;果不在办公室的回复给出了要联系的人的名字,攻击者就可以通过使用这些名字和关系链来建立信任。”。

增强你防御和应对威胁的能力。“我(对医疗安全)最担心的事情是,医护人员缺乏在发现事故后进行适当调查的能力,缺乏对事?#24335;?#34892;记录和评估危害的能力,缺乏与执法部门或法律部门合作以进行充分取证的能力。他们也缺乏能够进?#32961;?#25937;的员工,无法保证这?#26234;?#20917;再也不会发生了,”Long说。他的建议是:“通过员工或合作伙伴关系来获得正确的专业知识。”他补充?#25285;?#23433;全性需要成为董事会和管理层的优先事项。“确定安全优先级后的第一步是确保您有一个具有适用经验的敬业的CISO。”

规模较小的医疗保健提供商可能没有?#35797;?#38599;佣CISO,但他们仍然需要优先考虑安全性,Long说。“他们可能需要在获得一流的安全专业知识方面更具创造性。这可能是通过合作或管理安全服务实现的,但没有人能够代替他们自己站出?#27492;担?#25105;的病人应该得到安全保障,我必须致力于合作或让合适的安全人员进入到这里。”


大胆的戴夫和荷鲁斯之眼彩金
网上现在卖什么最赚钱吗 淘宝包邮怎样赚钱 黑龙江省种植什么赚钱 新挑战赚钱攻略 灭世传奇手游赚钱攻略 中青看点和东方头条哪个赚钱快 赚钱宝第三方支付 小型幼儿园怎么赚钱 男主播开直播赚钱吗 梦幻五开通过什么赚钱吗 广告ae能赚钱吗 淘宝客做店铺赚钱 吗 做软件的人怎么赚钱 怎么培养赚钱的脑子 赚钱挖矿农场APPw 香港演艺界北上赚钱