信息來源：FreeBuf 

剛過完年回來，國(guó)內(nèi)幾家醫(yī)院遭遇黑客攻擊引發(fā)了大量的關(guān)注，對(duì)于醫(yī)療機(jī)構(gòu)安全的擔(dān)憂，早就已經(jīng)不是新鮮事。這不只是國(guó)內(nèi)的現(xiàn)狀，放眼全球，醫(yī)療保健機(jī)構(gòu)依然是勒索軟件、數(shù)據(jù)盜竊、網(wǎng)絡(luò)釣魚以及內(nèi)部威脅的重點(diǎn)目標(biāo)。

RSA近期發(fā)布的《數(shù)據(jù)隱私報(bào)告》調(diào)查了歐洲和美國(guó)的7500名消費(fèi)者。59％的受訪者擔(dān)心他們的醫(yī)療數(shù)據(jù)受到損害，39％的人擔(dān)心黑客會(huì)篡改他們的醫(yī)療信息。

他們的確有理由擔(dān)心，醫(yī)療保健行業(yè)除了面臨黑客的針對(duì)之外，內(nèi)部威脅也讓其存在重大風(fēng)險(xiǎn)。

為什么醫(yī)療保健行業(yè)成為黑客的目標(biāo)？

醫(yī)療機(jī)構(gòu)往往具備一些屬性，使其對(duì)于攻擊者來說非常有吸引力。一個(gè)關(guān)鍵原因在于不同系統(tǒng)的數(shù)量，并且沒有定期打補(bǔ)丁。KnowBe4的首席傳播者和戰(zhàn)略官員Perry Carpenter說：“其中一些是嵌入式系統(tǒng)，取決于制造商創(chuàng)建的方式，并不是那么容易修復(fù)。如果醫(yī)療機(jī)構(gòu)的IT部門”

醫(yī)療機(jī)構(gòu)往往具備一些屬性，使其成為攻擊者的有吸引力的目標(biāo)。一個(gè)關(guān)鍵原因是不定期打補(bǔ)丁的不同系統(tǒng)的數(shù)量。“其中一些是嵌入式系統(tǒng)，由于制造商創(chuàng)建它們的方式，不能很容易地進(jìn)行修補(bǔ)。如果醫(yī)療機(jī)構(gòu)IT部門處理不當(dāng)，將會(huì)給提供支持的供應(yīng)商帶來麻煩。”

健康數(shù)據(jù)在網(wǎng)絡(luò)犯罪世界中是一種有價(jià)值的商品，并且使其成為盜竊的目標(biāo)，醫(yī)療機(jī)構(gòu)的這種關(guān)鍵屬性使其處于攻擊者的視線之下。由于受到威脅的是病人的健康，醫(yī)療機(jī)構(gòu)更有可能支付勒索軟件的需求。

接下來是今年醫(yī)療機(jī)構(gòu)可能遭遇的五大安全威脅。

1.勒索軟件

根據(jù)2017年的CryptoniteNXT醫(yī)療保健網(wǎng)絡(luò)研究報(bào)告，醫(yī)療機(jī)構(gòu)十大安全事故中，有六起是勒索軟件攻擊導(dǎo)致。報(bào)告指出，重大勒索軟件攻擊（影響超過500名患者）的總數(shù)從2016年的19起增加至2017年的36起。

沒有理由相信勒索軟件攻擊今年將會(huì)停止?！霸谖覀兂浞謴?qiáng)化我們的員工防范意識(shí)和系統(tǒng)安全性之前，勒索軟件將繼續(xù)取得成功并獲得更多滿足。他們將繼續(xù)利用使用者的疏忽，誘騙他們點(diǎn)擊某個(gè)東西或下載某些東西”，Carpenter說。

原因很簡(jiǎn)單：黑客認(rèn)為他們的勒索軟件攻擊更有可能成功，因?yàn)獒t(yī)院、醫(yī)療機(jī)構(gòu)和其他衛(wèi)生組織如果無法訪問患者記錄，就會(huì)將無數(shù)生命置于危險(xiǎn)之中。他們將不得不立即采取行動(dòng)并支付贖金，而不是經(jīng)歷從備份中恢復(fù)數(shù)據(jù)那樣漫長(zhǎng)的過程。

