一旦发现漏洞并更改密码,从银行窃取的数据很快就会变得毫无用处。但来自医疗保健行业的数据,包括个人身份和病史,可以延续一生。
未来五年,网络攻击将给医院造成超过3050亿美元的损失,每13名患者中就有1人的数据被黑客窃取,行业咨询公司埃森哲表示。
埃森哲
并通过布鲁金斯机构的一项研究预测四分之一的数据泄露今年将打击医疗行业。
这最近的研究布鲁金斯学会的报告显示,自2009年底以来,超过1.55亿美国人的医疗信息在未经许可的情况下被泄露了约1500次。
布鲁金斯学会的研究表明,医疗保健行业尤其容易受到隐私泄露的影响。一方面,政府法规迫使医疗保健运营商采用电子健康记录(EHR)和《患者保护和平价医疗法案》(Obamacare)下的其他进展,即使他们还没有准备好在安全方面进行充分投资。
根据Brookings机构技术创新中心的研究,医疗保健记录还包含最有价值的信息,包括社会安全号码,家庭服务和患者健康历史,使其比其他类型的数据更有价值。由于网络犯罪分子可以向黑色市场销售溢价的数据,因此黑客有一个很大的激励,以重点对医疗行业的攻击。
研究说,随着更多综合护理,“医疗数据现在正在与许多不同类型的实体共享,其中许多员工可以获得患者记录,”该研究说。“扩展对医疗记录的访问增加了隐私泄露的潜力。”
为了遵守法律要求,医疗保健组织经常多年存储详细的医疗信息。违规的概率 - 以及后果的潜在严重程度 - 根据存储的数据量和存储的时间长度增加。
专注于监管合规性,而不是安全性
芝加哥医疗保健信息和管理系统协会(HIMSS)技术解决方案副总裁Lisa Gallagher表示,随着行业向数字记录保存转移,法规遵从性变得如此重要,网络安全在很大程度上已经成为次要考虑。
“有遗留系统的企业正试图连接和集成电子人力资源管理系统。安全并不总是被认为是其中的一部分,而且给系统打补丁总是充满危险。你总是有点落后,”加拉格尔说。“这是一个落后的公式。”
加拉格尔认为,医疗保健行业正面临着越来越复杂和持久的威胁,这些威胁来自一次性黑客和民族国家攻击者,他们将患者数据储存起来供将来使用。
“我认为我们没有做好准备,”曾任HIMSS网络安全高级主管的加拉格尔说。
对医疗保健提供者的更常见攻击之一涉及使用勒索软件,其中患者记录或医院网络被黑客攻击并随后锁定,直到通常以无法可行的电子货币(例如比特币)支付赎金。
Ransomware攻击
例如,本周,一个黑客声称从三个美国医疗保健机构和一家保险公司拥有被盗的数据库,并持有1000万患者的赎金记录,要求比特币的50万美元。
Cymetria.
在暗网出售930万病人记录的提议。
今年2月,洛杉矶一家医院付了钱黑客破坏了该公司的计算机网络,给了他们近1.7万美元的比特币。
黑客并不只针对医院和保险公司;他们还会追踪为该行业提供服务的附属供应商。
例如今天,马萨诸塞州总医院(MGH)宣布近4,300名患者当“可值得信赖的第三方供应商”提供软件以管理提供商管理提供商的牙科实践信息时,他们的医疗保健记录是否已被黑客攻击。
CenturyLink是一家总部位于美国路易斯安那州门罗市的全球通信公司。该公司目前正在追踪150种勒索软件的变体,其中最常见的是大规模的电子邮件活动。一些报告显示有超过3亿种恶意软件。
CenturyLink首席信息安全工程师科里·肯尼迪(Cory Kennedy)表示:“我真的认为,就勒索软件而言,医院支付赎金的故事正在攻击者中传播,让他们知道自己是一个成功的攻击场所。”
防范勒索软件可能相对简单:医疗保健提供商、保险公司或附属供应商只需要保持当前备份离线,肯尼迪说。当攻击确实发生时,可以使用备份来恢复数据。
医疗保健组织在教育员工了解网络攻击的危险以及管理组织中哪些人可以访问存储敏感数据的关键系统方面也进展缓慢。
然而,尽管医疗保健实体可以在安全方面变得更加积极主动,但网络攻击只会变得更加复杂。例如,黑客最近部署这是一场针对亚马逊Prime用户的网络钓鱼攻击,伪装成发送确认邮件。
肯尼迪说,另一个新进展是,黑客能够伪装勒索软件链接,当受害者将鼠标指针悬停在这些链接上时,这些链接看起来是合法的。
肯尼迪说:“我认为攻击者会继续这样做,寻找漏洞。”
