信息來源:51CTO
毫無疑問,疫情期間醫(yī)院以及相關的醫(yī)療企業(yè)和疾病研究機構都處于人類抗擊病毒努力的最前沿。不過很多醫(yī)療關鍵部門會被網(wǎng)絡攻擊者盯上,來自不同攻擊者、出于不同動機的網(wǎng)絡攻擊急劇增加。
在8月,這種針對醫(yī)療保健機構的情況已經(jīng)非常嚴重,以至于國際紅十字委員會主席向聯(lián)合國安理會發(fā)出了請求:“如果醫(yī)療機構的網(wǎng)絡安全無法保證,則整個人類都將遭殃?!?
醫(yī)療保健網(wǎng)絡安全狀況如何?
讓我們首先回顧一下導致醫(yī)療保健部門面臨來自網(wǎng)絡攻擊者的高風險因素。
基礎設施薄弱,承受著巨大壓力
醫(yī)院的IT基礎設施龐大、復雜,而且往往過時。過去,醫(yī)院和醫(yī)療機構不需要像銀行、保險公司和重要機構那樣遵守嚴格的網(wǎng)絡法規(guī),它們中的許多人都依賴舊的、遺留的系統(tǒng),缺乏維護這些系統(tǒng)并面臨新的安全威脅的合格人力。由于遠程工作和與新冠疫情有關的限制,以及對醫(yī)療服務的需求不斷增長,如今醫(yī)院的整個IT基礎架構都承受著巨大的壓力。
流氓設備風險
此外,醫(yī)院和護理機構被迫在一夜之間實施遠程監(jiān)控技術,以應對無法實地看病的需求。這意味著他們必須要購買現(xiàn)成的IT設備、通信設備(例如家庭路由器)、IP攝像頭和其他傳感器,所有這些都連接到本地網(wǎng)絡。這意味著,在沒有進行適當?shù)谋M職調查的情況下,這些外來設備就被引入到敏感環(huán)境。許多這些設備都有默認憑據(jù),可以作為遠程網(wǎng)絡的入口點。
遠程醫(yī)療風險
新冠疫情還加速采用遠程健康(又稱遠程健康)、健康應用程序和遠程監(jiān)控設備。不過根據(jù)研究人員的分析,采用這些技術的速度太快還沒有進行適當?shù)臐B透測試和驗證,這意味著攻擊面會呈量級增加。
第三方風險
醫(yī)療保健機構會與眾多第三方供應商(供應商、服務提供商、州和聯(lián)邦機構、大學和非政府組織)合作,由于很難確保所有這些提供商都達到相同的網(wǎng)絡安全標準,因此供應鏈存在巨大風險,這是攻擊者經(jīng)常利用的攻擊點。
美國最大的兒童醫(yī)療保健組織之一,明尼蘇達州兒童基金會(Children's Minnesota)最近宣布,由于云軟件公司Blackbaud此前遭到黑客攻擊,已有16萬多名患者的個人數(shù)據(jù)遭到了泄漏。原來,這次數(shù)據(jù)泄漏發(fā)生在今年5月, Blackbaud遭遇勒索軟件和數(shù)據(jù)泄漏攻擊,泄漏了大量數(shù)據(jù),影響到的大學和非營利組織比最初想象的要多。
即使是專門雇用來協(xié)助安全操作的供應商,有時也會犯錯并造成嚴重后果。例如,LITE EMERGENCY PHYSICIANS聘請了第三方供應商來安全處理近20年的醫(yī)療記錄。然而,這些記錄卻被丟棄在一個本地轉儲站點,這導致了大約55000名患者的詳細信息發(fā)生大規(guī)模數(shù)據(jù)泄漏。
工作人員的疲憊和薄弱的安全文化
勞累過度的專業(yè)人士更容易犯錯誤,這已經(jīng)不是什么秘密了。外科手術和網(wǎng)絡安全都是如此。醫(yī)護人員并非一開始就擁有最佳的網(wǎng)絡安全實踐:一項研究發(fā)現(xiàn),當醫(yī)生離開診所去治療病人時他們也很少鎖定工作站。再加上他們繁忙的醫(yī)療任務,一個人的錯誤可能會使整個組織處于危險之中。
上面討論的所有因素都導致醫(yī)療機構遭受網(wǎng)絡攻擊的嚴重影響。
在疫情期間,針對醫(yī)療保健的網(wǎng)絡攻擊是如何發(fā)生的?
