近兩年來，醫(yī)院、醫(yī)療保險機(jī)構(gòu)先后被曝發(fā)生重大數(shù)據(jù)泄露事件，消費者越來越擔(dān)心自己的受保護(hù)健康信息(PHI)會不會落入壞人之手。最近，RSA對7500名歐美消費者進(jìn)行了調(diào)查，其《數(shù)據(jù)隱私報告》顯示，59%的受訪者憂慮自身醫(yī)療數(shù)據(jù)被黑;39%擔(dān)心黑客會篡改自己的醫(yī)療信息。

[[222886]]

消費者的這種擔(dān)心并非空穴來風(fēng)。醫(yī)療行業(yè)仍然是黑客的首要目標(biāo)，且還有來自內(nèi)部人威脅的巨大風(fēng)險。

一、為什么黑客會盯上醫(yī)療行業(yè)

醫(yī)療行業(yè)的幾個特征讓它們成為了黑客眼中的誘人果實。關(guān)鍵原因之一，是醫(yī)療機(jī)構(gòu)中有很多系統(tǒng)并沒有定期更新。其中一些是嵌入式系統(tǒng)，由于制造方式問題，導(dǎo)致如今即便發(fā)現(xiàn)漏洞也難以打上補(bǔ)丁。如果醫(yī)療機(jī)構(gòu)的IT部門自行更新，可能會導(dǎo)致供應(yīng)商無法繼續(xù)提供支持。

醫(yī)療機(jī)構(gòu)在社會民生中的重要性也成為了黑客盯上它們的重要因素。在網(wǎng)絡(luò)犯罪世界，健康數(shù)據(jù)是非常有價值的商品，盜取健康數(shù)據(jù)不失為網(wǎng)絡(luò)罪犯發(fā)家致富的途徑之一。而且，由于人命關(guān)天，在遭遇勒索軟件攻擊的時候，醫(yī)療機(jī)構(gòu)也更傾向于支付贖金。

二、2018年，有哪些重要的醫(yī)療安全威脅值得我們注意呢?

1. 勒索軟件

CryptoniteNXT《2017醫(yī)療網(wǎng)絡(luò)研究報告》顯示，2017年十大醫(yī)療數(shù)據(jù)安全事件中，有6起都是勒索軟件攻擊。報告指出，2017年重大勒索軟件攻擊(受影響患者數(shù)量在500人以上)上報量為36起，幾乎是2016年19起的2倍。

很明顯，2018年勒索軟件攻擊趨勢不會減緩。除非我們夯實醫(yī)療機(jī)構(gòu)IT系統(tǒng)安全，培育醫(yī)療從業(yè)人員的安全意識，否則勒索軟件還將繼續(xù)肆虐。勒索軟件攻擊者會繼續(xù)利用人性弱點誘騙工作人員點擊惡意鏈接或下載惡意軟件。

為什么攻擊者愛對醫(yī)療機(jī)構(gòu)下手呢?個中原因很簡單：黑客認(rèn)為，醫(yī)院、診所等醫(yī)療機(jī)構(gòu)如果不能訪問患者病歷記錄，就會將患者的生命置于風(fēng)險之中，他們覺得自己必須馬上支付贖金解鎖數(shù)據(jù)，而不是苦等數(shù)據(jù)從備份中恢復(fù)出來。

醫(yī)療行業(yè)是一門產(chǎn)業(yè)，但同時也掌握著人們的生命。任何一門產(chǎn)業(yè)只要涉及人身安全和個人最隱私的信息，從業(yè)者在面對威脅時就必須立即響應(yīng)。醫(yī)療行業(yè)的這種特性對投放勒索軟件的網(wǎng)絡(luò)罪犯來說簡直再合適不過。

如果醫(yī)療機(jī)構(gòu)不能從勒索軟件攻擊中快速恢復(fù)，其后果可能是災(zāi)難性的。這一點已經(jīng)在今年1月電子病歷(EHR)公司Allscripts系統(tǒng)宕機(jī)事件中得到了充分體現(xiàn)。該攻擊感染了2個數(shù)據(jù)中心，讓很多應(yīng)用掉線，影響了數(shù)千家Allscripts公司的醫(yī)療服務(wù)提供商客戶。