不是如果的问题,而是什么时候的问题
这关键基础设施技术研究所已经确定了今年的赎金软件会破坏。网络安全专家认为,如果您的数据被黑客攻击,则不是问题,但无论您是如何知道你的数据被黑了。
Kennedy和其他专家认为,探测和数据加密是最好的网络安全技术,而不是只专注于加强防火墙等外围防御,并使用规则屏蔽外部pdf文件或其他文件。
埃森哲全球医疗业务高级董事总经理Kevah Safavi表示:“假设数据会被采集,但要让它毫无用处。”
埃森哲
萨法维说,当今医疗保健行业面临的最大威胁不是来自寻求快速发薪的一次性黑客,而是来自可以存储私密个人健康数据的外国政府,以供将来针对个人使用。
例如,去年黑客偷了美国第二大医疗保险公司Anthem Inc.约8,000万客户的记录。
“假设是他们是国家行动者,”Safavi说。“国家演员的目的是收获数据库,以创造他们可以用于未来攻击的社会工程的个人档案。”
外国政府可以利用医疗保健信息,通过电子邮件向政府雇员发送与他们可能患有的疾病相关的通知。当目标用户打开其中一封邮件时,恶意软件就会感染他或她的台式电脑。
“银行数据中没有任何东西会给[黑客]这个问题的答案,但它处于健康记录和[保险]索赔数据,”Safavi表示。“他们试图为未来的目的建立一个大型美国人的数据库。”
云是更安全吗?
萨法维表示,医疗保健机构可以通过首先认识到自己并非从事网络安全业务,从而更好地保护数据。例如,云存储提供商更有资格处理安全问题,他说。
“现在有一个讨论是关于公共云比私有云更安全还是更不安全。传统的想法是……他说,如果我能控制自己私人数据中心的数据,就会更安全。2020欧洲杯预赛我们的思路开始转向。
埃森哲
他补充说:“争论的焦点是,没有哪家公司能够像亚马逊或微软那样,拥有这样的安全水平,并跟上军备竞赛的步伐。”
在中央情报局授予亚马逊网络服务时,从来没有比两年前更明显的思考。一份6亿美元的合同为构成智能界的17个机构开发云服务。
Safavi说:“CiO之间的好处是您可以利用最先进的安全性,这是您可以使用的最先进的安全性,”Safavi表示,您可能无法用自己的IT组织复制。“
萨法维说,医疗行业也在考虑以毒攻毒,也就是说,通过使用区块链技术——就像比特币一样——作为一个分布式的点对点数据库,用来存储敏感信息。
“区块链的本质……萨法维说:“需要公钥和私钥,这使得某些人几乎不可能获得有价值的数据。”“这就是它被用于加密货币的原因。”
在医疗保健漏洞和新威胁中每天出现超过17550万条记录,该行业应迅速行动,以便在加拉格尔说,一旦被盗,就会迅速行动,以维护无法重生的数据。
分享是关怀
一个问题是,组织可能不知道数据已经被泄露。这表明了对入侵检测系统(IDS)和安全信息和事件管理(SIEM)软件的需求,这些软件可以监视网络中的恶意活动,并在检测到什么时向管理员发出警报。
此外,医疗保健行业需要从地方和联邦执法机构获得更好的威胁数据资源,Gallagher说。
“如果我被医疗保健Cio询问,在哪里进行网络滑轨数据,我必须给他们至少五个或六个来源的清单,也许更多 - 无论是FBI还是国土安全......或者有些私人公司,“Gallagher说。“数据有很多不同的来源,有时它有不同的格式。”
国会已经做出了几项努力,希望通过一项促进安全信息共享的法律。最新的是《网络安全信息共享法案》(CISA),该法案最终被纳入一项综合性支出法案,并于去年12月签署成为法律。CISA为七个政府实体和当地警方共享网络威胁数据铺平了道路。
然而,HIMSS的卫生信息系统高级主管罗德·佩特罗夫斯基指出,数据安全问题超出了政府或复杂软件的能力范围,他说,医疗保健机构必须把重点放在对其医疗和管理人员的教育上。
所有所需要的是一个人开放电子邮件附件,让黑客访问医院系统。Piechowski表示,教育员工如何检测和报告可疑电子邮件至关重要。
“我会重申安全是每个人的事业。这不仅仅是由IT部门,”Piechowski说。“如果您使用电子设备,这也是您的责任。”
这个故事,“黑客来到你的医疗保健记录 - 这就是为什么”最初的出版物《计算机世界》 。