2020年的6大医疗安全威胁

由于备受关注的违规行为,如国歌和所有脚本,消费者现在更担心他们受保护的健康信息(PHI)受到的损害。最新的2019年RSA数据隐私和安全调查询问了欧洲和美国近6400名消费者对数据安全的看法。根据调查,61%的受访者担心他们的医疗数据会被泄露。

他们有充分的理由担心这个。医疗保健行业仍然是黑客的主要目标,内部威胁也非常危险。

2020年的6大医疗安全威胁

为什么医疗保健行业是黑客的目标

医疗保健机构通常有一些特殊的属性,使得它们成为攻击者的诱人目标。一个关键原因是大量不同的系统没有定期修补。“其中一些是嵌入式系统,由于制造商的制造方式,无法轻松修补。”“如果医疗保健信息技术部门选择这样做,将会给供应商的支持方式带来重大问题。”KnowBe4首席传教士兼战略官佩里·卡彭特(Perry Carpenter)说。

医疗保健机构所做的事情的关键性质也使得它们容易成为攻击者的目标。健康数据在网络犯罪世界中是一种有价值的商品,这自然使其成为盗窃的目标。因为风险很高——涉及病人的福祉——医疗保健机构也更有可能支付赎金。

下面是未来一年中6个最大的医疗安全威胁。

1. 勒索软件

根据威瑞森2019年数据披露调查报告,勒索软件攻击已经连续第二年占到医疗行业所有恶意软件事件的70%以上。另一项调查,Radware的信任因素报告显示,只有39%的医疗机构认为他们已经为敲诈软件攻击做好了非常充分的准备。

没有理由相信勒索软件攻击明年会逐渐消失。“在我们充分加强员工和系统之前,勒索软件将继续证明是成功的,并获得更多的动力。他们将继续使用的载体是点击某物或下载某物的人。”卡彭特说。

原因很简单:黑客认为他们的勒索软件攻击很有可能成功,因为如果医院和医疗机构不能访问患者记录,将会危及他们的生命。他们会感到压力,要求立即采取行动并支付赎金,而不是经历漫长的备份恢复过程。

“医疗保健是一项业务,与人们的生活密切相关.”卡彭特说。“每当你的业务与人们生活中最私人、最重要的部分交织在一起,并可能对其构成威胁时,你需要立即做出反应。这对部署勒索软件的网络罪犯非常有效。”

当医疗保健机构无法快速恢复时,勒索软件的影响可能是毁灭性的。今年1月,由于恶意软件攻击,电子健康记录(EHR)公司Allscripts被关闭,这一数字急剧上升。该攻击感染了两个数据中心,并导致许多应用程序离线,影响了数以千计的医疗保健提供商客户。

2. 窃取患者数据

对于网络罪犯来说,医疗保健数据可能比财务数据更有价值。根据趋势科技的网络犯罪和医疗行业报告中提到的其他威胁,被盗医疗保险身份证在互联网上的售价至少为1美元,而医疗档案的起价为5美元。

黑客可以使用身份证和其他医疗数据获取政府文件,如驾照,根据趋势科技的报告,这大约需要170美元。完整的农场身份——由完整的PHI和死者的其他身份数据创建的身份——可以卖到1000美元。相比之下,信用卡号码在黑网上只能卖几便士。

Carpenter说:“医疗记录比信用卡数据更有价值,因为它们在一个地方收集了很多信息。”包括个人财务信息和关键背景数据。”身份盗窃所需的一切都在那里.”

罪犯在如何窃取健康数据方面变得越来越狡猾。伪勒索软件就是一个例子。卡彭特说:“看起来像敲诈软件的恶意软件,但它不会像敲诈软件那样做所有邪恶的事情。”。“在它的掩护下,它窃取病历或在系统之间横向移动,安装其他间谍软件或恶意软件,这将在未来造福罪犯。”

正如下一节所解释的,医疗保健专业人员也在窃取患者数据。

3. 内部威胁

根据威瑞森关于防止健康信息数据泄露的报告,接受调查的医疗服务提供商中有59%报告了内部人员的数据泄露事件。在83%的情况下,经济回报是主要动机。

很大一部分内部违规行为是出于快乐或好奇,主要是访问工作职责之外的数据——比如查找名人的个人信息。间谍活动和仇恨也是动机之一。“当病人留在医疗系统时,数十人可以查阅他们的病历,”费尔韦伦公司的首席执行官库尔特·朗说。“正因为如此,医疗保健提供者往往拥有松散的访问控制。普通员工可以访问大量数据,因为他们需要快速获取数据来照顾他人。”

医疗机构中不同系统的数量也是一个因素。龙说,这不仅包括记账和注册部门,还包括专门用于妇产科、肿瘤学、诊断和其他领域的临床系统。

“从窃取患者数据到身份盗窃或医疗身份盗窃的欺诈计划,都可以获得财务回报。这已经成为该行业的一个常规部分,”龙说。“人们正在为自己、朋友或家人兑换账单,或者转移鸦片制剂或处方。他们可以得到处方并出售以获取利润。”

“当你从总体上看阿片类药物危机时,这是医疗人员坐在系统阿片类药物金矿上的医疗保健环境的直接解释,”龙说。“这是关于整个阿片类药物危机的最新数据。卫生保健工作者认识到他们的价值,他们可能沉溺于这些价值,或者使用他们获得的处方来获得经济利益。”

Long指出,内部人员从被盗患者数据中获利的一个公开例子是纪念医疗系统。去年,该公司支付了550万美元的重债穷国债务清偿,以解决一项内部违规,其中两名员工探访了115,000多名患者。这一违规行为已导致纪念医疗系统彻底改变其隐私和安全姿态,以帮助防止未来的内部人员和其他威胁。

