一旦漏洞被发现,密码被更改,从银行窃取的数据很快就变得毫无用处。但是来自医疗行业的数据,包括个人身份和医疗历史,可以持续一生。
网络攻击将花费医院超过十亿$ 305在未来五年内,一个在13名患者将被黑客攻击的数据泄露,据业内咨询公司埃森哲。
埃森哲咨询公司
布鲁金斯学会的一项研究预测四分之一的数据泄露今年,医疗保健行业将受到冲击。
的最近的研究由布鲁金斯显示,自2009年年底,超过1.55亿美国人的医疗信息已通过约1,500违反暴露未经其许可。
布鲁金斯研究表明,医疗保健行业是特别容易受到侵犯隐私。一方面,政府规定强制医疗运营采用患者保护与平价医疗法案(奥巴马医改),即使他们还没有准备好足够的投资安全性下的电子健康记录(EHR)和其他进展。
布鲁金斯学会(Brookings Institution)技术创新中心(Center for Technology Innovation)开展的这项研究显示,医疗记录还包含现有最有价值的信息,包括社会安全号码、家庭住址和病人的健康历史,对黑客来说,这些信息比其他类型的数据更有价值。由于网络犯罪分子可以在黑市上高价出售数据,黑客有很大的动机将攻击重点放在医疗保健行业上。
该研究称,随着医疗一体化的推进,“医疗数据现在正在与许多不同类型的实体共享,在这些实体中,许多员工可以访问患者的记录。”“扩大对医疗记录的访问,增加了隐私被侵犯的可能性。”
为了遵守法律要求,医疗保健组织通常将详细的医疗信息存储多年。破坏的可能性——以及潜在的严重后果——会根据存储的数据量和存储的时间长度而增加。
关注法规遵从性,而不是安全性
据芝加哥医疗信息和管理系统协会(HIMSS)技术解决方案副总裁Lisa Gallagher说,随着行业转向数字记录,关注的是法规遵从性,网络安全在很大程度上已经成为次要的考虑。
“与原有系统的企业都在尝试连接到和整合电子健康档案,安全性并不总是被视为其中的一部分,和修补系统总是充满了危险。你总是与有点落后了,”加拉格尔说。“这是暂时落后的公式。”
加拉格尔认为,医疗保健行业面临着越来越复杂和持久的威胁,这些威胁来自一次性黑客和国家攻击者,他们将患者数据储存起来供未来使用。
“我不认为我们准备好了,”曾在HIMSS担任网络安全高级主管的加拉格尔说。
针对医疗服务提供商最常见的攻击之一是使用勒索软件,侵入患者记录或医院网络,然后锁定,直到支付赎金,通常是用无法追踪的电子货币,比如比特币。
勒索软件攻击
例如,这周,一个黑客声称他们从三家美国医疗机构和一家保险公司窃取了数据库,并持有1000万份患者记录,要求高达50万美元的比特币支付赎金。
Cymmetria
要约出售的暗网930万度病人的病历。
二月里,洛杉矶的医院支付向黑客提供了近1.7万美元的比特币,这些黑客关闭了该公司的计算机网络。
黑客不只关注医院和保险公司;他们还会追踪那些为该行业服务的附属供应商。
如今,例如,马萨诸塞州总医院(MGH)宣布近4300名患者当为供应商提供管理牙科实践信息的软件的“受信任的第三方供应商”的数据库被黑客攻击时,他们的医疗记录暴露。
CenturyLink是一家全球性的通讯公司,总部设在洛杉矶的门罗。目前,该公司正在追踪150种勒索软件的变种,其中最常见的是大规模电子邮件活动。一些报告显示他们有超过3亿个恶意软件变种。
“我真的认为在勒索软件方面,关于医院支付赎金是袭击者之间传播,让他们的故事,知道他们是一个成功的地方进行攻击,”科里·肯尼迪,在世纪互联铅信息安全工程师说。
防御勒索软件可以相对简单:医疗保健机构,保险公司或其它关联公司,只有保持当前离线备份,肯尼迪说。当确实发生病毒攻击时,备份可以用来恢复数据。
医疗保健组织在教育员工了解网络攻击的危险,以及管理组织中哪些人可以访问存储敏感数据的关键系统方面也行动迟缓。
然而,尽管医疗机构可以变得更积极主动地安全,网络攻击只会越来越成熟。例如,黑客最近部署伪装成发货确认邮件,针对亚马逊Prime用户的钓鱼攻击。
肯尼迪说,另一项新进展是,当受害者将鼠标指针悬停在链接上时,黑客能够伪装勒索软件链接,使链接看起来合法。
