勒索已经成为美国医疗保健行业今年的一大威胁。所涉及的好莱坞长老会医院在洛杉矶,MedStar健康在华盛顿特区和其他医疗保健系统的高调攻击只是冰山的一角。医院超过一半调查了最近通过HIMSS Analytics(分析)和医疗保健IT消息说,他们已经被在过去一年勒索攻击击中。另外有25%的人不确定是否发生此类攻击。
目前还不清楚有多少家医院已支付赎金给网络罪犯对他们解除加密数据和/或解锁他们的系统。好莱坞长老会宣布,它已经支付了$ 17,000至得到暂时无法使用其EHR 10天后其资料。卫理公会医院亨德森,肯塔基州,据报道也支付了$ 17,000MedStar的系统是至少部分降低了近一个星期,但该组织没有透露是否已支付了赎金。
+ MORE勒索:勒索软件只会越来越糟。你是怎么准备的?+
在被问及是否会叉在支付赎金,如果黑客已经加密他们医院的病人的数据,大约在HIMSS Analytics(分析)调查的医疗高管一半的人说他们不会。四十四%的人表示不确定,而只有5%的人说他们将支付。
但专家表示,勒索软件攻击的指数级增长表明,一些受害者屈服于黑客的要求。他说:“攻击之所以会成功,是因为组织愿意付钱。只要这种情况继续下去,它们将继续上升,”总部位于西弗吉尼亚州查尔斯顿的WVMI Quality Insights的IT运营/隐私官内森•吉布森表示。
低挂,方便采摘水果品牌?
另一个原因是今年的勒索事件的跳跃是关于攻击和医院的脆弱性,以他们的宣传‘有底气的坏人,’CynergisTek,基于得克萨斯州奥斯汀市的IT安全公司的首席执行官的Mac麦克米兰说。此外,他说,“有一个非常低的,这些人的风险被逮住”,并有一个潜在的巨大回报。
[有关:你被勒索软件攻击了。现在怎么办呢?]
麦克米兰同意$ 17,000名不是医院或医疗支付制度以重新访问其数据并保护其病人及其声誉的巨额。“但是,你付出的越多,它incents黑客做的越多,”他说。“你想要做的最后一件事是incent他们的行为。”此外,吉布森指出,还有如果他们支付赎金没有担保机构将获得他们的数据备份。
另一方面,麦克米兰指出,“如果你不是被锁在你的系统之外或无法访问数据的那个人,那就很容易说‘我们不付钱给罪犯’。”最后,你会努力不支付赎金。最好的办法就是做好准备处理事故并迅速恢复。”
有勒索的两种基本形式。从登录到系统一种类型的防止用户,而另一对数据进行加密;一些攻击涉及两种类型的恶意软件。
麦克米兰说,加密器版本是更危险的两个。“如果医院是由恶意软件锁定系统启动攻击,它可以生存,如果它具有良好的恢复过程和备用网站,IT人士可以用它来重建环境。但是,一旦你的数据是加密的,你不再有访问您的数据,如果你没有从备份中快速并重建恢复,并提供您的数据的能力,这是非常复杂,从恢复过来。”
数据备份是关键,幸存的勒索软件攻击。但是一些医院和医生的做法完全不备份他们的数据。这种缺乏安全意识拼图麦克米兰。“这是有可能的是,安全性还没有被视为关键业务功能”,在这些组织,他建议。
即使医院或医生组做回自己的数据,它可能只在夜间基础这么做。因此,如果发生勒索攻击和组织使用其数据的备份继续操作,数据库将丢失,因为前一天晚上已经进入到系统的一切,指出吉布森。这是比什么都没有要好得多,但它仍然会发送医生争先恐后。
许多医院在镜像服务器上对数据进行近乎实时的备份。如果一台服务器宕机,另一台服务器可以弥补这个缺口。Gibson指出:“但是如果你有接近实时的备份,这些备份将很容易受到攻击,因为它们是在线的,并且可以被网络上的恶意软件使用。”
麦克米兰同意,这构成了挑战。“你要确保你有良好的访问控制,因此,如果恶意软件,跳出的第一个系统,你可以非常迅速地割断和备份之间的连接,这两个系统之间的良好分离。”他说。
两位专家都认为,增加第二个备份系统可以帮助组织在遭遇勒索软件攻击时恢复。Gibson建议使用一个大多数时候离线的备份系统,并且“经常”备份主系统。他还将冗余服务器分割开来,以允许安全控制找出“可能影响备份的恶意活动”。
McMillan观察到,“云备份可能是有利的,因为云供应商通常会在多个位置备份数据。一旦你知道某些东西被感染了,你可以切断它,并确保你的备份不会同时被感染。此外,云计算供应商有很好的恶意软件探测器和过滤器,所以即使它没有在你的环境中被发现,他们可能会在它感染到备份之前发现它。”
[有关:4个理由不以勒索软件攻击最多支付]
然而,吉布森柜台,许多医疗机构仍然持谨慎态度将敏感的患者数据在云中。一个替代方案,他说,是段在线备份在使用的协议,该恶意软件是不是想利用单独的非云系统。
“很多勒索的寻找网络共享和直接访问系统,”他说。“如果你有一个使用了不同的协议备份时,恶意软件可能无法达到这一点。”
一盎司的预防?
医疗保健组织还可以通过使用高级恶意软件检测器来保护自己,当入侵发生时,这些检测器可以迅速向安全人员通报情况。麦克米兰指出,旧的杀毒软件会搜索已知签名的恶意软件;但较新的恶意软件,包括勒索软件,却没有这些签名。因此,先进的探测器搜索异常,而不仅仅是信号。
他指出:“它可以隔离附件、电子邮件或其他发送机制,并将其放在一个可以进行检查的隔离区域。”“大多数先进的探测器会在外围拦截未知的代码片段,并将其发送到云中进行分析。如果它是无害的,它就会把它送回去,让它通过。”
吉布森同意,每一个组织应该有一个“可以过滤电子邮件和互联网流量的网关服务器。”在安全区域开放的附件来搜索恶意软件唯一的问题是,在某些情况下,勒索不执行,直到接触发送邮件的服务器。因此,它可能坐在那里,什么也不做,直到组织允许其加入网络。
吉布森说,为了防止勒索软件和其他类型的恶意软件,每个医疗机构都应该评估自己的安全漏洞。他说:“重要的是要有一个安全风险评估和即时反应计划来对抗这类威胁。”“HIPAA要求进行风险分析,因此许多控制和防御措施应该已经到位。接下来的问题就是持续不断地进行安全风险评估,以应对新的威胁,加强安全控制。”
这个故事,“支付勒索是什么弊病一些医院”最初发表CIO 。