4. 网络钓鱼

网络钓鱼是攻击者获取系统访问权的最常见方法。它可以用来安装勒索软件、加密脚本、间谍软件和窃取数据的代码。

有些人认为医疗保健更容易受到网络钓鱼攻击,但数据显示情况并非如此。KnowBe4的一项研究显示,就网络钓鱼攻击而言,医疗保健行业与大多数其他行业不相上下。拥有250到1000名员工的医疗机构在未接受安全意识培训的情况下,遭受网络钓鱼攻击的几率为27.85%,而所有行业的平均几率为27%。

Carpenter说:“(你可能会认为)利他主义和迫在眉睫的生与死可能会让人们在心理上准备好点击一些让(医务工作者)更加脆弱的东西,但调查数据并没有证明这一点。”

谈到网络钓鱼的敏感性,规模很重要。根据KnowBe4的数据,拥有1000名以上员工的医疗机构中,平均有25.6%可能被欺骗。卡彭特说:“在一个拥有1000多名员工的组织中,我们看到他们中的大多数人接受了更多的培训,并将在更高的复杂程度上运作,因为他们必须建立不同的系统来遵守严格的法规。”。

5. 加密挖矿

挖掘加密货币的秘密劫持系统在所有行业都是一个日益严重的问题。医疗保健中使用的系统是非常有吸引力的密码窃取目标,因为保持它们的运行至关重要。系统运行的时间越长,罪犯获得加密货币的可能性就越大。卡彭特说:“在医院环境中,即使有人被怀疑开采加密矿石,他们也不会急于拔掉机器的插头。”。”受病毒感染的机器运行的时间越长,对罪犯的好处就越大。”

这仍然是假设医疗保健提供商可以检测到加密的挖掘操作。加密挖掘代码不会损坏系统,但会消耗大量计算能力。只有当系统和生产率下降时,才可能认识到这一点。一些加密矿工将限制他们的代码,以降低检测风险。许多医疗保健组织没有信息技术或安全人员来识别和修复这种加密的货币攻击。

6. 被黑客入侵的物联网设备

医疗设备的安全性多年来一直是医疗领域的热点问题。众所周知,许多连接到网络或互联网的医疗设备很容易受到攻击。问题的关键在于许多医疗设备的设计没有考虑网络安全问题。如果可能,修补通常只提供边缘保护。

根据始于2019年初的爱迪德全球互联网行业网络安全调查,82%的医疗机构表示,他们在过去12个月中经历过针对物联网设备的网络攻击。这些袭击的平均财务影响为346,205美元。这些攻击最常见的影响是操作停机(47%),其次是客户数据泄露(42%)和最终用户安全泄露(31%)。

在制造商开始制造更安全的设备之前,医疗保健领域易受攻击的医疗设备和其他连接设备将继续是一个威胁。尽管问题很普遍,但更新更安全的型号要取代旧型号还需要很多年。

最小化医疗安全威胁的技巧

更好地修复和更新关键系统。卡彭特说:“事实上,那些未修补的旧系统通常被嵌入为关键设备,这导致了勒索软件的更大威胁。”。这可能很困难,因为修补过程可能会中断关键系统或削弱供应商支持系统的能力。

在某些情况下,可能没有已知漏洞的修补程序。卡彭特建议,如果供应商没有或不能修理或更新系统,应该对他们施加压力。“与供应商保持积极的关系,询问为什么这些系统不能或没有更新,并保持行业压力。”

培训员工。根据KnowBe4的一项研究,医疗保健行业在培训员工识别网络钓鱼方面低于平均水平。许多医疗保健机构非常小,员工不到1000人,这可能是一个因素。卡彭特说:“这不仅仅是告诉他们该做什么。”您需要创建一个行为模拟器来训练他们不要点击网络钓鱼链接。

此程序意味着发送模拟网络钓鱼电子邮件。点击该链接的员工应该立即收到关于他们已经做了什么以及他们应该如何做正确事情的反馈。这些项目将会产生巨大的影响。

如果你长时间使用它,训练就会成功。KnowBe4的研究表明,在拥有250到999名员工的医疗机构中,经过一年的网络钓鱼培训和测试,他们对网络钓鱼的敏感度可以从27.85%降低到1.65%。

小心员工信息。个性化网络钓鱼攻击越多,成功的可能性就越大。在鱼叉式网络钓鱼攻击中,攻击者将尽可能多地了解目标个人。卡彭特说:“如果办公室外的回复给出了要联系的人的名字,攻击者可以通过使用这些名字和关系链来建立信任。”。

增强防御和应对威胁的能力。“我(对医疗安全)最大的担忧是,医务人员在事故被发现后,缺乏适当调查事故、记录事故和评估危害以及与执法或法律部门合作获取足够证据的能力。他们也缺乏能够补救这种情况的员工,也不能保证这种情况不会再次发生,”龙说。

他的建议是:“通过员工或合作伙伴获得正确的专业知识。”他补充说,安全需要成为董事会和管理层的优先事项。“确定安全优先级后的第一步是确保您有一个具有适用经验的专用CISO。”朗说:“较小的医疗保健提供商可能没有资源雇佣CISO,但他们仍然需要优先考虑安全性。“他们在获取一流的安全专业知识方面可能需要更有创造性。这可以通过安全服务的合作或管理来实现,但没有人能够站出来说我的病人应该得到安全保障,我必须承诺合作或允许适当的安全人员进入这里。”

 

极牛网精选文章《2020年的6大医疗安全威胁》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/4829.html

(32)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
主编的头像主编认证作者
上一篇 2019年10月18日 上午8:22
下一篇 2019年10月18日 上午8:41

相关推荐

发表回复

登录后才能评论
扫码关注
扫码关注
分享本页
返回顶部