“醫(yī)療保健是一項(xiàng)業(yè)務(wù)，但醫(yī)療保健也涉及人們的生活”，Carpenter說?！叭魏螘r(shí)候，如果你的業(yè)務(wù)與人們生活中最私人和最重要的部分相交叉，并且對(duì)此構(gòu)成威脅，則需要立即作出反應(yīng)。這對(duì)于部署勒索軟件的網(wǎng)絡(luò)犯罪分子來說，是一個(gè)非常值得利用的弱點(diǎn)。”

當(dāng)醫(yī)療機(jī)構(gòu)無法迅速恢復(fù)正常時(shí)，勒索軟件的影響可能是毀滅性的。當(dāng)電子病歷（EHR）公司Allscripts在1月份因勒索軟件攻擊而關(guān)閉時(shí)，這一點(diǎn)非常明顯。這次攻擊感染了兩個(gè)數(shù)據(jù)中心，并使許多應(yīng)用程序脫機(jī)，影響了成千上萬的醫(yī)療保健提供商。

2.盜竊病人數(shù)據(jù)

對(duì)于網(wǎng)絡(luò)犯罪分子來說，醫(yī)療保健數(shù)據(jù)可能比財(cái)務(wù)數(shù)據(jù)更有價(jià)值。根據(jù)趨勢(shì)科技《醫(yī)療機(jī)構(gòu)面臨的網(wǎng)絡(luò)犯罪和其他威脅報(bào)告》，被盜的醫(yī)療保險(xiǎn)身份證在黑色網(wǎng)站上至少售價(jià)1美元，醫(yī)療檔案價(jià)格從每個(gè)5美元起。

根據(jù)趨勢(shì)科技報(bào)告，黑客可以使用身份證和其他醫(yī)療數(shù)據(jù)中的數(shù)據(jù)獲取政府文件，如駕駛執(zhí)照，售價(jià)約為170美元。從完整的PHI和死者身份數(shù)據(jù)中創(chuàng)建一個(gè)完整的身份證，能夠以1,000美元的價(jià)格出售。相比之下，信用卡號(hào)碼在黑暗網(wǎng)絡(luò)上的售價(jià)則要便宜得多。

Carpenter說：“醫(yī)療記錄的價(jià)值遠(yuǎn)遠(yuǎn)超過信用卡數(shù)據(jù)等，因?yàn)樗鼈儏R集了大量信息?！?這包括個(gè)人的財(cái)務(wù)信息和主要背景數(shù)據(jù)。“身份盜竊者需要的一切都在那里?！?

犯罪分子竊取健康數(shù)據(jù)的手段也越來越狡猾，偽勒索軟件就是一個(gè)例子。Carpenter說：“這是惡意軟件，看起來像勒索軟件，但是并不會(huì)做什么太具破壞性的事情。在這些外表之下，它竊取醫(yī)療記錄或安裝其他間諜軟件或惡意軟件，這些將會(huì)在以后對(duì)犯罪分子有利?！?

正如下一節(jié)所解釋的，醫(yī)療保健內(nèi)部人員也在竊取患者數(shù)據(jù)。

3.內(nèi)部威脅

根據(jù)最近發(fā)布的《受保護(hù)健康信息泄露報(bào)告》，遭遇數(shù)據(jù)泄露事故的醫(yī)療機(jī)構(gòu)中，57.5％是內(nèi)部人士所為。外部攻擊者只有42％。財(cái)務(wù)收益是內(nèi)部威脅的主要?jiǎng)訖C(jī)，達(dá)到48％。對(duì)于外部攻擊者來說，90％的案例都是獲得經(jīng)濟(jì)收益的動(dòng)機(jī)。

例如，很大一部分內(nèi)部人違規(guī)行為都是出于好奇心，主要是在他們的工作職責(zé)之外訪問數(shù)據(jù) – 例如查找名人的PHI。間諜活動(dòng)和解決怨恨也是動(dòng)機(jī)。Fairwarning首席執(zhí)行官Kurt Long表示：“在患者入住醫(yī)療系統(tǒng)的過程中，有數(shù)十人可以獲得醫(yī)療記錄?！耙虼?，醫(yī)療服務(wù)提供者往往會(huì)有寬松的訪問控制。一般工作人員可以訪問大量數(shù)據(jù)，因?yàn)樗麄冃枰焖佾@取數(shù)據(jù)以關(guān)注特定的患者?！?

