个人医疗保健数据有多大价值?
显然这取决于。至少基于一些价格上的比较暗网-网络罪犯的地下在线市场-电子健康记录(EHR)甚至不接近高级商品。
迈克菲,现在英特尔安全的部门,最近的报道个人医疗记录的价格范围从一分钱到$ 2.50分,而所谓的“fullz”记录 - 名字,从信用卡或借记卡的社会保障号码加上金融账户信息可以卖到$ 14至$ 25。
但是,其他专家说,由于各种各样的原因,医疗记录具有巨大的价值——主要是经济上的,但有时是政治上的或个人的——并能在很长一段时间内保持其价值。
“医疗数据是非常丰富的信息,”赛门铁克医疗解决方案架构师Axel Wirth说。除了人口统计信息——姓名、出生日期——它还包括金融和账户信息、保险和政府身份识别信息、居住地信息、身体描述、近亲,甚至可能还有照片。它已经足够丰满了。”
[关于CSO:对于医疗保健行业的安全提示]
Redspin的总裁丹·伯杰(Dan Berger)对此表示赞同。他说,他认为医疗数据的低价只适用于他所谓的“快速翻转”方案。
“对于更详细的方案,医疗保健记录可能含有更深的一套可以用于身份盗窃和欺诈的人口统计,”他说。
Redspin
丹伯杰总统,Redspin
和身份盗窃资源中心(ITRC),在最近的一篇博客,称低廉的价格仅仅是供给和需求的问题。ITRC表示:“在黑暗网络上有大量被窃取的医疗信息,这些完整记录的价值已被削减到不足过去价值的一半。”
事实上,它的潜在用途也许比任何其他工业部门窃取的数据变化。詹姆斯·斯科特,创始人和资深研究员利用开处方,销售和转售研究所关键基础设施技术(ICIT)指出,它可以是”,用来欺诈或身份盗窃,并且可以与其他窃取的数据来生成合并整体受害者档案。在一些不常见的情况下,它可用于敲诈“。
对此,沃斯补充说,这些数据可以被用来“建立政府雇员的旅行档案,依据是他们所接种的疫苗、名人医疗事件的新闻价值以及在法律纠纷中使用医疗数据。”
还有一个现实是,许多医疗信息——就业信息、社会保险号、病史、家庭成员、身体描述符——不能像信用卡账号那样被更改。它是持久性的,这意味着它的价值可能会保持多年,甚至几十年。
还有一件事:它相对容易得到。医疗保健组织在确保“客户”在其护理下的安全方面做得很好。不幸的是,他们不太擅长保护这些客户的个人数据安全。
这个弱点,在网络犯罪世界广为人知,是原因之一医疗机构是如此诱人,和常见的目标,如多组织报告。
IBM称为2015年“保健违约的一年,”在2016年网络安全情报指数中。
在ITRC和IDT911报告在四月,虽然在报告的违规百分比中,医疗部门仅次于商业部门- 35.4%到40% - 这是远成的破坏记录数首位 - 超过1.13亿,占总数的66.7%。
大卫·芬恩,赛门铁克健康IT人员说,他的公司的2015年互联网安全威胁报告有类似的发现 - 在2015年所有违反39%的人卫生服务机构内。“根据我们迄今所看到的公共通知,我们会很不幸,预计这一趋势将在2016年发扬光大,”他说。
赛门铁克
大卫·芬恩,医疗IT人员,赛门铁克
实际上,根据ITRC,事情已经在今年得到改善。截至12月中旬,而违规的原料数量增加,医疗记录数量急剧露出15.4万减少到。
这是显著措施,因为没有任何违规的报道已经甚至接近的几个规模在2105,包括国歌(7880万),Premera蓝十字(11万美元),Excellus蓝十字蓝盾(10万美元)。这三个去年占受损总记录的近90%。
尽管如此,今年被破坏的1540万张唱片意味着许多人的生活被严重破坏。斯科特指出,今年6月,“脚本kiddy 'thedarkoverlord'在深层网络的交易市场上提供了930万份医疗记录。”