2. 患者數(shù)據(jù)被盜

對網(wǎng)絡(luò)罪犯來說，醫(yī)療數(shù)據(jù)可能比金融數(shù)據(jù)更值錢。趨勢科技發(fā)布的《醫(yī)療行業(yè)面臨的網(wǎng)絡(luò)犯罪及其他威脅》報告稱，暗網(wǎng)上被盜醫(yī)?？繌堉辽儋u1美元，醫(yī)療信息資料的價格每份5美元起。

黑客可利用醫(yī)?？ê推渌t(yī)療數(shù)據(jù)獲取駕照之類政府證明文件，而后者在暗網(wǎng)上的售價大約為170美元。從死亡人口的全套PHI和其他身份數(shù)據(jù)創(chuàng)建的完整可用身份，則可賣到1000美元高價。相比之下，暗網(wǎng)上信用卡號才賣幾美分，白菜價都比這貴。

醫(yī)療記錄遠(yuǎn)比信用卡數(shù)據(jù)賣得貴，是因為可以從醫(yī)療記錄中一次性獲取很多信息，包括金融信息和關(guān)鍵背景資料，基本上包含了身份盜竊所需的一切信息。

網(wǎng)絡(luò)罪犯在盜取醫(yī)療數(shù)據(jù)上可謂花招迭出。偽勒索軟件就是案例之一。這是看起來很像勒索軟件，但其實并不具備勒索軟件鎖定功能的惡意軟件。在勒索軟件的外衣偽裝下，此類軟件干的是盜取醫(yī)療記錄或散播其他間諜軟件以備后用的活兒。

正如下一節(jié)要介紹的，醫(yī)療行業(yè)內(nèi)部人威脅干的也是盜取患者數(shù)據(jù)的勾當(dāng)。

3. 內(nèi)部人威脅

威瑞森最近發(fā)布的《受保護(hù)健康信息泄露報告》表明，受訪醫(yī)療提供商遭遇的數(shù)據(jù)泄露中，有57.5%都是內(nèi)部人導(dǎo)致的，只有42%是外部攻擊者所為。內(nèi)部人泄露數(shù)據(jù)的動機(jī)有48%是求財。外部攻擊者對醫(yī)療數(shù)據(jù)下手就幾乎都是為了錢了——求財動機(jī)占了90%。

很大一部分內(nèi)部人數(shù)據(jù)泄露都是出于好玩或好奇心，主要是查詢工作職責(zé)以外的數(shù)據(jù)，比如名人PHI等。此外，間諜和出于怨恨的報復(fù)也在動機(jī)之列。患者在醫(yī)療系統(tǒng)中停留期間，無論是門診還是住院，都有很多人需要接觸到他們的醫(yī)療記錄。因此，醫(yī)療提供商傾向于采用寬松的訪問控制。畢竟，想要給患者提供醫(yī)療救助，就得很快獲悉患者數(shù)據(jù)。醫(yī)療機(jī)構(gòu)的普通員工能夠訪問大量數(shù)據(jù)也就不足為奇了。

醫(yī)療機(jī)構(gòu)里為數(shù)眾多的不同系統(tǒng)也是引發(fā)數(shù)據(jù)泄露的因素之一。這些系統(tǒng)不僅僅包含收費和掛號系統(tǒng)，還有婦產(chǎn)科、腫瘤科、診斷學(xué)專用系統(tǒng)和其他臨床系統(tǒng)。

從竊取患者數(shù)據(jù)用于身份盜竊到醫(yī)療身份盜竊欺詐騙局都是金錢惹的禍。這都成了醫(yī)療信息黑產(chǎn)的常規(guī)操作了。人們利用醫(yī)療信息修改自己或朋友和家人的賬單，要么就用來開具鴉片類藥物或其他管制藥物的處方。這些處方可是能賣大錢的。

