国内最专业的IT技术学习网

UI设计

当前位置:主页 > UI设计 >

2020年医疗行业面临的6大安全威胁

发布时间:2019/09/19标签:   数据    点击量:

原标题:2020年医疗行业面临的6大安全威胁
医疗行业依然是讹诈软件,加密,数据盗取,收集垂纶和外部要挟的热点目的。因为 Anthem 和 Allscripts 等备受注视的违规行动,花费者当初更担忧他们受爱护的安康信息 (Protected Health Information, PHI) 会被泄漏。近来的 2019 年 RSA 数据隐衷与保险考察讯问了欧洲和美国近 6400 名花费者对其数据保险的见解。考察表现,61% 的受访者担忧本人的医疗数据会被泄漏。他们有充足的来由觉得担忧。医疗保健行业依然是黑客的重要目的,同时也存在很大的危险要挟会来自外部。为甚么医疗保健行业会成为黑客攻打的目的?医疗保健相干的构造机构每每具有一些属性,让它们成为了对攻打者来讲有吸收力的目的。一个要害起因是有许多差别的体系没有按期打补钉。KnowBe4 的首席宣扬官兼策略官 Perry Carpenter 表现:此中一些是嵌入式体系,因为制作商创立它们的方法,不能容易打补钉。假如医疗 IT 部分想要如许做,那将对供给商支撑他们的方法形成严重成绩。医疗保健行业所唱工作的要害性子使它们成为了攻打者的目的。在收集犯法范畴,安康数据是一种有代价的商品,这使得它成为了偷盗的目的。因为事关病人的安康,医疗机构更有能够为讹诈软件付出赎金。以下是将来一年里医疗行业将会见对的六大保险要挟。1. 讹诈软件依据 Verizon 2019 年的数据泄漏考察讲演,讹诈软件攻打持续第二年占到了 2019 年医疗保健行业全部歹意软件变乱的 70% 以上。另一项 Radware 的《信赖因子》(The Trust Factor) 讲演表现,只要 39% 的医疗机构以为面临讹诈软件的攻打,他们做好了充足或充足的预备。讹诈软件攻打在来岁也会连续存在。Carpenter 表现:在充足强化员工和体系保险之前,(讹诈软件)将连续获得成功,并取得更多能源。他们将持续将锋芒瞄准会点击或下载一些货色的人。起因很简略:黑客以为他们的讹诈软件攻打更有能够胜利,由于假如病院、医疗机构和其余卫生构造无奈拜访患者的记载,就会危及到这些患者的性命。他们将自愿马上采用举动,付出赎金,而不会经过备份停止冗长的规复任务。“医疗也是贸易的一种,但医疗保健也波及人们的生涯。任何时间,假如你的公司波及到人们生涯中最私家、最主要的局部,而你对其形成了要挟,就须要马上做出反映。这对安排了讹诈软件的收集罪犯来讲十分有效。当医疗机构无奈疾速停止规复时,讹诈软件招致的成果能够是覆灭性的。这一点在电子安康档案(Electronic Health Record, EHR)公司Allscripts在1月份由于讹诈软件攻打而关停时表现的十分显明。此次攻打沾染了两个数据核心,招致许多利用顺序离线,影响了该公司效劳的数千名医疗行业客户。2. 盗取病人材料对收集罪犯来讲,医疗数据能够比财政数据更有代价。依据 Trend Micro 的医疗行业所面对的收集犯法和其余要挟这份讲演,盗取的医疗保险 ID 在暗盘上的售价最少为 1 美圆,医疗档案的起价为 5 美圆。黑客能够应用身份证和其余医疗数据猎取当局文件,比方驾照。据 Trend Micro 报导,驾照售价约为 170 美圆。一个制作完全的身份(一个由完全的 PHI 和一名死者其余的身份数据形成的身份)能够卖到 1000 美圆。比拟之下,信誉卡号在暗盘上只卖几美分。Carpenter表现,医疗记载比信誉卡数据更有代价,由于医疗记载将大批信息会合在了一个处所,包含财政信息和团体的要害配景数据。身份偷盗所需的所有都在那边。犯法份子在盗取安康数据方面变得越来越狡诈。伪讹诈软件就是一个例子。这是一种看起来像讹诈软件的歹意软件,但它并没有做讹诈软件所做的罪恶的事件,它会在背地盗取医疗记载,或在体系中横向挪动,装置其余特务软件或歹意软件,这些软件在以后会使犯法份子受害。正以下一节所述,医疗保健业行业内的人士也在盗取患者的数据。3. 