卫生保健行业日益增长的网络安全战
从网络安全角度回顾2016年,我们发现两个明确的趋势:
勒索软件的泛滥迅速蔓延至其成为10亿美元的行业
黑客通过针对牟利者获取患者健康信息的具体针对性
勒索软件对医疗机构的攻击
两个趋势的确定示例发生在2016年2月,在南加州好莱坞长老会医疗中心的高度宣传的勒索软件攻击。攻击以通常的经典风格启动,点击医院员工嵌入的电子邮件中的链接。这一简单的操作允许恶意软件渗入网络,并在众多数据孤岛中开始加密过程。不久之后,IT人员被迫关闭网络,医院工作人员仅限于使用笔和纸进行基本医疗记录保存。数百名患者被转移到附近的其他医院,大多数医疗程序被取消。医院内的一些医疗服务部门完全关闭。在提出自己的观点之后,经过多次谈判,医院管理人员心软了,并支付了17000美元的赎金。
虽然这一事件偷走了许多头条新闻,但这只是一个增长趋势中的一次。整个月,从肯塔基州亨德森到德国诺伊斯的医院遭受了类似的袭击。这种攻击模式在今年剩下的时间里持续不断。在2016年最后一个季度,南加州大学凯克医疗中心报告了他们两家医院的勒索软件攻击以及新泽西脊柱中心的六个独立站点。
据估计,2016年第二季度88%的勒索软件攻击都是针对医疗保健组织的。HHS民权办公室主任Jocelyn Samuels表示,威胁非常严重:
“目前对健康信息隐私的最大威胁之一是严重损害了电子健康信息系统上的恶意网络攻击造成的数据完整性和可用性,例如通过勒索软件。”
幸运的是,大多数这些勒索软件攻击造成的破坏仅限于暂时停机和玷污的公众形象。遗憾的是,健康产业必须担心的是更多的担忧。
DarkOverLord黑客
2016年夏天,超过655,000人的个人健康信息受到黑客的三次攻击而受到损害,该黑客以名为“The DarkOverLord”的名义运营,他是一名前勒索软件专家,现已选择追求高风险窃取受保护健康信息记录或PHI的游戏。该黑客通过访问这三家公司的SaaS,他们订阅的供应商。这三起袭击中最大的一起是针对佐治亚州亚特兰大的一家大型医疗诊所征收的,导致没收了397,000份病历,包括初级和二级医疗保险和政策编号。第二次违规结果收购了包括社会安全号码在内的210,000条记录。当DarkOverLord与所有三个组织联系以提醒他们这些漏洞时,发现了这些漏洞,并发送了显示在RealDealMarket网站上发布的数据样本的屏幕截图。这个不道德的网站位于黑暗的网站上,是网络犯罪分子用来销售,购买和交换所有内容的常用门户网站,包括被盗信用卡,病人健康记录甚至药物。DarkOverLord威胁所有三个组织,意图将被盗数据出售给出价最高者,除非他们每人每次盗取1美元作为费用。目前还没有关于公司是否支付敲诈费用的正式更新。
对医疗保健公司的攻击正在增长
这些攻击只是医疗行业过去几年中发生的许多漏洞的一小部分。事实上,毕马威调查的80%的行业高管表示,他们的信息技术在2015年已经受到影响。作为针对性攻击数量不断增加的一个例子,领先的安全研究机构Ponemon Institute估计对医疗保健信息系统的犯罪攻击增加了125%事实上,自2010年以来,八大医疗保健违规事件中有五起仅在2015年发生,涉及超过1亿的患者健康记录。在整个行业范围内,这些攻击的成本每年高达62亿美元。
IBM X-Force进行的一项研究通过以下比较在他们的发现中证明了这一令人不安的趋势:
2015年网络攻击的前五大行业:
卫生保健
制造业
金融服务
政府
运输
2014年网络攻击的前五大行业:
金融服务
信息/通信
制造业
零售
能源/公用事业
如果所有这些还不够,公司法律顾问协会进行的一项研究表明,97%的公司医疗保健律师认为他们的组织比其他行业更容易遭受网络攻击。该调查的其他一些调查结果包括:
70%的受访者正致力于开发数据安全专业知识以满足这一需求。
84%的受访者表示他们被要求评估安全事件是否涉及报告义务。其中大多数人被要求制定相关的内部政策和程序。
三分之一的受访者表示,他们的组织计划已经过时,无法处理最新类型的网络威胁或组织变更。
40%的受访者表示他们的组织或客户的计划过于通用,缺乏具体的指导和测试。
医疗行业被瞄准的原因
毫不奇怪,黑客已经意识到医疗行业的利润丰厚的潜力。个人信息在黑市上具有很高的美元价值。在InfoSec研究所的另一份报告中,医疗保险身份证号码在黑市和黑暗网络上的价格远高于2015年的社会保障号码。电子健康记录的一个巨大损害是,与信用卡不同,医疗数据不能简单地取消并重新发行。这可以解释为什么患者的健康记录比信用卡号码多十倍。
此外,医院和程序诊所要求数据可用性和100%的网络正常运行时间。不幸的是,许多医疗保健组织缺乏经验丰富的网络安全专家。更具挑战性的是,典型的医疗保健办公室使用如此多类型的非管理计算设备。
虽然行业高管,法律顾问,甚至美国国会和其他政府现在都认识到问题的严重性,但为了对抗这些攻击的指数,还需要做很多工作。希望2017年是IT安全的好年景。