Trustwave發(fā)布了一份2015年醫(yī)療行業(yè)的安全報告，通過對398名專業(yè)的醫(yī)療專業(yè)人員(部分是技術(shù)人員，包括CIO、CISO、IT主管等，另一部分是普通的醫(yī)護人員)的調(diào)查，發(fā)現(xiàn)有91%的調(diào)查對象認為針對醫(yī)療行業(yè)的網(wǎng)絡(luò)攻擊活動越來越多，然而用在保護病人敏感信息方面的預(yù)算卻還不到10%。

[[154444]]

在過去的兩年間，有90%的醫(yī)療行業(yè)公司均遭到黑客攻擊，泄露病人數(shù)據(jù)。為什么醫(yī)療行業(yè)會成為網(wǎng)絡(luò)攻擊的中心目標呢?大致原因有：

1，醫(yī)療記錄迅速的轉(zhuǎn)移到了網(wǎng)上，并且在病人、醫(yī)療機構(gòu)之間可共享;

2，物聯(lián)網(wǎng)設(shè)備和云服務(wù)的使用;

3，醫(yī)療健康保險數(shù)據(jù)的價值越來越高。

全球電子醫(yī)療保健記錄系統(tǒng)中的數(shù)據(jù)在以每年5.5%的速度增長，其中的數(shù)據(jù)量可想而知是非常驚人的。從醫(yī)院到內(nèi)科醫(yī)生、急診門診，再到健康保障組織，無不涵蓋著病人的敏感數(shù)據(jù)，所以刻不容緩的需要采取安全保障措施來保護它們。任何企業(yè)都會遇到安全威脅，但是當這種安全問題威脅到個人的生命安全，那問題就變得非常嚴重了。

方法論

Trustwave在第三方專業(yè)調(diào)查公司的幫助下，對398位專業(yè)的全職醫(yī)療行業(yè)人員(其中198位是技術(shù)人員，200位是非技術(shù)人員)進行了調(diào)查。目的是衡量醫(yī)療保健機構(gòu)所面臨的挑戰(zhàn)、員工們的安全意識和期望。

數(shù)據(jù)泄露

在過去的幾年間，美國政府曾傾注了數(shù)百億的資金來扶持醫(yī)療保障行業(yè)使用電子醫(yī)療保健記錄技術(shù)，目的是為了提高病患照顧質(zhì)量、減少醫(yī)療錯誤的發(fā)生、降低就醫(yī)成本等。由此說來，病人的醫(yī)療記錄可被所有的醫(yī)療機構(gòu)共享，方便快捷，但同時也給攻擊者留下了一個廣闊的攻擊場所。

總而言之，幾乎所有醫(yī)療行業(yè)的技術(shù)人員都認為他們的機構(gòu)越來越多的成為了黑客攻擊的目標。

是什么使得醫(yī)療機構(gòu)的電子記錄更吸引人并且更易受到網(wǎng)絡(luò)攻擊呢?

大部分醫(yī)療組織和機構(gòu)的安全保障和風(fēng)險管理措施比較落后，所以黑客們才有機可乘竊取病人的敏感數(shù)據(jù)(從個人信息到信用卡賬號，再到知識產(chǎn)權(quán))。從過去幾個月泄露的醫(yī)療數(shù)據(jù)看，黑客竊取的數(shù)據(jù)量巨大、竊取過程簡單、花費時間較少，而且還不容易被察覺到。

其實大部分的網(wǎng)絡(luò)犯罪者組織都是在金融行業(yè)煉就了高超的技能之后，轉(zhuǎn)而向醫(yī)療行業(yè)發(fā)動大規(guī)模的攻擊。相比于其他行業(yè)，醫(yī)療行業(yè)的攻擊阻力比較小，并且敏感數(shù)據(jù)比較多。

醫(yī)療行業(yè)的醫(yī)療記錄很容易被攻擊的另外一個原因是其流動性比較大，數(shù)據(jù)分類好，黑客可以輕而易舉的找到利益相關(guān)的數(shù)據(jù)。包括姓名、家庭住址、郵箱地址、生日，甚至還包括保單號碼、檢驗結(jié)果、診斷結(jié)果等。如此一來，黑客便可以用這些數(shù)據(jù)偽造虛假身份和虛假保單進行就醫(yī)、買藥、買醫(yī)療設(shè)備等。

醫(yī)療行業(yè)數(shù)據(jù)盜竊后果非常嚴重，美國每年有超過200萬的人會成為受害者，由此造成的損失高達13500美元，并且還需花費上百個小時來解決這個問題。為了解決醫(yī)療行業(yè)數(shù)據(jù)被竊，技術(shù)人員提供了兩個安全方法：

1是數(shù)據(jù)分割，控制用戶個人和醫(yī)療機構(gòu)查看數(shù)據(jù)內(nèi)容的權(quán)限;

2是加密。

加密對數(shù)據(jù)來說非常重要，尤其是數(shù)據(jù)在各醫(yī)療機構(gòu)的傳輸過程中。然而即使數(shù)據(jù)加密了，但是在向另一機構(gòu)傳輸?shù)倪^程中如果缺乏必要的安全保障，同樣會存在安全風(fēng)險。調(diào)查發(fā)現(xiàn)有94%的人指出機構(gòu)中加密的用戶數(shù)據(jù)會被傳輸?shù)酵饩W(wǎng)。

調(diào)查中還發(fā)現(xiàn)了一個很致命的安全隱患，就是大部分的醫(yī)療機構(gòu)并沒有把敏感數(shù)據(jù)和非敏感數(shù)據(jù)分開，這種機構(gòu)占到89%。

