正在阅读：医疗无小事 2020年医疗行业将面临哪些安全威胁?医疗无小事 2020年医疗行业将面临哪些安全威胁?

　　[PConline 杂谈]在网络犯罪分子严重，大众的医疗数据是一种极具价值的“商品”，加之大多数的医疗机构不能保证定期为其IT系统打补丁，使得医疗保健行业逐渐成为黑客攻击的热门目标。那么，在未来一年里，医疗行业又将面对哪些安全威胁呢？

　　 根据今年的RSA数据隐私与安全调查显示，在询问了欧洲和美国近6400名消费者对其数据安全的看法后，有61%的受访者担心自己的医疗数据会被泄露，除了来自黑客等外部攻击威胁外，同时也存很大的内部风险。且必须正视的是，医疗行业仍是勒索软件，加密，数据窃取，网络钓鱼和内部威胁的热门目标。

内部威胁，监守自盗

　　 常言道，外贼易挡，家贼难防。根据Verizon保护健康信息数据泄露报告显示，在被调查的医疗服务供应商中，高达59%的威胁行为者来自内部，且83%的情况下其动机与经济利益相关。其中大多数的内部泄露动机是出于乐趣或好奇心，访问他们工作职责之外的数据，例如查询名人的PHI。

　　 除此之外，间谍活动和复仇也是动机之一。对此，Fairwarning的首席执行官Kurt Long表示，病人住院期间有数十人可以查阅医疗记录，正因如此，医疗服务供应商往往会设置宽松的准入控制。普通员工可以接触到大量数据，为了照顾病人他们需要快速获取数据。另外，医疗组织机构中不同系统的数量也是一个因素，这不仅包括付费和注册，还包括专门用于妇产科、肿瘤学、诊断和其他临床系统的系统。

　　 Long还指出，内部人士从窃取病人数据中获利的一个公开例子来自Memorial Healthcare Systems。去年，为了了结一起内部违规案件，该公司支付了550万美元的HIPAA和解金。在这起案件中，两名员工访问了11.5多名患者的PHI。此次入侵事件也彻底改变了Memorial对隐私和安全的态度，以防范未来来自内部人士和其他各方的威胁。

窃取个人资料

　　 对网络罪犯而言，医疗数据可能比财务数据更具价值。根据Trend Micro的医疗行业所面临的网络犯罪和其他威胁报告显示，窃取的医疗保险ID在黑市上的售价至少为1美元，医疗档案的起价为5美元。

　　 网络攻击者可以利用身份证和其他医疗数据获取政府文件（例如驾照），驾照售价约为170美元。一个制造完整的身份（一个由完整的PHI和一位死者其他的身份数据构成的身份）甚至可以卖到 1000美元。相比之下，信用卡号在黑市上的售价只有几美分。

　　 显然，医疗记录比信用卡数据更有价值，因为医疗记录将大量信息集中在了一个地方，包括财务信息和个人的关键背景数据，而身份盗窃所需的一切都在那里，且犯罪分子在窃取健康数据方面变得越来越狡猾。

　　 伪勒索软件就是一个例子。这是一种看起来像勒索软件的恶意软件，但它并没有做勒索软件所做的邪恶的事情，它会在背后窃取医疗记录，或在系统中横向移动，安装其他间谍软件或恶意软件，这些软件在之后会使犯罪分子受益。

网络钓鱼

　　 众所周知，网络钓鱼是攻击者进入系统最常用的手段，它可以用来安装勒索软件、挖矿脚本、间谍软件或代码来窃取数据。尽管一些专家认为，医疗保健行业更容易受到网络钓鱼的影响，但数据显示并非如此。

　　 根据KnowBe4的一项研究表明，在遭受网络钓鱼攻击方面，医疗保健行业与大多数其他行业不相上下。在规模为250至1000名员工的医疗机构里，如果这些员工没有接受过安全意识培训，就有27.85%的几率成为网络钓鱼的受害者，而行业平均概率为27%。

　　 KnowBe4的数据显示，人员规模与被网络钓鱼的可能性有很大相关。员工人数在1000人以上的医疗机构，平均有25.6%的可能性会被网络钓鱼。而Carpenter发现在拥有1000多名员工的企业中，大多数人接受了更多的培训，并且运营的复杂程度也更高，因为为了遵守严格的规定，他们不得不使用不同的系统。

日益猖狂的勒索软件

　　 同样是来自Verizon 2019年的数据泄露调查报告。报告显示，勒索软件攻击已连续两年占到了2019 年医疗保健行业所有恶意软件事件的70%以上。Radware也在《信任因子》(The Trust Factor) 报告中表示，39%的医疗机构认为自己做好了足够或充分的准备，以面对勒索软件的攻击。

　　 不仅如此，勒索软件攻击频率在明年还会持续增加。黑客认为他们的勒索软件攻击更有可能成功，因为如果医院、医疗机构和其他卫生组织无法访问患者的记录，就会危及到这些患者的生命。他们将被迫立即采取行动，支付赎金，而不会通过备份进行漫长的恢复工作。

　　 实际上，医疗也是商业的一种。任何时候，如果你的公司涉及到人们生活中最私人、最重要的部分，而你对其构成了威胁，就需要立即做出反应，这对部署了勒索软件的网络罪犯来说非常有用。当医疗机构无法快速进行恢复时，勒索软件导致的后果无疑是毁灭性的。

攻击物联网设备

　　 即便是再小的医疗设备，只要连入网络就会增加其被攻击的风险。且多年以来，医疗设备一直是该行业的一个热议话题，很多医疗设备在设计之初并未充分考虑到网络安全这一问题，即便有补丁，通常也只能提供有限的保护。

　　 根据Irdeto在今年初发布的全球互联产业网络安全调查报告显示，82%的医疗机构表示他们在过去 一年里经历过针对物联网设备的网络攻击，攻击造成的平均财务影响为34.6万美元。这些攻击造成的最常见影响是业务下线(47%)，其次是客户数据泄露(42%)和终端用户安全受损(31%)。在制造商开始制造更安全的设备之前，医疗保健行业脆弱的医疗和其他联网设备将持续带来风险。

写在最后

　　 综合上述可预见的安全威胁，医疗行业当要如何自保呢？当务之急，就是尽快加强对关键IT系统的维护，尤其是那些老旧且未打补丁的系统。如果硬件厂商没有给出相应的漏洞补丁，不妨对他们施加一些压力，例如问问为什么这些系统不能或没有更新，并从行业角度施加压力。

　　 此外，就是对内部员工进行安全意识培训，例如对网络钓鱼的识别能力，且不管医疗机构规模是大是小，都应告诉你的员工应该做些什么，是要建立一个行为条件项目，训练他们不要点击钓鱼链接。当然，如果能够持续长期的进行培训，培训会产生更好的效果，尤其是在这个网络钓鱼攻击越来越个性化的当下。