醫(yī)療機(jī)構(gòu)中不同系統(tǒng)的數(shù)量也是一個(gè)因素。Long說，這不僅包括賬單和注冊(cè)，還包括專門用于婦產(chǎn)科，腫瘤科，診斷和其他臨床系統(tǒng)的系統(tǒng)。

“用錢可以辦成很多事情，從盜竊病人數(shù)據(jù)到身份盜竊或?qū)嵤┽t(yī)療身份盜竊欺詐計(jì)劃。這幾乎成為了該行業(yè)黑產(chǎn)中常規(guī)操作，“Long說?！坝腥藶樽约夯蚺笥迅馁~單，或者修改鴉片類藥物或處方藥。他們捕獲處方并將其出售以謀取利潤(rùn)?！?

Long說：“當(dāng)你總體考察鴉片類藥物危機(jī)時(shí)，它已經(jīng)變成為醫(yī)療機(jī)構(gòu)工作者 利用職權(quán)開局鴉片類藥物處方來獲取利益的的常見情形?！斑@是阿片類藥物總體危機(jī)中的最新數(shù)據(jù)點(diǎn)，醫(yī)療保健工作者認(rèn)識(shí)到他們的價(jià)值，他們可能會(huì)沉迷于這些或使用他們獲得經(jīng)濟(jì)利益?！?

去年，Memorial Healthcare Systems公司支付了550萬美元的HIPAA協(xié)議，以解決兩名員工訪問超過115,000名患者的PHI的內(nèi)部人員違規(guī)問題。這一違規(guī)行為導(dǎo)致Memorial完全改變了其隱私和安全態(tài)勢(shì)，以防范未來內(nèi)部人士和其他威脅。

4.網(wǎng)絡(luò)釣魚

網(wǎng)絡(luò)釣魚是攻擊者進(jìn)入系統(tǒng)最常用的手段。它可以用來安裝勒索軟件，密碼腳本，間諜軟件或代碼來竊取數(shù)據(jù)。

有些人認(rèn)為醫(yī)療保健更容易受到網(wǎng)絡(luò)釣魚企圖的影響，但數(shù)據(jù)顯示的情況卻不太一樣。KnowBe4的一項(xiàng)研究表明，醫(yī)療保健與大多數(shù)其他行業(yè)在被網(wǎng)絡(luò)釣魚攻擊方面一樣。擁有250至1,000名員工并且未接受安全意識(shí)培訓(xùn)的醫(yī)療機(jī)構(gòu)，有27.85％的機(jī)會(huì)成為網(wǎng)絡(luò)釣魚企業(yè)的受害者，而所有行業(yè)平均為27％。

Carpenter說：“從利他主義的角度來看，醫(yī)療工作者經(jīng)常接觸涉及患者生命安全的情況，可能更容易去點(diǎn)擊釣魚郵件，但從調(diào)查結(jié)果來看，似乎也并非如此。”

在應(yīng)對(duì)網(wǎng)絡(luò)釣魚的敏感問題時(shí)，網(wǎng)絡(luò)規(guī)模至關(guān)重要。根據(jù)KnowBe4的數(shù)據(jù)顯示，擁有1,000名或以上員工的醫(yī)療機(jī)構(gòu)有25.6％可能被盜用?！坝?000多名員工的組織中，我們發(fā)現(xiàn)他們中的大多數(shù)人已經(jīng)接受了相關(guān)的培訓(xùn)，并且在更高層次上運(yùn)作，因?yàn)樗麄儽仨氈贫ú煌南到y(tǒng)來遵守嚴(yán)格的規(guī)定。”Carpenter說。

5.Cryptojacking

秘密劫持系統(tǒng)以竊取加密貨幣是所有行業(yè)都面臨的難題。由于醫(yī)療機(jī)構(gòu)的特殊屬性，其使用的系統(tǒng)是非常有吸引力的目標(biāo)，因?yàn)楸３炙鼈冞\(yùn)行至關(guān)重要。系統(tǒng)運(yùn)行時(shí)間越長(zhǎng)，犯罪分子就越能夠挖掘加密貨幣?！霸卺t(yī)院環(huán)境下，即便懷疑被劫持，他們也不可能立即關(guān)閉系統(tǒng)，”卡彭特說?！皺C(jī)器運(yùn)轉(zhuǎn)的時(shí)間越長(zhǎng)，它對(duì)罪犯的益處就越大?！?