內(nèi)部威脅其實是醫(yī)療機構(gòu)一個很嚴重的安全風(fēng)險，最近發(fā)生的幾起醫(yī)療行業(yè)入侵事件都是由內(nèi)部人員引起的。除了健康信息帶來的利益驅(qū)動，處于個人的好奇也可能導(dǎo)致不正當?shù)脑L問或者數(shù)據(jù)竊取。所以這些組織需要嚴格限制訪問權(quán)限，確保數(shù)據(jù)只能被相關(guān)人員訪問。

安全專業(yè)資源短缺

隨著威脅的增加和攻擊范圍的擴大，醫(yī)療行業(yè)面臨著越來越大的挑戰(zhàn)。其中最大的問題是企業(yè)中安全部門員工嚴重缺失，迫切需要配備專業(yè)的網(wǎng)絡(luò)安全人員，這種情況不是一個地區(qū)的問題，全球的醫(yī)療行業(yè)都面臨這個問題。

從傳統(tǒng)經(jīng)濟學(xué)的角度來說，高需求和短供應(yīng)這種嚴重失衡的狀態(tài)必然會造成市場混亂。應(yīng)用到醫(yī)療行業(yè)，專業(yè)的網(wǎng)絡(luò)安全人員極度缺失，而專業(yè)人員的供應(yīng)又極其不足，所以醫(yī)療機構(gòu)需要通過高薪水來激發(fā)更多的人加入醫(yī)療行業(yè)的網(wǎng)絡(luò)安全隊伍，緩解這種不平衡。

通過調(diào)查發(fā)現(xiàn)有35%的人稱，公司安全方面的專業(yè)人員不足。在近幾年頻繁發(fā)生的數(shù)據(jù)泄露事件之后，越來越多的人認為他們需要聘用更多的安全人員，以保障用戶數(shù)據(jù)安全。

漏洞

試想一下，一個黑客坐在幾百英里以外，只需通過輸入幾行命令就可以控制病人胰島素輸送管中的激素劑量，那將是一件多么可怕的事。也許他是個稍有“良知”的黑客，不會用這種方法殺人于無形，但他可以通過入侵聯(lián)網(wǎng)醫(yī)療設(shè)備，進而入侵醫(yī)院網(wǎng)絡(luò)，竊取病人的敏感數(shù)據(jù)。

隨著電子醫(yī)療記錄的普及，黑客們越來越多的關(guān)注在了醫(yī)療行業(yè)上，被發(fā)現(xiàn)的漏洞也越來越多，最常見的有：SQL注入漏洞，弱口令，遠程訪問漏洞，未修復(fù)的漏洞等。醫(yī)療機構(gòu)還有一個很大的安全疏忽，就是他們不會定期檢查基礎(chǔ)設(shè)施是否含有漏洞。有87%的人稱他們的機構(gòu)基本上一年或者兩年才對其基礎(chǔ)設(shè)施檢查一次。

所以，醫(yī)療行業(yè)中的安全評估是非常有必要的，它可以幫助企業(yè)預(yù)測系統(tǒng)、進程、政策中存在的安全風(fēng)險，從而可以保障醫(yī)療行業(yè)數(shù)據(jù)的安全。然而并不是所有的醫(yī)療機構(gòu)都會定期的對其基礎(chǔ)設(shè)施進行評估。另外，醫(yī)療組織還必須要確定這些安全問題是來自外部供應(yīng)商，還是內(nèi)部問題。

醫(yī)療行業(yè)的安全主要分為兩種，一種是來自內(nèi)部的威脅，一種是外部威脅。內(nèi)部威脅可以概括為以下兩種：

1，懷有惡意目的的員工會訪問并竊取用戶的敏感信息

2，正常員工的一個人為錯誤可能會給攻擊者留下攻擊入口(員工不小心弄丟了電腦;不小心點了含有惡意程序的鏈接;安全人員不小心裝錯了系統(tǒng))

外部威脅主要就是黑客利用設(shè)備漏洞、系統(tǒng)漏洞、人性缺陷(社工)來攻擊機構(gòu)網(wǎng)站，從而竊取用戶數(shù)據(jù)。

所以企業(yè)應(yīng)該定期對員工進行培訓(xùn)，讓員工掌握一定的安全知識和技能。然而當下企業(yè)對員工的安全培訓(xùn)并不盡人意。

建議

醫(yī)療行業(yè)正經(jīng)歷一個非常嚴峻的安全時代：威脅越來越高級，安全技能卻沒能同步進化，安全方面的預(yù)算嚴重不足，醫(yī)療設(shè)備很難管理，傳統(tǒng)系統(tǒng)亟待更新，被攻擊的范圍在逐漸擴大。

對于用戶個人來說，我們需要做的是：

1，不要在多個網(wǎng)站上使用相同的密碼

2，不要留下過多的個人信息

3，不要隨意打開來源不明的鏈接和文件

對于醫(yī)療設(shè)備供應(yīng)商來說，他們需要不斷的檢測物聯(lián)網(wǎng)設(shè)備和應(yīng)用程序的安全，如發(fā)現(xiàn)漏洞應(yīng)及時通知相關(guān)買家，快速響應(yīng)修復(fù)漏洞。

對于醫(yī)療機構(gòu)(醫(yī)院)來說，應(yīng)該定期對員工進行培訓(xùn)，提高安全防范意識，訓(xùn)練安全應(yīng)急技能。

完整報告點我!