外部要挟依据 Verizon 爱护安康信息数据泄漏讲演,被考察的医疗效劳供给商中,59% 的要挟行动者是外部人士。83% 的情形下其念头与经济好处相干。很大一局部的外部泄漏念头是出于兴趣或猎奇心,拜访他们任务职责以外的数据——比方,查问名流的 PHI。特务运动和复仇也是念头之一。Fairwarning 的首席履行官 Kurt Long 表现:在病人住院时期,无数十人能够查阅医疗记载,正由于如斯,医疗效劳供给商每每会设置宽松的准入操纵。一般员工能够打仗到大批数据,由于为了照顾病人,他们须要疾速猎取数据。医疗构造机构中差别体系的数目也是一个要素。Long 表现这不只包含付费和注册,还包含特地用于妇产科、肿瘤学、诊断和其余临床体系的体系。“任何货色都能够用来买卖,从用于身份偷盗的病人数据或医疗身份偷盗讹诈打算。这曾经成为了这个行业的常态。人们在为本人、友人、家人谋取财帛,或许(他们正在)转向阿片类药物或处方药物。他们猎取处方,而后出卖以猎取利润。当你从团体上对待阿片类药物危急时,能够说医疗任务者正坐在体系中处方阿片类药物带来的金矿上。这是阿片类药物危急的最新证实。医疗任务者意识到它们的代价,他们能够会对它们上瘾,或许为了经济好处而应用他们的权力(开处方)。Long 指出,外部人士从盗取病人数据中赢利的一个公然例子来自 Memorial Healthcare Systems。客岁,为了了却一同外部违规案件,该公司付出了 550 万美圆的 HIPAA 息争金。在这起案件中,两名员工拜访了 11 万 5 千多名患者的 PHI。那次入侵变乱完全转变了 Memorial 对隐衷和保险的立场,以防备将来来自外部人士和其余各方的要挟。4. 收集垂纶收集垂纶是攻打者进入体系最罕用的手腕。它能够用来装置讹诈软件、挖矿剧本、特务软件或代码来盗取数据。一些人以为,医疗保健行业更轻易遭到收集垂纶的影响,但数据表现并非如斯。KnowBe4 的一项研讨标明,在遭遇收集垂纶攻打方面,医疗保健行业与大少数其余行业不相高低。在范围为 250 至 1000 名员工的医疗机构里,假如这些员工没有接收过保险认识培训,就有 27.85% 的概率成为收集垂纶的受益者,而行业均匀几率为 27%。Carpenter表现,你能够会以为利他主义、面临存亡,能够会招致人们(医疗任务者)在心思上更轻易遭到影响去点击一些货色,但数据并没有证实这一点。职员范围与被收集垂纶的能够性有很大相干。KnowBe4 的数据表现,员工人数在 1,000 人以上的医疗机构,均匀有 25.6% 的能够性会被收集垂纶。Carpenter 发觉在领有 1000 多名员工的企业中,大少数人接收了更多的培训,而且经营的庞杂水平也更高,由于为了遵照严厉的划定,他们不得不应用差别的体系。5. 加密货泉挟制隐秘挟制体系停止挖矿,在全部行业都是一个日趋严峻的成绩。医疗保健行业应用的体系关于挖矿者是一个很诱人的目的,由于坚持这些体系的运转相当主要。体系运转的时光越长,犯法份子就越有能够经过发掘加密货泉赢利。Carpenter说道,在病院里,他们能够不会急于拔掉这些呆板的插头(假如猜忌有加密货泉挟制行动),(受沾染的)呆板运转的时光越长,犯法份子就受害越多。这是假定医疗保健行业从业职员可能检测到加密货泉挟制行动。挖矿挟制代码不会迫害体系,但会耗费大批的盘算才能。人们最有能够在体系和出产力下降时发觉它们。一些挖矿人会限度他们的代码来下降被检测到的危险。许多医疗机构没有IT或保险职员来辨认和应答这类加密货泉挟制攻打。6. 入侵物联网装备医疗装备保险多年来始终是医疗保健范畴的一个热门成绩,许多联网的医疗装备都很轻易遭到攻打。成绩的要害在于许多医疗装备的计划并没有斟酌到收集保险成绩。在能打补钉的情形下,补钉平日也只能供给无限的爱护。依据 2019 年终爱迪德 (Irdeto) 寰球互联工业收集保险考察讲演,82% 的医疗机构表现他们在从前 12 个月里阅历过针对物联网装备的收集攻打。这些攻打形成的均匀财政影响为 346,205 美圆。这些攻打形成的最罕见影响是营业下线 (47%),其次是客户数据泄漏 (42%)和终端用户保险受损 (31%)。在制作商开端制作更保险的装备之前,医疗保健行业懦弱的医疗和其余联网装备将连续带来危险。