“我认为,攻击者将继续做他们,找洞,”肯尼迪说。
不是如果的问题,而是什么时候的问题
的关键基础设施技术研究所已经确定勒索软件将在今年肆虐。网络安全专家认为,你的数据是否或何时会被黑客攻击并不是问题,问题在于你是否会被黑客攻击知道你的数据被黑了。
相反,只专注于外围防御硬化,如防火墙和使用规则,以阻止外面的PDF文件或其他文件,肯尼迪和其他专家认为,检测和数据加密都是最好的网络安全技术。
“假设数据将被采取,但要了也没用,” Kevah萨法维,埃森哲全球医疗保健业务的高级董事总经理。
埃森哲咨询公司
萨法维说,目前医疗保健行业面临的最大威胁不是一次性的黑客,而是外国政府,他们可以存储私人健康数据,以供将来针对个人使用。
例如,黑客去年盗取了约80万客户国歌公司的第二大美国健康保险公司的记录。
“推测是他们是国家行为者,”萨法维说。“国家行为体的目的是获取数据库,创建个人档案,用于未来攻击的社会工程。”
外国政府可以使用的医疗信息向政府雇员与包含有关他们可能有医疗条件的通知邮件的目标。当一个有针对性的个别打开这些邮件的一个,恶意软件感染了他或她的台式电脑。
萨法维说:“银行的数据中没有任何东西能给黑客这个问题的答案,但它存在于你的健康记录和保险索赔数据中。”“为了将来的某种目的,他们正试图建立一个美国人的大型数据库。”
云更安全吗?
萨法维说,医疗保健机构可以通过首先认识到自己不是从事网络安全业务来更好地保护数据。他举例说,云存储提供商更有资格处理安全问题。
“现在有一个关于公有云是否比私有云更安全的讨论。传统的想法是……他说,如果我能控制自己私人数据中心的数据,那会更安全。雷竞技电脑网站萨法维说,人们的想法开始转变。
埃森哲咨询公司
“的说法是没有单独的公司永远不会有安全的水平,跟上军备竞赛可以,例如,亚马逊或微软的方式”他补充说。
这种思维上的转变从未像两年前那样明显,当时中央情报局授予亚马逊网络服务一份6亿美元的合同为组成情报界的17个机构开发云服务。
“cio们有一种不断发展的想法,那就是使用公共云的好处之一就是你可以利用最先进的安全技术,这是你自己的IT组织可能永远无法复制的,”Safavi说。
萨法维称,医疗保健行业也在寻找与火灾扑救火灾,可以这么说,通过使用区块链技术- 就像比特币那样 - 作为一个分布式的,对等网络数据库中存储的敏感信息。
“区块链的性质……需要公共和私人加密密钥,[这使得]某人几乎不可能获得一点点数据,”萨法维说。“这就是它被用作加密货币的原因。”
加拉格尔说,由于医疗泄露和新的威胁每天都在出现,超过1.755亿份记录丢失,行业应该迅速采取行动,保护一旦数据被盗就无法重新保护的数据。
共享是关怀
一个问题是,企业可能不知道这些数据甚至被破坏。这点需要入侵检测系统(IDS)和安全信息和事件管理(SIEM)软件,检测到的东西时,它可以监控恶意活动,并提醒管理员网络。
此外,医疗行业需要获得更好的资源,从地方和联邦执法机构的威胁数据,加拉格尔说。
“如果医疗保健行业的首席信息官问我该从哪里获取网络威胁数据,我必须给他们一份至少有五、六个来源的名单,也许更多——无论是FBI还是国土安全部……或者一些私人公司,”加拉赫说。“有很多不同的数据来源,有时是不同的格式。”
已经有一些努力,国会颁布将促进安全信息共享的法律。最近的是网络安全信息共享法案(CISA),其最终纳入一个综合开支法案去年12月签署成为法律。CISA铺平了七个政府机构和当地警察之间的网络威胁共享数据的方式。
然而,HIMSS的健康信息系统高级主管Rod Piechowski指出,数据安全问题超出了政府或复杂软件的能力,他说,医疗机构必须集中精力对其医疗和管理人员进行教育。
只要一个人打开电子邮件附件,黑客就可以进入医院的系统。佩特罗夫斯基说,教育员工如何发现和报告可疑电子邮件是至关重要的。
“我重申,安全是每个人的事。这不仅仅取决于It部门,”佩特罗夫斯基说。“如果你工作时使用电子设备,这也是你的责任。”
这篇文章,“黑客为你的医疗记录而来——这是为什么”最初发表于计算机世界 。