恢复力：克服医疗保健的网络安全挑战

经过Vishal Salvi，Venky Ananth,尤利娅·德·巴里 |文章| 15分钟阅读|通过电子邮件发送本文|下载

在冠状病毒大流行之后，卫生和生命科学领域的网络攻击激增，并实施了封锁。一些主要的网络犯罪团伙承诺，在新冠疫情得到控制之前，将停止对医疗机构的攻击。¹但许多黑客正在利用这场危机。

自2月中旬以来，与冠状病毒有关的袭击数量显著增加。2020年1月至3月，共收到90.7万封COVID-19垃圾邮件，钓鱼网站增长350%。(见图1)。

图1.2020年1月至3月网络威胁趋势

最近，U.K.的国家网络安全中心（NCSC）和美国网络安全和基础设施安全局（CISA）警告涉及冠状病毒反应的医疗保健组织。他们敦促这些部门的组织来改善网络安全，并要求员工改变密码。²

2020年4月，犯罪分子将目标对准了世界卫生组织;一周之内，黑客在线泄露了450多个活跃的电子邮件地址和密码，这些地址和密码属于世卫组织工作人员，他们参与了冠状病毒应对工作。^4.

由于一些原因，医疗保健行业一直是一个有吸引力的罪犯部门。医院和诊所的自动化水平低，以获取信息支持和安全性。通常，可用的设备是异构的，并且基于过时的软件。额外的威胁与数字转换，远程数据访问，信任赤字以及在线风险缺乏培训相关。雷竞技足球

不断上升的医疗费用

美国的医疗费用每年的增长速度超过了美国经济的增长速度。由于员工成本持续上升，该领域的雇主在全球市场竞争中举步维艰。在处方(药物)部门中存在许多中间体导致更高的成本和不充分的临床疗效。

分散的护理服务以及融资与护理服务的分离使得全面改革和效率提高非常困难。付款人（公共和私人）正试图通过将保险风险转嫁给提供商和会员来规避保险风险。

预计新冠疫情将对产业产生深远影响。预计这将增加远程医疗和其他流行病管理领域的比例。家庭保健市场本身预计到2027年将达到5156亿美元，CAGR为7.9%。^5.

这会产生许多漏洞 - 我们在下面描述的最大六个。

风险一：勒索软件攻击

自2016年以来，在美国的医疗保健组织上有172枚赎金软件攻击。这些袭击已花费美国卫生保健行业超过1.57亿美元。^6.

Ransomware控制受感染系统中的文件，然后，攻击者需要大笔资金。然后，黑客能够在怜悯中持有医院，直到领导符合他们的要求。此类攻击可以为医疗保健设施和服务段瘫痪。电子医疗记录和文件，医院运营的相互连接，通过互联网工作的过时的信息技术设备增加了威胁。

NetWalker勒索软件团伙是目前医疗保健行业最大的威胁

目前，医疗保健行业面临的最大威胁是NetWalker勒索软件团伙。^7.该勒索软件以提供SARS-CoV-2和COVID-19病例信息为借口，通过垃圾邮件进行传播。

鉴于如此之多的医疗设备对拯救生命至关重要，而且必须始终处于开启状态，这些系统上的任何停机都可能造成严重破坏并威胁生命。因此，勒索软件通常能够成功地从易受攻击的目标身上提取资金。

今年3月，布尔诺大学医院遭到网络攻击。这家医院拥有2019冠状病毒疾病实验室捷克共和国最大的实验室。由于医院被迫取消手术并将新的危重病人转移到其他医院，这一事件导致手术程序严重延误。^8.虽然对这次攻击知之甚少，但它被怀疑是一场勒索软件攻击。

医疗保健领域最大规模的攻击之一发生在2017年，当时WannaCry勒索软件侵入了英国国家医疗服务体系(NHS)的医院。此次袭击导致1.9万名预约被取消，造成了巨大的混乱。据估计，这次袭击造成了1.15亿美元的损失，三分之一的国民保健服务信托受到影响。^9.

风险二:远程医疗和远程连接

今天，由于冠状病毒的迅速传播，医院和诊所的运作能力有限。他们只接受不能在家治疗的病人。有轻微健康问题的病人可以在线咨询。尽管远程医疗已经存在了十多年，但在疫情爆发之前，患者对虚拟看病持怀疑态度。今天，为了自身的安全，人们被迫改变自己的习惯。即使是那些以前反对在线咨询的人，现在也不得不接受它们，因为替代方案很少。

“在病毒传播之前，在英国国家卫生服务局每年约3.4亿人次的初级保健医生和护士就诊中，视频预约仅占1%。”¹⁰现在，英国的医疗服务机构已经通知数千家诊所改用远程会诊。让这一变化引人注目的是，在冠状病毒之前，由于监管限制和混乱的官僚机构，远程医疗公司的接入渠道有限。现在，阻碍远程医疗传播的主要障碍正在瓦解。在世界各地，包括对隐私和数据保护标准非常严格的欧洲，这些规定都在放宽

