2020年的6大醫療安全威胁

admin

因為Anthem和Allscripts等备受瞩目标违规举動，消费者如今更担忧他们受庇护的康健信息(PHI)會遭到侵害。近来的2019年RSA数据隐私與平安查询拜访扣问了欧洲和美國近6400名消费者對其数据平安的见解。查询拜访显示，61%的受访者担忧他们的醫療数据被泄漏。

他们有充实的来由對此暗示担忧。醫療保健行業依然是黑客的重要方针，而且内部威逼也有很大的危害。

為甚麼醫療保健行業是黑客的方针

醫療保健组织常常有一些特别的属性，使其成了進犯者的诱人方针。一個關头缘由是大量的没有按期修补的分歧体系。“此中一些是嵌入式体系，因為制造商建立它们的方法，這些体系没法被轻松地修补。”“若是醫療保健的IT部分選择如许做，将會给供给商支撑他们的方法带来重大问题。”KnowBe4的首席傳教师兼计谋官Perry  Carpenter说。

醫療保健機构所做事變的關头性子也使他们轻易成為進犯者的方针。康健数据在收集犯法世界中是一种有价值的商品，這自但是然的使它成了偷盗的方针。由于事關重大--触及到病人的福祉--醫療保健機构也更有可能付出赎金请求。

下面是将来一年中6個最大的醫療平安威逼。

1. 打单软件

按照Verizon  2019年的数据泄漏查询拜访陈述，打单软件進犯已持续第二年盘踞了2019年醫療行業所有歹意软件事務的70%以上。另外一项查询拜访，Radware的信赖身分陈述显示，只有39%的醫療機构認為本身對打单软件進犯筹备得很是充实或极為充实。

没有来由信赖打单软件進犯将會在来岁逐步消散。“在咱们充实强化咱们的員工和体系以前，打单软件将继续被证实是乐成的，并得到更多的動力。他们将继续利用的载体是点击某個工具或下载某個工具的人。”Carpenter说。

缘由很简略：黑客認為他们的打单软件進犯很是有可能乐成，由于病院和醫療機构若是没法拜候患者记实，就會危及生命。他们會感触压力被迫當即采纳举措和付出赎金，而不是履历漫长的备份规复進程。

“醫療保健是一项奇迹，而且與人们的糊口痛痒相關。”Carpenter说。“任什麼時候候，當你的企業與人们糊口中最私家、最首要的部門交错在一块儿，并可能對其造成威逼時，你都必要當即做出反响。這對摆设打单软件的收集罪犯来讲很是有用。”

當醫療保健组织没法敏捷规复時，打单软件的影响多是扑灭性的。當電子康健记实(EHR)公司Allscripts在一月份因一次歹意软件進犯而封闭時，這一点就被戏剧性地提出来了。该進犯傳染了两個数据美白針,中間，并致使很多利用步伐离线，影响了数以千计的醫療保健供给商客户。

2. 盗取患者数据

對收集罪犯来讲，醫療保健数据可能比财政数据更有价值。按照趋向科技的收集犯法和醫療行業陈述中所提到的其他威逼，被盗的醫療保险身份证在暗網上最少可以賣1美元，而醫療档案的起价為5美元。

黑客可使用身份证和其他醫療数据中的数据来获得當局文件，如驾驶执照，按照趋向科技的陈述，這些文件的售价约為170美元。一個完备的农场身份--一個由完备的PHI和死者的其他身份数据建立的身份--可以賣到1000美元。比拟之下，信誉卡号码在黑網上只可以或许賣到几便士。

Carpenter说：“醫療记实之以是比信誉卡数据更有价值，是由于它们在一個处所汇集了大量信息。”包含小我的财政信息和關头的布景数据。“身份偷盗所需的一切都在那邊。”

罪犯在若何盗取康健数据方面變得愈来愈调皮了。伪打单软件就是一個例子。“看起来像打单软件的歹意软件，但实在并无做打单软件所做的所有险恶的事變，”Carpenter说。“在其袒护下，它盗取醫療记实或在体系間横向挪動，安装其他特務软件或歹意软件，這些软件或歹意软件将在今后對罪犯有益。”