但更新、更保险的型号要代替旧型号装备还须要数年的时光。下降医疗保险危险的一些倡议增强对要害体系的保护和更新任务。那些老旧的未打补钉的体系作为要害装备被嵌入此中,这一现实招致这些体系十分轻易遭到讹诈软件的影响。这能够很艰苦,由于保护进程能够会损坏要害体系或使供给商支撑体系的才能受损。在某些情形下,关于已知的破绽没有可用的补钉。Carpenter 倡议在供给商没有或不能修复或更新体系的情形下对他们施加压力,对供给商强势一些,问问他们为甚么这些体系不能或没有更新,并从行业角度施加压力。对员工停止培训。依据 KnowBe4 的研讨,在培训员工辨认收集垂纶打算方面,医疗保健行业低于均匀程度。许多医疗机构范围都很小——不到 1000 名员工,这能够是一个起因。Carpenter表现,不只仅是告知他们应当做甚么,是要树立一个行动前提名目,练习他们不要点击垂纶链接。这个名目会给员工发送模仿的垂纶邮件。点击这些链接的员工会马上收到反应,告知他们本人做了甚么以及他们在将来怎样去做准确的事件。如许的名目能够发生宏大的影响。假如可能连续停止培训,培训会发生后果。KnowBe4 的研讨标明,领有 250 到 999 名员工的医疗机构在经由一年的收集垂纶培训和测试后,被收集垂纶的能够性能够从 27.85% 降落到 1.65%。留神员工信息。收集垂纶攻打越特性化,胜利的机遇就越大。在鱼叉式垂纶攻打中,攻打者试图尽能够多地懂得目的自身。Carpenter说道,假如 “不在办公室” 的复兴给出了能够接洽的人的名字,(攻打者)能够经过这些名单和关联来树立信赖。增强防备和应答要挟的才能。Long说道,本人(对医疗保险)最担忧的一件事是,医护职员没有才能在发觉变乱当前对其停止恰当的考察,没有才能对变乱停止记载和评价,也无奈停止充足的取证,以共同法律或执法举动。医疗机构也缺乏可能停止完全修复的任务职员,有了这些任务职员这类情形就不会再产生了。他的倡议是:从员工或配合搭档那边取得业余常识。而且保险性须要成为董事会和治理层的优先斟酌的事项,断定保险优先级后的第一步是确保你有一名存在相干教训的专职 CISO。Long 表现范围较小的医疗效劳供给商能够没有资本雇佣 CISO,但他们依然须要优先斟酌保险性。他们能够须要在怎样取得一流的保险业余常识方面更存在制造性。能够是经过配合关联或托管保险效劳,但没无方案可能替换间接走上前说,“我的病人的保险须要失掉保证,我必需停止配合,或在这里找到适合的保险业余职员。” 2019 年 RSA 数据隐衷与保险考察讲演:https://www.rsa.com/content/dam/en/misc/rsa-data-privacy-and-security-survey-2019.pdf Verizon 2019 年纪据泄漏考察讲演:https://enterprise.verizon.com/resources/reports/dbir/ Radware 的《信赖因子》(The Trust Factor) 讲演:https://www.radware.com/documents/infographics/trust-factor-cybersecurity-sustaining-business Trend Micro 的针对医疗行业的讲演:https://www.trendmicro.com/content/dam/trendmicro/global/en/security-intelligence/research/reports/wp-cybercrime-&-other-threats-faced-by-the-healthcare-industry.pdf【本文是51CTO专栏作者“李少鹏”的原创文章,转载请经过保险牛(微信大众号id:gooann-sectv)猎取受权】戳这里,看该作者更多好文【编纂推举】十二大支流云保险要挟2019年须要当真看待的七种挪动保险要挟【义务编纂:赵宁宁 TEL:(010)68476606】点赞 0

上一篇:2019年流行的6大DevOps工具

下一篇:没有了

返回
版权信息Copyright © 银河官网 版权所有    ICP备案编号:鲁ICP备09013610号