目前，卫生组织正在扩大远程保健及其业务，这仅仅是因为它们必须这样做。但一家公司采用的信息技术越多，其网络安全风险就越高。这为犯罪分子渗透公司网络创造了新的途径。值得注意的是，当紧急情况结束时，这一趋势可能会持续下去。

风险三:敏感数据保护(PII/PHI)

个人健康信息（PHI）对攻击者值得很多钱。在黑暗的网络上，PHI可以售价多达1000美元。¹¹犯罪分子可以通过勒索、医疗身份盗窃、骗税和开设新的信贷额度等方式利用被盗的医疗记录。

2020年2月，一场网络钓鱼运动针对加州一家医疗网络的员工账户。此次攻击可能暴露了20多万名患者的个人身份信息(PII)。¹²

2020年1月，由于未经授权访问了明尼苏达州一家医院的两名员工的电子邮件账户，近5万名患者的医疗记录可能被泄露。¹³

联邦调查局的报告¹⁴每个电子健康记录在黑市上可以卖到50美元，相比之下，一个被盗的社会安全号码或信用卡号码只能卖到1美元。在过去的10年里，越来越多的数据泄露被报道。随着医疗保健和生命科学领域中数字应用的增加，患者医疗记录的收集和存储也在增加。这使得数据保护具有挑战性。

风险四:内部威胁

人类错误和设备滥用比黑客更频繁地发生。IBM安全成本的内幕威胁报告发现，内幕威胁的最高原因是疏忽（63％），凭证盗窃（23％）和刑事内部人（14％）。超过50％的报告事件是由疏忽员工或承包商引起的。疏忽总体成本为11,450,000美元，而凭证盗窃补救成本为871,686美元。¹⁵

2019年verizon数据泄露调查报告¹⁶将内部人员列为医疗保健行业最常见的威胁因素。内部人员具有安全访问权限、组织信任和流程知识。

内部“演员”可以有多种形式。他们可能是网络钓鱼的受害者，也可能是那些丢失了包含机密信息的工作设备的员工。内部威胁甚至可以简单地由配置不当的服务器的漏洞造成，比如2019年华盛顿大学医学泄漏事件。此次黑客攻击暴露了97.4万名患者的数据长达三周。¹⁷

当然，内幕人士也可能是那些故意放弃访问权并出售某人的PII/PHI以获取利润的人。

2016年，美国杰克逊卫生系统医院终止了对医院部门部长的雇佣，该部长被怀疑多年来窃取病人机密信息。有社会安全号码、姓名、生日、家庭住址等信息的2.4万多张病历被泄露。¹⁸

风险五：保密研发（研发）制药业的数据和公式

研究实验室产生知识产权。投资于研发的卫生保健机构可能会因为漏洞而面临重大的资金损失。JAMA Network最近的一项研究发现，将一种新药推向市场的平均成本接近10亿美元，而产品推向市场的平均时间是9年。¹⁹窃取的高价值信息，如药物配方、专利和研发数据，可以给竞争对手带来巨大的利益。它可以节省竞争对手的时间和金钱，否则他们将花费在研究上。这使得研发信息对利益相关者和网络罪犯都非常有价值和有利可图。

5月2020年5月，FBI（美国）和国家网络安全中心（U.K.）宣布，参与Covid-19疫苗研究的药品和学术机构是增加网络攻击风险

在抗击COVID-19的过程中，这一威胁更加突出。2020年5月，联邦调查局^20.位于美国的国家网络安全中心²¹这是在英国，都宣布网络黑客的目标是制药和学术机构参与研究疫苗的疾病。

风险六：医疗保健应用程序和连接设备

2019年Verizon移动安全报告称，25%的医疗保健机构发生了移动安全事件。移动医疗应用市场正在迅速发展。谷歌Play和苹果应用程序商店都提供数千种可供下载的应用程序。其中一些应用程序很方便，但也缺乏对敏感数据传输的保护。

Fitbit、Apple Watch和其他健身设备收集个人数据，这些数据存储在公共和私有云中。健康应用程序收集个人数据的量要大得多。由于人们过于信任这些应用程序，他们很少发现哪些公司在收集他们的数据，以及他们的数据存储在哪里。如果在软件开发过程中应用程序没有内置安全功能，网络犯罪分子就可以通过移动设备入侵医疗机构。这是一个问题，因为没有建立稳固的治理和/或威胁保护机制。此外，医疗设备对紧急/1122漏洞的脆弱性是普通设备的5倍。