假設(shè)醫(yī)療保健提供者可以檢測(cè)Cryptojacking。挖礦代碼不會(huì)損害系統(tǒng)，但會(huì)消耗大量的計(jì)算能力。識(shí)別它的最可能方式是系統(tǒng)和生產(chǎn)力變慢。一些cryptojackers會(huì)減少系統(tǒng)占用資源，以減少檢測(cè)風(fēng)險(xiǎn)。許多醫(yī)療機(jī)構(gòu)沒有IT或安全人員來識(shí)別和應(yīng)對(duì)這種挖礦攻擊。

減少醫(yī)療保健安全威脅的建議

及時(shí)修補(bǔ)和更新關(guān)鍵系統(tǒng)

Carpenter說：“事實(shí)擺在那里，那些老舊的、未打補(bǔ)丁的系統(tǒng)作為關(guān)鍵設(shè)備嵌入，本身會(huì)導(dǎo)致重大漏洞，惡意軟件勢(shì)必會(huì)盡量利用。但更新系統(tǒng)也并不容易，因?yàn)樾扪a(bǔ)過程可能會(huì)破壞關(guān)鍵系統(tǒng)或損害供應(yīng)商支持系統(tǒng)的能力。

在某些情況下，沒有可用于已知漏洞的修補(bǔ)程序。Carpenter建議在供應(yīng)商沒有或不能修補(bǔ)或更新系統(tǒng)的情況下向供應(yīng)商施壓?！皩?duì)供應(yīng)商采取積極的態(tài)度，并問為什么這些系統(tǒng)不能或沒有得到更新，并保持作為一個(gè)行業(yè)的壓力?！?

培訓(xùn)員工

根據(jù)KnowBe4的研究，醫(yī)療保健服務(wù)的平均值低于培訓(xùn)員工識(shí)別網(wǎng)絡(luò)釣魚企圖的平均值。許多醫(yī)療保健機(jī)構(gòu)都很小 （少于1000名員工），這可能是一個(gè)因素?！斑@不僅僅是告訴他們什么正確的事情該做，而是培養(yǎng)一種安全意識(shí)，能夠分辨并意識(shí)到不去點(diǎn)擊釣魚鏈接?！笨ㄅ硖卣f。

該計(jì)劃意味著發(fā)送模擬網(wǎng)絡(luò)釣魚電子郵件。點(diǎn)擊鏈接的員工應(yīng)該立即獲得反饋，要了解他們做了什么以及他們將來如何做正確事情，這樣的培訓(xùn)計(jì)劃可以產(chǎn)生巨大的影響。

KnowBe4的研究表明，250到999名員工的醫(yī)療機(jī)構(gòu)在一年的網(wǎng)絡(luò)釣魚訓(xùn)練和測(cè)試后，其網(wǎng)絡(luò)釣魚敏感度可從27.85％下降到1.65％。

小心有關(guān)員工的信息

網(wǎng)絡(luò)釣魚攻擊越個(gè)性化，它的成功機(jī)會(huì)就越大。在魚叉式網(wǎng)絡(luò)釣魚攻擊中，攻擊者試圖盡可能多地了解目標(biāo)個(gè)人。Carpenter說：“如果在辦公室之外的場(chǎng)合不小心透露了相關(guān)的員工信息，攻擊者可以通過使用這些名稱和關(guān)系鏈來建立信任?！?

增強(qiáng)抵御和應(yīng)對(duì)威脅的能力

“讓我感到擔(dān)憂的是，大部分醫(yī)療機(jī)構(gòu)在事故發(fā)生之后，缺乏適當(dāng)調(diào)查的能力，記錄事件和評(píng)估傷害的能力。他們也缺乏安全補(bǔ)救的人員，以免再次發(fā)生這種情況，”Long說。他的建議是：“通過合作伙伴或合作伙伴獲得正確的專業(yè)知識(shí)。”他補(bǔ)充說，安全需要成為董事會(huì)和高管層的優(yōu)先考慮事項(xiàng)?！按_定安全優(yōu)先級(jí)后的第一步是，確保您擁有一個(gè)具有適用經(jīng)驗(yàn)的專用CISO?！?

Long說，較小的醫(yī)療服務(wù)提供商可能沒有資源聘用CISO，但他們?nèi)孕枰獌?yōu)先考慮安全性?！八麄兛赡苄枰ㄟ^其他途徑獲得一流的安全專業(yè)知識(shí)。這可能是通過合作伙伴或托管安全服務(wù)，并能夠深刻意識(shí)到’我的病人應(yīng)該得到安全，我必須致力于合作或讓合適的安全人員來到這里?！?