2020年医疗行业面临的6大安全威胁

医疗行业如故是打单软件，加密，数据窃取，收集垂纶和内部威胁的热点方针。

因为 Anthem 和 Allscripts 等备受瞩目标违规举动，斲丧者此刻更担忧他们受掩护的康健信息 (Protected Health Information, PHI) 会被泄漏。最近的 2019 年 RSA 数据隐私与安详观测扣问了欧洲和美国近 6400 名斲丧者对其数据安详的观点。观测表现，61% 的受访者担忧本身的医疗数据会被泄漏。

他们有充实的来由感想担忧。医疗保健行业如故是黑客的首要方针，同时也存在很大的风险威胁会来自内部。

为什么医疗保健行业会成为黑客进攻的方针?

医疗保健相干的组织机构每每具备一些属性，让它们成为了对进攻者来说有吸引力的方针。一个要害缘故起因是有许多差异的体系没有按期打补丁。KnowBe4 的首席宣传官兼计谋官 Perry Carpenter 暗示：个中一些是嵌入式体系，因为制造商建设它们的方法，不能等闲打补丁。假如医疗 IT 部分想要这样做，那将对供给商支持他们的方法造成重大题目。

医疗保健行业所做事变的要害性子使它们成为了进攻者的方针。在收集犯律例模，康健数据是一种有代价的商品，这使得它成为了偷盗的方针。因为事关病人的康健，医疗机构更有也许为打单软件付出赎金。

以下是将来一年里医疗行业将谋面临的六大安详威胁。

1. 打单软件

按照 Verizon 2019 年的数据泄漏观测陈诉，打单软件进攻持续第二年占到了 2019 年医疗保健行业全部恶意软件变乱的 70% 以上。另一项 Radware 的《信赖因子》(The Trust Factor) 陈诉表现，只有 39% 的医疗机构以为面临打单软件的进攻，他们做好了足够或充实的筹备。

打单软件进攻在来岁也会一连存在。Carpenter 暗示：在充实强化员工和体系安详之前，(打单软件)将一连取告捷利，并得到更多动力。他们将继承将矛头瞄准会点击或下载一些对象的人。

缘故起因很简朴：黑客以为他们的打单软件进攻更有也许乐成，由于假如医院、医疗机构和其他卫生组织无法会见患者的记录，就会危及到这些患者的生命。他们将被迫当即采纳动作，付出赎金，而不会通过备份举办漫长的规复事变。

“医疗也是贸易的一种，但医疗保健也涉及人们的糊口。任何时辰，假如你的公司涉及到人们糊口中最私家、最重要的部门，而你对其组成了威胁，就必要当即做出回响。这对陈设了打单软件的收集罪犯来说很是有效。

当医疗机构无法快速举办规复时，打单软件导致的效果也许是歼灭性的。这一点在电子康健档案(Electronic Health Record, EHR)公司Allscripts在1月份由于打单软件进攻而关停时浮现的很是明明。这次进攻传染了两个数据中心，导致许多应用措施离线，影响了该公司处事的数千名医疗行业客户。

2. 窃取病人资料

对收集罪犯来说，医疗数据也许比财政数据更有代价。按照 Trend Micro 的医疗行业所面对的收集犯法和其他威胁这份陈诉，窃取的医疗保险 ID 在暗盘上的售价至少为 1 美元，医疗档案的起价为 5 美元。

黑客可以操作身份证和其他医疗数据获取当局文件，好比驾照。据 Trend Micro 报道，驾照售价约为 170 美元。一个制造完备的身份(一个由完备的 PHI 和一位死者其他的身份数据组成的身份)可以卖到 1000 美元。对比之下，名誉卡号在暗盘上只卖几美分。

Carpenter暗示，医疗记录比名誉卡数据更有代价，由于医疗记录将大量信息齐集在了一个处所，包罗财政信息和小我私人的要害配景数据。身份偷盗所需的统统都在哪里。

犯法分子在窃取康健数据方面变得越来越圆滑。伪打单软件就是一个例子。这是一种看起来像打单软件的恶意软件，但它并没有做打单软件所做的险恶的工作，它会在背后窃取医疗记录，或在体系中横向移动，安装其他特工软件或恶意软件，这些软件在之后会使犯法分子受益。

正如下一节所述，医疗保健业行业内的人士也在窃取患者的数据。

3. 内部威胁

按照 Verizon 掩护康健信息数据泄漏陈诉，被观测的医疗处事供给商中，59% 的威胁举动者是内部人士。83% 的环境下其念头与经济好处相干。

很大一部门的内部泄漏念头是出于爱好或好奇心，会见他们事变职责之外的数据——譬喻，查询绅士的 PHI。特工勾当和复仇也是念头之一。Fairwarning 的首席执行官 Kurt Long 暗示：在病人住院时代，稀有十人可以查阅医疗记录，正由于云云，医疗处事供给商每每会配置宽松的准入节制。平凡员工可以打仗到大量数据，由于为了顾问病人，他们必要快速获取数据。

医疗组织机构中差异体系的数目也是一个身分。Long 暗示这不只包罗付费和注册，还包罗专门用于妇产科、肿瘤学、诊断和其他临床体系的体系。

“任何对象都也许用来买卖营业，从用于身份偷盗的病人数据或医疗身份偷盗诓骗打算。这已经成为了这个行业的常态。人们在为本身、伴侣、家人谋取财帛，可能(他们正在)转向阿片类药物或处方药物。他们获取处方，然后出售以获取利润。

当你从整体上对待阿片类药物危急时，可以说医疗事变者正坐在体系中处方阿片类药物带来的金矿上。这是阿片类药物危急的最新证明。医疗事变者熟悉到它们的代价，他们也许会对它们上瘾，可能为了经济好处而行使他们的权力(开处方)。

Long 指出，内部人士从窃取病人数据中赢利的一个果真例子来自 Memorial Healthcare Systems。客岁，为了告终一路内部违规案件，该公司付出了 550 万美元的 HIPAA 息争金。在这起案件中，两名员工会见了 11 万 5 千多名患者的 PHI。那次入侵变乱彻底改变了 Memorial 对隐私和安详的立场，以防御将来来自内部人士和其他各方的威胁。

4. 收集垂纶

收集垂纶是进攻者进入体系最常用的本领。它可以用来安装打单软件、挖矿剧本、特工软件或代码来窃取数据。

一些人以为，医疗保健行业更轻易受到收集垂纶的影响，但数据表现并非云云。KnowBe4 的一项研究表白，在蒙受收集垂纶进攻方面，医疗保健行业与大大都其他行业八两半斤。在局限为 250 至 1000 名员工的医疗机构里，假如这些员工没有接管过安详意识培训，就有 27.85% 的几率成为收集垂纶的受害者，而行业均匀概率为 27%。

Carpenter暗示，你也许会以为利他主义、面临存亡，也许会导致人们(医疗事变者)在生理上更轻易受到影响去点击一些对象，但数据并没有证明这一点。

职员局限与被收集垂纶的也许性有很大相干。KnowBe4 的数据表现，员工人数在 1,000 人以上的医疗机构，均匀有 25.6% 的也许性会被收集垂纶。

Carpenter 发此刻拥有 1000 多名员工的企业中，大大都人接管了更多的培训，而且运营的庞洪水平也更高，由于为了遵守严酷的划定，他们不得不行使差异的体系。

5. 加密钱币挟制

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!