医疗设备出现URGET/11漏洞的可能性是普通设备的5倍

在为时已晚之前安全

为应对冠状病毒，医院正在加速进行数字化转型。雷竞技足球数字化必然带来新的安全挑战。医疗机构拥有对公众福祉至关重要的关键基础设施。他们的数据库和研究设施拥有高价值的资产。随着这些资产的数字化，黑客们看到了获利的机会。不幸的是，医疗保健公司的利润率通常很低。平均而言，只有5%的医疗IT预算用于网络安全。²³在大多数情况下，公司只有在事故已经发生时才开始考虑安全问题。

至关重要的是，人们可以信任医疗保健提供者提供他们的数据。为了确保这种信任，组织需要保护他们所拥有的信息。为了应对网络威胁，医疗保健和生命科学企业需要建立一个高度适应的安全生态系统。为此，他们需要关注以下建议。

强制执行卫生

应在连接到网络的所有IT和医疗设备上实施和维护IT卫生。IT卫生需求通常是严格的，这可能会阻碍业务流程。为了平衡需求与业务需求，使it卫生需求灵活是很重要的。

为了加强IT卫生，企业需要确保安全监视和日志记录以及实时威胁情报(为安全分析人员提供特定于上下文的信息)。

漏洞可能出现在IT堆栈的不同元素中—服务器、数据库、网络、端点等。原始设备制造商（OEM），如Microsoft、Cisco和Oracle，发布了有助于修复漏洞的软件修补程序。由于大多数漏洞试图利用已知漏洞进行攻击，因此企业应用软件补丁来关闭这些漏洞是极其重要的。

建议1：黄金模板和硬化指南

遵守整个组织的操作系统和硬化指南的规定的金标准。

最新的操作系统（OS）和修补程序。确保使用最新的安全修补程序修补所有系统，并为安全更新创建一个进程。

更换过时的医疗设备并为远程连接设备实施物联网安全实践。

硬化的指导方针。应根据行业最佳实践对面向internet和高风险系统进行加固。

旧遗留应用。应该为具有过时的、无法升级的操作系统的系统实现补偿控制。

建议2:零信任模型

作为正常开发周期的一部分，使用零信任原则扩充现有系统。可以在组织级别采用零信任原则来指导安全体系结构的演进。这些原则将有助于设计和建立强大的多维和全面的安全参数。

网络市场细分将关键任务系统(如生命支持系统)与其他系统分离将有助于防止恶意软件的横向传播或攻击者的访问。

只提供“最低特权访问”完成工作。这将有助于减少威胁表面。

执行100%多因素身份验证防止未经授权的访问。

使用用于远程访问的安全web网关而不是传统的vpn。仅公开远程访问所需的应用程序，而不是将远程用户连接到公司网络。

处理新的威胁面

企业需要建立基于新的威胁面(远程工作的结果)的防御机制。考虑多个威胁行动者的动机也很重要。内部人士、竞争对手和民族国家都受到不同动机的驱使。虽然一些罪犯想利用PHI的数据，但国家支持的攻击可以针对实验室，以获取冠状病毒疫苗信息。

为了抵御当前的威胁，医疗保健和生命科学企业需要保护远程访问控制，禁用不需要的不安全服务和协议，并实施端点控制以防止数据泄漏。

建议3:关注数据安全

要提供全面的数据保护，请考虑以下事项：

自动分类。实现数据识别和分类、数据加密和数据屏蔽的自动化系统。

失去监控。使用DLP(数据丢失预防)系统对电子邮件、网络和端点进行实时丢失监控。

加密。使用行业最佳加密和数据屏蔽解决方案。

访问的评论。定期进行访问审查，以确保仅授权用户可以访问。

通过设计确保安全

网络安全是每个人的责任。每个人都是一个薄弱环节，有可能让罪犯进入系统。医生、护士、医院员工、重症护理人员和制药公司的科学家需要接受教育，了解现有的安全风险以及如何处理它们。安全文化是一个持续的过程，必须贯穿整个组织。

安全文化是一个连续的过程，必须在整个组织中被驱动

为了创造这种文化，组织需要将“设计保证安全”的概念作为其数字化转型的基石。雷竞技足球他们需要在他们的业务、应用程序、基础设施、云和数据的所有程序的每个方面嵌入安全。创建安全度量的端到端可见性是至关重要的，它可以用来持续增强安全性。

建议4：按设计原则安全

确保系统开发期间的网络安全思维。

这一点很重要安全编码指南和拥抱电子邮件安全和开发-秒-ops用于所有发展计划。

对于云和本地环境，持续合规监控和管理需要进行漏洞识别和实时修补。

主动减少威胁面通过评估连接到网络的设备并应用适当的控制。

专注于管理威胁、漏洞、风险和事件而不是仅仅关注法规遵从性。

最后，为了提高认识，有计划地进行强制性测验和认证安全意识活动关于社会工程攻击。

改善合规，治理和风险管理

为了更好地了解网络风险，企业需要重新思考它们的合规和治理流程。为了改进这些流程，公司需要确保安全和隐私义务之间的平衡。他们需要记录和制定合规要求，以确保符合各种法律法规，如HIPAA、PHI数据和GDPR。它们还需要能够方便地访问工具和监控。