在過去的7到8個月里,針對醫(yī)院的網(wǎng)絡攻擊,特別是勒索軟件攻擊的數(shù)量和嚴重性都有所增加。至少41家醫(yī)療服務提供商在2020年上半年遭遇勒索軟件攻擊,自那以后,越來越多的醫(yī)院成為攻擊目標。今年9月,醫(yī)院遍布美、英的美國最大連鎖醫(yī)院Universal Health Systems(UHS)遭到勒索軟件攻擊IT系統(tǒng),系統(tǒng)遭癱瘓多時,醫(yī)院也被迫將急診病患轉院。目前受影響的醫(yī)院遍及亞利桑納州、加州、喬治亞、賓州、佛州等地。被勒索軟件加密的文件皆有.ryk的文件擴展名,而且從黑客留下的勒索消息語法來判斷,作亂的可能是知名勒索軟件Ryuk。根據(jù)分析,Ryuk可能是經(jīng)由釣魚信件誘使用戶打開,而進入UHS的計算機系統(tǒng)中。
攻擊幾乎總會導致數(shù)據(jù)泄漏
考慮到更具攻擊性的勒索軟件和其他竊取數(shù)據(jù)的惡意軟件,幾乎每一次成功的網(wǎng)絡攻擊都會導致數(shù)據(jù)泄露也就不足為奇了。
據(jù)HIPAA Journal稱,在網(wǎng)絡攻擊和數(shù)據(jù)泄漏中受到攻擊的記錄數(shù)量正在增加,另外成本也在上升。 IBM的一項研究發(fā)現(xiàn),醫(yī)療保健數(shù)據(jù)泄漏的平均成本在全球范圍內約為713萬美元,在美國為860萬美元,同比增長10.5%。
有史以來第一次與網(wǎng)絡有關的傷亡
長期以來,人們一直猜測黑客將有一天會破壞醫(yī)療設備并對患者造成傷害。就在今年9月,德國杜塞爾多夫一家醫(yī)院遭遇勒索軟件攻擊,導致一名患者被轉移到附近的醫(yī)院后死亡,德國當局正在調查此事。這名患者是一名需要緊急治療的女性,被送往伍珀塔爾市的一家醫(yī)院后死亡,那里距離她最初的目的地杜塞爾多夫大學醫(yī)院有30多公里遠。杜塞爾多夫醫(yī)院無法接待她,因為醫(yī)院正在應對一場勒索軟件攻擊。9月10日,勒索軟件攻擊攻擊了該醫(yī)院的網(wǎng)絡,導致30多臺內部服務器被感染。這是有史以來第一次因稱勒索軟件攻擊間接導致人類死亡的報道。德國當局目前正在調查這名病人的死亡。德國警方表示,如果發(fā)現(xiàn)勒索軟件攻擊和醫(yī)院停機是這名女子死亡的直接原因,那么他們計劃將調查定義為一宗謀殺案。
阻礙了尋找新冠疫苗的努力
全世界都在急切地等待一種新冠疫苗,以幫助結束這種大流行,然而許多研究項目在進行中,都受到了攻擊者的關注。比如來自美國的黑客似乎走了一條“捷徑”,試圖竊取新冠疫苗的研究成果。今年10月,勒索軟件攻擊襲擊了醫(yī)療軟件公司eResearchTechnology(ERT),該公司為全球制藥公司提供進行臨床試驗(包括COVID-19疫苗試驗)的工具,因而對包括施貴寶、阿斯利康、輝瑞和強生等公司進行的多個新冠研究項目造成潛在影響。據(jù)報道,由于研究人員被迫改用筆和紙來跟蹤患者數(shù)據(jù),過去兩周對ERT公司的網(wǎng)絡攻擊使這些試驗的速度減慢了。
