今年,勒索软件已经成为美国医疗行业的一大威胁。涉及洛杉矶好莱坞长老会医院、华盛顿特区MedStar Health和其他医疗系统的高调攻击只是冰山一角。超过半数医院最近调查HIMSS Analytics和Healthcare IT News表示,他们在过去一年里受到了勒索软件攻击。另有25%的人不确定是否发生过这样的袭击。
目前尚不清楚有多少医院向网络罪犯支付了赎金,以解锁他们的数据和/或系统。好莱坞长老会在无法使用EHR 10天后,谷歌宣布支付1.7万美元取回数据。肯塔基州亨德森的卫理公会医院。据报道,他也支付了1.7万美元。MedStar的系统至少有部分瘫痪了近一周,但该组织没有透露是否支付了赎金。
+更RANSOMWARE:勒索软件只在不断恶化。你如何为它做准备?+
当被问及如果黑客加密了他们所在医院的病人数据,他们是否会支付赎金时,HIMSS Analytics调查中约一半的医疗行业高管表示不会。44%的人表示不确定,只有5%的人表示愿意支付。
但专家说,勒索软件攻击的指数增长表明,一些受害人屈从于黑客的需求。“增加与这样的事实,攻击是成功的,因为企业愿意支付。他们将继续只要是继续的情况下上涨,”内森·吉布森,/ IT运营总监隐私官WVMI质量见解,总部设在查尔斯顿,西弗吉尼亚州说。
容易摘到的水果?
今年勒索软件事件激增的另一个原因是,有关攻击和医院易受攻击的宣传“给坏人壮了胆”,得克萨斯州奥斯汀IT安全公司CynergisTek的首席执行官麦克米伦(Mac McMillan)说。此外,他说,“这些人被抓的风险非常低,”而且可能会有很大的回报。
[相关:你被击中勒索。怎么办?]
麦克米兰同意$ 17,000名不是医院或医疗支付制度以重新访问其数据并保护其病人及其声誉的巨额。“但是,你付出的越多,它incents黑客做的越多,”他说。“你想要做的最后一件事是incent他们的行为。”此外,吉布森指出,还有如果他们支付赎金没有担保机构将获得他们的数据备份。
在另一方面,麦克米兰指出,“这很容易说,‘我们不支付的罪犯,’如果你不是谁的锁定你的系统或者没有访问数据的人。在这一天结束时,你要努力不支付赎金。而要做到这一点的最好办法就是要准备应对这一事件,迅速恢复“。
勒索软件有两种基本形式。一种是防止用户登录系统,另一种是加密数据;有些攻击同时涉及这两种恶意软件。
麦克米伦说,密码软件版本是两者中更危险的一个。“如果一家医院被恶意软件攻击,系统被锁定,如果它有良好的恢复程序和人们可以用来重建环境的替代站点,它可以生存下来。”但是一旦你的数据被加密,你就不能再访问你的数据了,如果你没有能力快速恢复,重新构建,并从备份中提供你的数据,从备份中恢复是非常复杂的。”
数据备份是生存勒索软件攻击的关键。但一些医院和医生的做法根本不支持他们的数据。这种安全意识的缺乏让麦克米伦感到困惑。他表示,在这些组织中,“安全仍有可能不被视为一个关键的业务功能”。
即使某家医院或某个医师小组确实备份了数据,也可能只是每夜备份一次。Gibson指出,因此,如果勒索软件攻击发生,组织使用其数据备份来继续操作,数据库将丢失前一天晚上以来进入系统的所有内容。这比什么都不做要好得多,但它仍然会让临床医生感到不安。
许多医院做镜像服务器上的数据的近实时备份。如果一台服务器出现故障,其他的都可以收拾残局。“但是,如果你有接近实时备份,这些备份将是容易受到攻击,因为他们在网上和可用[恶意软件]是在网络上,”吉布森指出。
麦克米伦同意这是一个挑战。他说:“你要确保你有良好的访问控制和两个系统之间的良好隔离,这样,如果第一个系统中出现恶意软件,你可以非常迅速地切断它和备份之间的连接。”
两位专家一致认为添加第二个备份系统可以帮助企业在勒索软件攻击的情况下恢复。吉布森建议使用一个备份系统,离线大部分时间和备份主系统“每隔一段时间。”他还希望段冗余服务器允许的安全控制,以揪出“恶意活动,可以影响备份。”
麦克米兰指出,“云备份可以是有利的,因为通常情况下,云供应商将在多个位置备份数据。而且只要你知道的东西已经被感染,你可以割断,并确保不是所有的备份被感染的同时。此外,云供应商有良好的恶意软件检测器和过滤器,所以即使不被抓到在你的环境中,他们可能赶上它,它会感染备份之前。”
[相关:不支付赎金的4个理由]
然而,吉布森柜台,许多医疗机构仍然持谨慎态度将敏感的患者数据在云中。一个替代方案,他说,是段在线备份在使用的协议,该恶意软件是不是想利用单独的非云系统。
“很多勒索的寻找网络共享和直接访问系统,”他说。“如果你有一个使用了不同的协议备份时,恶意软件可能无法达到这一点。”
一盎司的预防?
医疗机构也可以通过使用先进的恶意软件检测器,当入侵发生时迅速通风报信的保安人员来保护自己。较早的防病毒软件,麦克米兰指出,与已知的恶意软件签名搜索;但新形式的恶意软件,包括勒索,缺乏这些签名。因此,对于异常情况,而不仅仅是签名先进的探测器搜索。
“它可以是分离的附件或电子邮件或其他传输机制,并把它在那里可以进行检查隔离的区域,”他说。“大多数高级检测器将阻止在周边上的未知的代码,并将其发送到云进行分析。如果它是无害的,它会发送回,让它通过。”
吉布森同意,每一个组织应该有一个“可以过滤电子邮件和互联网流量的网关服务器。”在安全区域开放的附件来搜索恶意软件唯一的问题是,在某些情况下,勒索不执行,直到接触发送邮件的服务器。因此,它可能坐在那里,什么也不做,直到组织允许其加入网络。
为了防止勒索软件等各类恶意软件,吉布森说,每个医疗机构应评估其安全漏洞。“有打击这些类型的威胁,安全风险评估和即时响应的计划是非常重要的,”他说。“HIPAA要求进行风险分析,这么多的这些控制和防御应该已经到位。然后,它只是一个持续不断地向迎接新的威胁和增强的安全控制您的安全风险评估的问题。”
这篇文章,“支付勒索软件是一些医院的病”最初是由首席信息官 。