針對醫療行業的5大攻擊手段
醫療行業覆蓋面廣,產值巨大,卻是最容易遭到網路攻擊的,成為網路攻擊者目標的可能性幾乎是其他行業的 2倍 ,每年都有數不清資料洩露事件發生,數百萬患者資訊被竊。如果醫療行業不跟上黑客和身份竊賊技術技巧的進化,危機還會升級。
醫療行業網路安全現狀
2015年,1.13億患者淪為醫療行業資訊洩露事件的受害者,利益受損,身份被盜。醫療機構遭受網路攻擊的次數之多或許就是一個指徵:醫療機構平均每天受到 3.2萬 次網路攻擊,遭攻擊概率比其他行業高得多。網路安全基礎設施的缺乏和個人資訊的高價值,令醫療機構更容易成為網路罪犯的目標。
醫療行業對電子病歷和聯網醫療裝置的依賴越來越深,未來幾年醫療行業資料洩露問題可能變得更加嚴重。2017年網路攻擊總損失在12億美元左右,這一數字還將隨著醫療行業攻擊介面的擴大而上升。正如消費者和病患有自己的資源防止身份盜竊,醫療機構也需設定自己的系統來抵禦網路威脅。未來幾年醫療行業可能面臨的最大威脅有:
1. 資料洩露
所有行業中醫療行業的資料洩露概率最高。2017年的551起資料洩露事件中有 60% 出自醫療行業。某些案例中黑客悄無聲息地潛入醫療資料庫長達數週之久。
最常見的資料洩露型別是基於惡意軟體的黑客攻擊。黑客從醫療資料及醫療記錄售賣中賺取的利潤比賣非醫療行業個人資料高 100倍 以上。但也不是所有的資料洩露都與網路安全相關,內部員工故意盜竊或無意遺失筆記本電腦也有可能造成資料洩露。
為抵禦資料洩露,醫療機構應確保從病患到機構資料儲存的每一個環節中資料都是加密的。培育醫療行業員工的資料安全意識也能減少意外洩露事件。
2. 勒索軟體
2017年堪稱勒索軟體年,勒索軟體攻擊是上一年的3倍,而醫療行業是其中的重災區。勒索軟體病毒會鎖定系統或檔案,除非支付給黑客贖金,否則裝置無法使用。危重病人護理需要使用IT系統,如果重症監護過程因勒索軟體而陷入停頓,患者生命就會受到極大威脅。
2016年,好萊塢長老教會醫學中心遭遇勒索軟體攻擊,所有手術無法進行,中心高層不得不支付給攻擊者1.7萬美元以恢復醫院運轉。對攻擊的分析表明,黑客並沒有利用醫院員工作為突入點,而是攻陷了一臺過時的伺服器。此類攻擊充分證明了 良好的網路安全方法應包含兩個部分:員工培訓與嚴格的網路安全規程 。
3. 社會工程
希望利用醫療網路安全系統漏洞的黑客往往盯上醫院員工和其他相關人員以獲取訪問權。此類攻擊通過社會工程方法實施,能顛覆哪怕最嚴格的系統。網路釣魚攻擊是最常用的社會工程方法,利用精心編制的電子郵件誘騙受害者點選惡意連結或輸入其口令資訊。這些電子郵件經常會直接下載惡意軟體安裝到系統中,賦予攻擊者無限許可權。
與其他安全威脅不同,社會工程方法只能通過安全教育來抵禦。應培訓員工和管理層識別網路釣魚郵件和規避惡意連結。很多公司企業會採用“紅隊”策略,讓經驗豐富的網路安全人員充當攻擊者,測試公司的安全準備度。
4. 分散式拒絕服務攻擊(DDoS)
DDoS攻擊完全是破壞性的,是激進黑客主義者的慣用手法,可以中斷網路,作為抗議或無政府主義示威。這種攻擊協同成百上千臺電腦發起,造成網路或伺服器流量過載,直至無法提供服務。
2014年,波士頓兒童醫院捲入一起有爭議的14歲病患監護權案件。此案的敏感性刺激了黑客主義者團體“匿名者”發起DDoS攻擊,持續1周時間的攻擊造成約30萬美元的損失。醫療行業與政治往往緊密相關,未來很可能見證更多的的DDoS攻擊。 與服務提供商緊密合作可以確保關鍵網路在遭遇DDoS時能維持運營。
5. 內部人威脅
醫療機構的網路安全系統取決於其最弱一環。最嚴格的網路安全網路也能被內部人繞過,所以此類攻擊也是最難以預防的。很多心懷怨恨或抱有犯罪動機的僱員通過從內部給醫院網路安裝上入口點而破壞醫療機構的網路安全。
內部人威脅未必是惡意的。醫院中個人裝置的增多給醫療機構帶來了額外的內部人威脅。智慧手機、平板電腦和筆記本在81%的醫療機構中是允許使用的,但僅半數機構有針對這些裝置的安全計劃。個人裝置往往未經加密,還很可能帶有可能破壞其所連線網路的惡意病毒或“蠕蟲”。
網路安全是個不斷在發展的領域。醫療機構必須保持對安全協議的不斷投入,才能領先大多數常見攻擊一步。絕對的安全是不可能的,但減少服務中斷和資料丟失可以大幅推動醫療機構向前發展。