保護醫(yī)療保健免受網(wǎng)絡威脅
隨著醫(yī)療保健網(wǎng)絡安全狀況的惡化,一些國際。國家和私人機構都在試圖改善這一狀況。
以色列宣布了一項保衛(wèi)醫(yī)院的國家計劃,英國設立了一個基金,提供免費的政府網(wǎng)絡認證和培訓。援助醫(yī)療保健部門的也不僅是各國政府。CTI League是今年3月成立的全球第一個保護與疫情相關醫(yī)療機構、處理其安全漏洞的志愿者應急響應團體,由3000多名網(wǎng)絡專家組成。,成員包括網(wǎng)絡威脅情報專家、事故響應隊員、行業(yè)專家與執(zhí)法機構代表。CTI League對醫(yī)療機構的服務是無償?shù)?,主要包?項內容:進行中網(wǎng)絡攻擊的處理(合法方式破壞犯罪分子發(fā)動網(wǎng)絡攻擊的能力或引入執(zhí)法機構參與)、網(wǎng)絡攻擊的預防(發(fā)現(xiàn)漏洞、建立網(wǎng)絡威脅數(shù)據(jù)庫和提供警告)、對醫(yī)療相關部門網(wǎng)絡的支持(提高網(wǎng)絡安全能力、提供技術指導等)以及對潛在網(wǎng)絡危險的監(jiān)控。民間志愿者組織與執(zhí)法機構攜手合作的模式大大提高了CTI League的效率,根據(jù)該組織發(fā)布的報告,CTI League僅成立一個月就協(xié)助執(zhí)法機構處理了近3000個網(wǎng)絡犯罪案件,發(fā)現(xiàn)了2000多個醫(yī)療機構的系統(tǒng)漏洞并向其發(fā)出提醒。至今已有來自超過80個國家、跨越21個時區(qū)的1500多名志愿者加入,這意味著每有情況發(fā)生,都有成員在線準備好隨時采取行動。
以下是一些可以立即改善醫(yī)療保健機構網(wǎng)絡安全狀況的事情:
-
安全意識和電子郵件安全:許多網(wǎng)絡攻擊利用了在醫(yī)療機構工作的人員,提高意識將減少他們下載可疑文件或點擊可疑鏈接的機會,最近針對醫(yī)療保健機構的攻擊案例如此之多,因此創(chuàng)建一個真實的網(wǎng)絡釣魚模擬應該不是很困難。
-
面向互聯(lián)網(wǎng)的設備:電子郵件不是唯一的攻擊媒介,許多網(wǎng)絡攻擊利用開放端口和遠程訪問協(xié)議。僅應將必要的端口開放到互聯(lián)網(wǎng)。事實上,研究人員發(fā)現(xiàn),脆弱的RDP端口使勒索軟件攻擊成功的可能性增加了37%,而且某些黑客專門在暗網(wǎng)竊取和出售RDP證書。
-
憑據(jù)盜竊:一旦進入到受害者的設備,攻擊者就會利用Mimikatz等現(xiàn)成的工具來訪問服務器并在網(wǎng)絡中傳播。這些利用積極的密碼噴霧和其他憑據(jù)竊取技術它們利用侵略性的密碼噴灑和其他憑證竊取技術,設置可靠的密碼將降低攻擊成功的機會。
-
終端安全性:終端是進入網(wǎng)絡的關鍵渠道,必須在所有終端和服務器上都擁有先進的終端安全解決方案,以提高醫(yī)療機構的網(wǎng)絡安全性。