正以下一節所诠释的，醫療保健行業的業内助士也在盗取患者数据。

3. 内部威逼

按照Verizon的避免康健信息数据泄漏陈述，59%被查询拜访的醫療辦事供给商的数据泄漏事務的举措者是内部职員。在83%的环境下，經濟收益是其重要念头。

很大一部門内部违规举動是出于兴趣或好奇心，主如果拜候他们事情职责以外的数据--好比查阅名流的小我信息。特務勾當和积怨也是念头之一。“在病人留在醫療体系中的進程中，有几十小我可以得到其醫療记实，”Fairwarning公司的首席履行官Kurt  Long说。“正由于如斯，醫療保健供给商常常也有着疏松的拜候節制。平凡員工可以拜候大量数据，由于他们必要快速获得数据来赐顾帮衬别人。”

醫療機构中分歧体系的数目也是身分之一。這不但包含计费和注册部分，還包含了專門用于妇產科、肿瘤學、诊断和其他的临床体系，Long说。

“从盗取病人数据到用于身份偷盗或醫療身份偷盗的讹诈规划，均可以得到财政上的回报。這已成了该行業的一個通例部門了，”Long说。“人们正在為本身或朋侪或家人扭转账单，或举行阿片类藥物的转移或处方转移。他们可以获得处方并出售它们以获得利润。&r電動止鼾器,dquo;

“當你从整体上看阿片类藥物的危機時，這就是對醫療保健情况的直接诠释，在醫療保健情况中，醫护职員正坐在体系中阿片类藥物的金矿上面，”Long美國黑金,说。“這是阿片类藥物总体危機的最新数据。醫护职員熟悉到了它们的价值，他们可能會陷溺于它们，或操纵他们得到的处方来得到經濟长处。”

Long指出，内部人士从盗取的患者数据中赢利的一個公然例子就是Memorial醫療体系的案例。客岁，该公司付出了550万美元的HIPAA息争金，以告终一项内部违规举動，即两名員工拜候了跨越11.5万名患者的PHI。這一违规举動致使Memorial醫療体系完全扭转了其隐私和平安姿态，以帮忙防备将来的内部职員和其他威逼。

4. 收集垂纶

收集垂纶是進犯者获得体系進口最經常使用的手腕。它可用于安装打单软件、加密剧本、特務软件和盗取数据的代码。

一些人認為醫療保健更易遭到收集垂纶的進犯，但数据显示的环境并不是如斯。KnowBe4的一项钻研表白，在蒙受垂纶進犯方面，醫療保健行業與大大都其他行業并驾齐驱。一家具有250到1000名員工的醫療機构，在没有接管過平安意识培训的环境下，蒙受收集垂纶進犯的概率為27.85%，而所有行業的均匀概率為27%。

Carpenter说：“電鑽工具箱,(你可能會認為)利他主义、刻不容缓的存亡状态可能會致使人们做美意理筹备，去点击一些讓(醫療事情者)更易遭到影响的工具，但查询拜访数字并无证实這一点。”

當谈到收集垂纶的敏感性時，范围很首要。KnowBe4的数据显示，員工在1，000人以上的醫療機构中，均匀有25.6%的人可能會被欺骗。“在具有1000多名員工的组织中，咱们看到他们中的大大都人接管了更多一点的培训，并會在更高的繁杂水平上运作，由于他们必需創建分歧的体系来遵照严酷的律例，”Carpenter说。

5. 加密挖矿

機密挟制体系以開采加密貨泉是所有行業中日趋紧张的问题。醫療保健中所利用的体系是加密挖矿(cryptojacking)很是有吸引力的方针，由于连结它们的运行相當首要。该体系运行的時候越长，犯法份子就越有可能得到加密貨泉。“在病院情况中，即便猜疑有人在加密挖矿，他们也可能不會急于拔掉呆板的插头，”Carpenter说。“受病毒傳染的呆板运行的時候越长，對罪犯的益处就越大。”