縱觀鴉片類藥物危機(jī)，這基本上就是醫(yī)療行業(yè)員工在系統(tǒng)內(nèi)用鴉片類藥物處方開具權(quán)牟利的景象。鴉片危機(jī)的最新信息點正在于此。醫(yī)療行業(yè)員工意識到了鴉片類藥物的價值，要么自己上癮，要么利用手中職權(quán)開處方牟利。

醫(yī)療行業(yè)內(nèi)部人盜取患者數(shù)據(jù)牟利的一個典型例子就是 Memorial Healthcare Systems。該公司去年因2名員工盜取了11.5萬名患者的PHI而支付了550萬美元的HIPPA違規(guī)和解金。這次數(shù)據(jù)泄露讓 Memorial Healthcare Systems 徹底改變了其隱私與安全態(tài)勢，以防止未來的內(nèi)部人威脅和其他威脅。

4. 網(wǎng)絡(luò)釣魚

網(wǎng)絡(luò)釣魚是攻擊者侵入目標(biāo)系統(tǒng)的主流方法。利用網(wǎng)絡(luò)釣魚，攻擊者可以在目標(biāo)系統(tǒng)上安裝勒索軟件、加密貨幣挖礦腳本、間諜軟件或數(shù)據(jù)盜取代碼。

有人認(rèn)為醫(yī)療行業(yè)更易被網(wǎng)絡(luò)釣魚釣中，但調(diào)查數(shù)據(jù)顯示的結(jié)果并非如此。KnowBe4做的一項研究表明，在面對網(wǎng)絡(luò)釣魚的中招率上，醫(yī)療行業(yè)與大多數(shù)其他行業(yè)基本持平。員工規(guī)模在250到1000人的醫(yī)療機(jī)構(gòu)，如果沒有接受安全意識培訓(xùn)，淪為網(wǎng)絡(luò)釣魚受害者的概率是27.85%，而所有行業(yè)的平均中招率是27%。

人們或許會覺得，醫(yī)療行業(yè)的無私性，醫(yī)療從業(yè)者面對生死攸關(guān)情況時感受到的緊迫性，會讓他們從心理上更易于點擊那些釣魚郵件。但調(diào)查數(shù)據(jù)并不支持該感性結(jié)論。

醫(yī)療機(jī)構(gòu)的規(guī)模在抗網(wǎng)絡(luò)釣魚上有一定作用。調(diào)查顯示，1000人以上規(guī)模的醫(yī)療機(jī)構(gòu)淪為網(wǎng)絡(luò)釣魚受害者的平均概率是25.6%。這是因為這種規(guī)模的機(jī)構(gòu)通常會做員工安全意識培訓(xùn)，而且由于必須整合各類系統(tǒng)以遵從嚴(yán)格的監(jiān)管規(guī)定而在操作運營上會更復(fù)雜些。

5. 加密劫持

當(dāng)前，所有行業(yè)幾乎都面臨計算機(jī)系統(tǒng)被悄悄劫持來做加密貨幣挖礦的問題。醫(yī)療行業(yè)的系統(tǒng)必須隨時處于運行狀態(tài)，因而成為了相當(dāng)誘人的加密劫持目標(biāo)。系統(tǒng)持續(xù)運行時間越長，網(wǎng)絡(luò)罪犯就能挖到更多加密貨幣。而在醫(yī)院里，即便懷疑系統(tǒng)已被劫持來挖礦，也不能馬上斷電。網(wǎng)絡(luò)罪犯就是看中這一點，才特別喜歡針對醫(yī)院的系統(tǒng)下手。

這還是假設(shè)醫(yī)療提供商能夠檢測到加密貨幣挖礦操作的情況下。加密貨幣挖礦代碼不會損壞系統(tǒng)，但會消耗大量的計算資源。最有可能識別出系統(tǒng)被劫持挖礦的情況，就是系統(tǒng)變慢，CPU使用率激增。但有些加密劫持者會限制挖礦所用計算資源，減小被檢測到的風(fēng)險。很多醫(yī)療機(jī)構(gòu)并未安排IT或安全人員檢測和緩解此類加密貨幣挖礦攻擊。

