个人医疗保健数据有多大价值?
显然这取决于。至少基于一些价格上的比较黑暗的网络-网络罪犯的地下在线市场-电子健康记录(EHR)甚至不接近高级商品。
McAfee现在是英特尔安全部门的一员个人医疗记录的价格价格从1美分到2.5美元不等,而所谓的“完整”记录——姓名、社会安全号码和信用卡或借记卡的财务账户信息——可以卖到14美元到25美元。
但是,其他专家说,由于各种各样的原因,医疗记录具有巨大的价值——主要是经济上的,但有时是政治上的或个人的——并能在很长一段时间内保持其价值。
“医疗数据是非常丰富的信息,”赛门铁克医疗解决方案架构师Axel Wirth说。除了人口统计信息——姓名、出生日期——它还包括金融和账户信息、保险和政府身份识别信息、居住地信息、身体描述、近亲,甚至可能还有照片。它已经足够丰满了。”
[关于CSO:医疗保健部门的安全提示]
Redspin的总裁丹·伯杰(Dan Berger)对此表示赞同。他说,他认为医疗数据的较低价格只适用于他所谓的“快速翻转”方案。
他说:“对于更复杂的方案,医疗记录可能包含更深层次的人口统计数据,可以用于身份盗窃和欺诈。”
Redspin
丹·伯杰总统,Redspin
身份盗窃资源中心(ITRC)在最近的一篇博客文章中说低价格只是供求关系的问题。ITRC表示:“在黑暗网络上有大量被窃取的医疗信息,这些完整记录的价值已被削减到不足过去价值的一半。”
实际上,它的潜在用途可能比从任何其他工业部门窃取的数据更多样化。关键基础设施技术研究所(Institute for Critical Infrastructure Technology,简称complicit)的联合创始人和高级研究员詹姆斯·斯科特(James Scott)指出,它可以“被用于处方、销售和转售、用于欺诈或身份盗窃,还可以与其他被盗数据相结合,形成完整的受害者档案。”在一些不太常见的情况下,它可能被用来勒索。”
对此,沃斯补充说,这些数据可以被用来“建立政府雇员的旅行档案,依据是他们所接种的疫苗、名人医疗事件的新闻价值以及在法律纠纷中使用医疗数据。”
还有一个现实是,许多医疗信息——就业信息、社会保险号、病史、家庭成员、身体描述符——不能像信用卡账号那样被更改。它是持久性的,这意味着它的价值可能会保持多年,甚至几十年。
还有一件事:它相对容易得到。医疗保健组织在确保“客户”在其护理下的安全方面做得很好。不幸的是,他们不太擅长保护这些客户的个人数据安全。
正如多个组织报告的那样,这个在网络犯罪世界广为人知的弱点是医疗保健组织成为如此有吸引力和常见目标的原因之一。
IBM拨打了2015"医疗危机之年"在2016年网络安全情报指数中。
ITRC和IDT911在4月报告说,而美国空军的在报告的违规百分比中,医疗部门仅次于商业部门——35.4%到40%——这在被破坏的记录数量上遥遥领先——超过1.13亿,占总数的66.7%。
赛门铁克(Symantec)的健康IT官员大卫•芬恩(David Finn)表示,他的公司正在进行一项新的调查2015年互联网安全威胁报告也有类似的发现——2015年39%的违规都发生在卫生服务领域。他说:“不幸的是,根据我们目前在公开通知中看到的情况,我们预计这一趋势将在2016年继续下去。”
赛门铁克
大卫·芬恩赛门铁克的健康IT官
事实上,根据ITRC,今年情况有所改善。截至12月中旬,虽然原始的违规数量有所增加,但被曝光的医疗记录数量大幅下降,降至约1540万份。
这在很大程度上是因为所报道的泄露事件都没有达到2105年那次的规模,包括那次国歌(7880万),Premera BlueCross(1100万),Excellus BlueCross BlueShield(1000万)。这三个人占了去年被破坏的总记录的近90%。
尽管如此,今年被破坏的1540万张唱片意味着许多人的生活被严重破坏。斯科特指出,今年6月,“脚本kiddy 'thedarkoverlord'在深层网络的交易市场上提供了930万份医疗记录。”