這仍是在假如醫療保健供给者可以或许检测到加密挖矿操作的环境下。加密挖矿代码不會侵害体系，可是會损耗大量的计较能力。只有當体系和出產力變慢時才有可能辨認到它。一些加密挖矿者會限定他们的代码以低落检测危害。而很多醫療保健组织也没有IT或平安职員来辨認和修复這类加密貨泉進犯。

6. 被黑客入侵的物联網装备

醫療装备的平安多年来就一向是醫療保健范畴的热門问题，家喻户晓，很多收集或互联網毗连的醫療装备很是轻易遭到進犯。问题的關头是，很多醫療装备的设计并无斟酌到收集平安问题。在可能的环境下，修补凡是只供给邊沿庇护。

按照从2019年头起头的Irdeto全世界互联行業收集平安查询拜访，82%的醫療機构暗示，他们在曩昔的12個月里履历過针對物联網装备的收集進犯。這些攻击的均匀财政影响為346205美元。這些進犯最多见的影响是操作停機(47%)，其次是客户数据泄漏(42%)和终端用户的平安性泄漏(31%)。

在制造商起头制造更平安的装备以前，醫療保健范畴易受進犯的醫療装备和其他毗连装备将继续是一個威逼。固然问题很广泛，但更新、更平安的型号要代替旧型号還必要不少年。

最小化醫療平安威逼的技能

更好地修补和更新關头体系。“究竟上，那些旧的未修补体系經常是作為關头装备嵌入的，這致使了打单软件的更大威逼，”Carpenter说。這可能會很坚苦，由于修补進程可能會間断關头@体%4e9XZ%系或减%513Sx%弱@供给商支撑体系的能力。

在某些环境下，也许也没有可用于已知缝隙的修补步伐。Carpenter建议应當在供给商没有或不克不及修补或更新体系的环境下向他们施压。“與供给商连结踊跃的瓜葛，扣问為甚麼這些体系不克不及或没有更新，并连结一個行業的压力。”

培训員工。按照KnowBe4的钻研，醫療保健行業在培训員工辨認收集垂纶方面低于均匀程度。很多醫療保健機构的范围很小，不到1000名員工，這多是一個身分。Carpenter说：“這不但仅是要奉告他们应當做甚麼。”你必要建立一個举動摹拟步伐，来练習他们不要点击收集垂纶链接。

這個步伐象征着必要發送摹拟垂纶邮件。点击链接的員工应當會當即收到關于他们做了甚麼和他们应當若何做准确事變的反馈。如许的项目會發生庞大的影响。

若是持久對峙利用，培训就會起感化。KnowBe4的钻研显示，在具有250至999名員工的醫療機构中，颠末一年的收集垂纶培训和测试后，其對收集垂纶的敏感度可从27.85%降至1.65%。

谨慎有關員工的信息。收集垂纶進犯越個性化，乐成的可能性就越大。在鱼叉式收集垂纶進犯中，進犯者會试圖尽量多地领會方针小我。Carpenter说：“若是不在辦公室的复兴给出了要接洽的人的名字，進犯者便可以經由過程利用這些名字和瓜葛链来創建信赖。”。

加强你防御和应答威逼的能力。“我(對醫療平安)最担忧的事變是，醫护职員缺少在發明變乱落后行得當查询拜访的能力，@缺%f37d6%少對變%E423R%乱@举行记实和评估風险的能力，缺少與法律部分或法令部分互助以举行充实取证的能力。他们也缺少可以或许举行解救的員工，没法包管這类环境不再會產生了，”Long说。他的建议是：“經由過程員工或互助火伴瓜葛来得到准确的專業常识。”他弥补说，平安性必要成為董事會和辦理层的优先事项。“肯定平安优先级后的第一步是确保您有一個具备合用履历的敬業的CISO。”

范围较小的醫療保健供给商可能没有資本雇佣CISO，但他们依然必要优先斟酌平安性，Long说。“他们可能必要在得到一流的平安專業常识方面更具缔造性。這多是經由過程互助或辦理平安辦事实現的，但没有人可以或许取代他们本身站出来讲，我的病人应當获得平安保障，我必需致力于互助或讓符合的平安职員進入到這里。”