当月早些时候,同一个人曾提出从三个不同的组织超过100万条记录 - 活动在题为9月份ICIT报告中记录,“你的生活,重新包装和转售:卫生部门违反受害者的Deep Web的开发。”
特德·哈灵顿,在独立的安全评估人员执行合伙人补充说,针对医疗机构的手段勒索攻击的成功更多的罪犯将被吸引到它。虽然勒索不一定旨在窃取数据,哈灵顿说如针对Medstar和攻击好莱坞长老会,“证明它是攻击者可行的收入渠道。”
这种情况不太可能很快改变。网络罪犯仍然可以访问医疗数据的原因很容易解释,但很难解决。
独立安全评估程序
泰德·哈林顿,执行合伙人,独立安全评估程序
伯杰指出,它“天生就难以保护”。这是一个真正的平衡之举。过多的控制可能会使医生无法获取治疗患者所需的信息;控制太少,同样的信息可能会落到错误的人手里。”
斯科特看到了同样的冲突。他说,这个问题是“缺乏网络安全和网络卫生,以及数据的价值和用途”的综合。许多医疗专业人士忽视了加密等基本的网络安全防范措施,因为加密会减慢病人的反应时间,或者因为他们的资源被用于其他地方。
“医疗机构也有大量的护士,医生和其他用户物理或远程访问敏感数据和系统中,这不可避免地导致安全性差,并在某些情况下,内部威胁,”他说。
芬恩说,另一个问题是这个行业的迅速采用电子健康记录(EHR),从2009年的不到10%上升到2014年的97%。他说:“不幸的是,这种匆忙的实施把安全问题抛在了后面。”
另一个问题是:尽管每年的全国医疗保健支出高达惊人的3.35万亿美元,但许多机构都在使用严重过时的设备。据McAfee说,一些医务人员使用的是Windows 95系统。微软在2001年就停止了对该操作系统的支持——这在技术领域已经是几辈子的事了。
Harrington将此归因于安全并不是投资的优先事项,部分原因是“管理层对安全使命的认同和理解不足。”安全是董事会层面、业务层面的问题;但在大多数医疗保健组织中,它被委派给一个团队或个人,而没有直接与CEO或董事会沟通,”他说。
斯科特说,有时候,事实可能是,“对医院来说,使用过时的设备并承担潜在风险比替换过时的设备更具成本效益。”
沃斯说,现实因相互依赖而变得复杂。在许多情况下,“一个系统升级将需要许多其他昂贵的软件和硬件升级,”他说。
“很多医疗系统和软件都非常专业,升级不频繁,尤其是医疗设备,它们的开发周期很长,在医院使用寿命也很长。
他说,对于一家医院来说,“仅仅为了取代临终的操作系统而购买一台价值50万美元的新核磁共振扫描仪是毫无意义的。”
考虑到这些现实情况,专家们说,组织仍然可以而且应该采取一些基本的网络安全“卫生”措施来保护患者数据。这主要取决于对任何组织的建议——良好的网络卫生和分层的安全。这包括:
——意识培训:“现在,每个人都听说过,‘人们都在安全的新周边,’”伯杰说,“然而,在我看来,大多数医疗机构仍然只投资他们的IT预算的一小部分在安全意识培训。或许是时候把网络安全提升到与健康和安全同等的风险管理水平了。”
——技术:斯科特和其他人说,正确的技术解决方案可以“检测内部威胁,根据身份和访问权限细分数据,并实现网络卫生自动化。”
- 构建安全:这不会很快实现,但医疗保健组织需要开始要求医疗设备供应商“在整个开发生命周期中结合设计安全”,Scott说。
-了解你的资产:“不只是硬件,而是软件,太多,”芬兰人说,“最重要的是,数据所在的位置以及它是如何被使用。”
- 这样想攻击
-更新硬件、软件和操作系统的补丁。
“网络安全不是一种时尚,也不是一种趋势,”斯科特说,“医疗保健部门需要认识到自己需要专门的信息安全人员,并开始积极招聘有能力监控和应对日新月异的威胁的专业人才。”
这篇文章,“医疗数据:网络罪犯的可访问性和不可抗拒性”最初发表于方案 。