这个月早些时候,同一个人提供了来自三个不同组织的100多万份记录——记录在9月份一份名为《“你的生活,重新包装和转售:深层网络利用卫生部门的受害者。”
独立安全评估公司(Independent Security Evaluators)的执行合伙人泰德•哈林顿(Ted Harrington)补充说,针对医疗机构的勒索软件攻击的成功,意味着它将吸引更多罪犯。虽然勒索软件的目的不一定是窃取数据,但哈林顿说,针对Medstar和好莱坞长老会,“证明它是攻击者一个可行的收入渠道。”
这种情况不太可能很快改变。网络罪犯仍然可以访问医疗数据的原因很容易解释,但很难解决。
独立安全评估
泰德·哈林顿、执行合伙人、独立安全评估人
伯杰指出,它“天生就难以保护”。这是一个真正的平衡之举。过多的控制可能会使医生无法获取治疗患者所需的信息;控制太少,同样的信息可能会落到错误的人手里。”
斯科特看到了同样的冲突。他说,这个问题是“缺乏网络安全,缺乏网络卫生,以及数据的价值和用途”的综合。许多医疗专业人员忽视了加密等基本的网络安全防范措施,因为加密会减慢病人的反应时间,或者因为他们的资源被用于其他地方。
他说:“医疗实体也有大量的护士、医生和其他用户在物理上或远程访问敏感数据和系统,这不可避免地导致较差的安全性,在某些情况下,还会造成内部威胁。”
芬恩说,另一个问题是电子健康记录行业采用的速度有多快。电子健康档案),从2009年的不到10%上升到2014年的97%。他说:“不幸的是,这种匆忙的实施把安全问题抛在了后面。”
另一个问题是:尽管每年的全国医疗保健支出高达惊人的3.35万亿美元,但许多机构都在使用严重过时的设备。据McAfee说,一些医务人员使用的是Windows 95系统。微软在2001年就停止了对该操作系统的支持——这在技术领域已经是几辈子的事了。
Harrington将此归因于安全并不是投资的优先事项,部分原因是“管理层对安全使命的认同和理解不足。”安全是董事会层面、业务层面的问题;但在大多数医疗保健组织中,它被委派给一个团队或个人,而没有直接与CEO或董事会沟通,”他说。
斯科特说,有时候,事实可能是,“对医院来说,使用过时的设备并承担潜在风险比替换过时的设备更具成本效益。”
沃斯说,现实因相互依赖而变得复杂。在许多情况下,“一个系统升级将需要许多其他昂贵的软件和硬件升级,”他说。
“很多医疗系统和软件都非常专业,升级不频繁,尤其是医疗设备,它们的开发周期很长,在医院使用寿命也很长。
他说,对于一家医院来说,“仅仅为了取代临终的操作系统而购买一台价值50万美元的新核磁共振扫描仪是毫无意义的。”
考虑到这些现实情况,专家们说,组织仍然可以而且应该采取一些基本的网络安全“卫生”措施来保护患者数据。这主要取决于对任何组织的建议——良好的网络卫生和分层的安全。这包括:
——意识培训:“到目前为止,每个人都听说过,‘人是安全的新边界,’”Berger说,“然而,在我看来,大多数医疗保健组织仍然只投入了IT预算的一小部分安全意识培训。或许是时候把网络安全提升到与健康和安全同等的风险管理水平了。”
——技术:斯科特和其他人说,正确的技术解决方案可以“检测内部威胁,根据身份和访问权限细分数据,并实现网络卫生自动化。”
-建立安全在:这不会很快实现,但医疗保健组织需要开始要求医疗设备供应商“在整个开发生命周期中结合设计安全”,Scott说。
-了解你的资产:“不只是硬件,还有软件,”芬恩说,“最重要的是,你的数据在哪里以及如何使用。”
-像攻击者一样思考
-更新硬件、软件和操作系统的补丁。
“网络安全不是一种时尚,也不是一种趋势,”斯科特说,“医疗保健部门需要认识到自己需要专门的信息安全人员,并开始积极招聘有能力监控和应对日新月异的威胁的专业人才。”
这篇文章,“医疗数据:网络罪犯的可访问性和不可抗拒性”最初发表于方案 。