三、最小化醫(yī)療行業(yè)安全威脅的幾條建議：

1. 關(guān)鍵系統(tǒng)勤更新

沒打補(bǔ)丁的老舊系統(tǒng)仍然嵌在關(guān)鍵設(shè)備中被繼續(xù)使用，這就給勒索軟件留下了巨大的切入口。但更新這些系統(tǒng)又十分困難，因為更新過程可能會中斷關(guān)鍵系統(tǒng)或損傷供應(yīng)商繼續(xù)支持這些系統(tǒng)的能力。

某些情況下，甚至已知漏洞都沒有補(bǔ)丁可用。這種時候不妨給供應(yīng)商施壓，讓他們盡快推出修復(fù)補(bǔ)丁或更新系統(tǒng)。對供應(yīng)商要更激進(jìn)一些，作為一個行業(yè)持續(xù)對其施壓，責(zé)問他們?yōu)槭裁聪到y(tǒng)還沒有更新。

2. 員工培訓(xùn)

調(diào)查表明，醫(yī)療行業(yè)員工的防網(wǎng)絡(luò)釣魚培訓(xùn)接受率是比較低的。很多醫(yī)療機(jī)構(gòu)的規(guī)模都比較小，員工數(shù)量不到1000人，這可能是沒有設(shè)置安全意識培訓(xùn)項目的原因之一。安全意識培訓(xùn)不僅僅是告訴員工什么是正確的做法，而是要創(chuàng)建可以訓(xùn)練員工不去點擊網(wǎng)絡(luò)釣魚鏈接的行為條件培訓(xùn)項目。

該項目應(yīng)能通過發(fā)送模擬釣魚郵件并針對員工行為作出反饋來培養(yǎng)員工安全意識。點擊了釣魚鏈接的員工會立即收到有關(guān)自己錯誤行為的反饋，反饋中還附帶如何在未來正確動作的指導(dǎo)。這樣的培訓(xùn)項目才會對員工安全意識產(chǎn)生顯著影響。

只要不斷培訓(xùn)，醫(yī)療機(jī)構(gòu)員工的安全意識就會提高。研究顯示，經(jīng)過1年的防網(wǎng)絡(luò)釣魚培訓(xùn)和測試，250-999員工規(guī)模的醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)釣魚上鉤率就從27.85%之多降到了只有1.65%。

3. 重視員工信息安全

網(wǎng)絡(luò)釣魚攻擊越個性化，目標(biāo)中招率越高。魚叉式網(wǎng)絡(luò)釣魚攻擊中，攻擊者會先盡可能多地收集目標(biāo)的個人信息。如果工作之外的交流泄露了可以聯(lián)系的人的姓名，攻擊者就會用這些名字和關(guān)系鏈建立起與目標(biāo)的信任關(guān)系，更有針對性地誘使目標(biāo)點擊釣魚鏈接。

4. 提高防御和響應(yīng)威脅的能力

醫(yī)療提供商缺乏恰當(dāng)?shù)陌踩录{(diào)查能力，無法很好地記錄并評估安全事件傷害，不能充分取證以配合司法調(diào)查，是醫(yī)療行業(yè)安全中最令人憂慮的一點。除此之外，醫(yī)療機(jī)構(gòu)往往還缺乏能夠完全修復(fù)安全問題的員工。所以，最好招聘具備安全事件調(diào)查和處理能力的員工，或者與具備相應(yīng)能力的提供商合作。董事會和高管應(yīng)將安全問題列為頭等大事，設(shè)置專職的CISO不失為一個好辦法。

小型醫(yī)療提供商或許不具備聘用CISO的資源，但仍然要重視安全?？梢栽诮佑|頂級安全專業(yè)人士方面多下功夫，通過合作或托管安全服務(wù)來獲得專業(yè)人士的幫助?；颊邞?yīng)享有安全保障，無論是通過合作還是通過招聘專業(yè)安全人員，醫(yī)療機(jī)構(gòu)都必須保證患者的安全。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文