建议5:供应商/合作伙伴的合规和风险管理

为了在相互关联、不断发展的数字健康生态系统中保护数据并防范攻击，需要一个有效的合作伙伴风险管理计划。

做一个主动合作伙伴风险评估使用行业标准的安全态势评估以及基于问卷的方法。

计划适当的控制和访问级别，是否进行基于风险的合作伙伴细分．然后评估合作伙伴访问使用零信任原则。

管理合作伙伴的风险都需要一个集成的治理和升级框架(具有清晰的所有权和集成的工作流)。使用定制的IT系统和有效的第三方风险管理的治理。

托管检测和响应

不断变化的威胁模式和不断发展的技术工具和流程需求不断关注公司安全姿势的提高。网络安全竞技场需要有不同技能组织的人，他们可以处理威胁检测技术，访问管理，治理风险和合规性，以及更多。近90％的医疗保健IT安全领袖州认为，他们缺乏熟练的网络安全专业人士，以实现更好的安全姿势。²⁴但是有一些公司可以提供必要的支持。

建议6:管理检测和响应

计划快速检测和它快速复苏以提高弹性，以防发生破坏。

使用行为为基础针对这些威胁的异常检测和沙箱，使用基于签名的系统无法检测到这些威胁。

使用定义明确的剧本用于快速检测和响应。

使用人工智能和自动化来减少假阳性和主动的威胁搜索。

托管安全服务组织可以帮助医疗保健公司实施全面的数据安全计划。与这样的公司合作可以显著降低成本，提高可见性，并保护组织免受违规行为的侵害。

最重要的-优先考虑网络安全

当涉及到数据泄露的成本时，医疗保健是成本最高的行业。根据《2019年数据泄露成本报告》，医疗保健行业的数据泄露成本为645万美元。²⁵尽管如此，医疗保健提供商在网络安全方面的支出远低于其他受监管行业的支出。但随着数字化、远程工作和远程医疗带来的风险不断增加，网络安全是否值得投资已不再是疑问。正因为如此，医疗保健提供者开始改变他们对IT预算管理的态度。从2017年到2021年，医疗保健行业在这方面的累计支出将达到650亿美元。²⁶今天，网络安全需要成为最高优先事项。卫生保健提供者需要找到正确的投资方案——包括一个与他们的目标和战略相一致的方案。

参考文献

1. “疫情期间，勒索软件团伙停止攻击卫生组织”电脑发出哔哔声,2020
2. “针对英国和美国的主要医疗机构发布的网络警告”NCSC，2020年
3. “世卫组织报告网络攻击增加了五倍，敦促提高警惕，”2020年,
4. “COVID-19流行病期间的网络犯罪”犯罪司法所2020
5. “2020-2027年全球家庭医疗市场分析-全球市场预测到2027年将达到5156亿美元，”环球新闻网，2020年
6. “自2016年以来，美国医疗机构遭受了172次勒索软件攻击(损失超过1.57亿美元)，”Paul Bischoff，CompariTech 2020
7. "针对医疗行业的网络沃克勒索软件团伙"HIPAA日报,2020年
8. “在冠状病毒爆发期间，对捷克医院的网络攻击导致技术关闭，”Sophie Porter, 2020年医疗保健IT新闻
9. “WannaCry网络攻击导致NHS损失9200万英镑，1.9万次预约被取消。”马修场，电报，2018年
10. “远程医疗走进英国:‘一周改变十年’”纽约时报，本杰明·穆勒，2020年
11. “数据泄露:2020年3月医疗安全事件摘要。你是医疗身份盗窃的受害者吗?”Alina Bziga, Security Boulevard, 2020年
12. “加州医疗数据泄露可能影响近20万名患者，”亚当·班尼斯特，《每日畅饮》，2020年
13. “数据泄露影响明尼苏达医院约有50,000名患者”Cisomag，2020年
14. “(U)卫生保健系统和医疗设备面临日益增加的网络入侵风险，以获得经济利益，”FBI网络部门，私营行业通知，未分类，2014年
15. “内幕威胁的成本2020，”IBM安全，2020年
16. “DBIR报告:医疗保健”,Verizon公司,2019
17. “暴露3周的974000名UW医学患者的健康数据，”健康IT安全，杰西卡·戴维斯，2019年
18. "媒体声明-病人信息泄露"新闻发布，杰克逊健康系统，2016年
19. “估计研究和开发投资需要为市场带来新药，2009 - 2018年，”《美国医学会杂志》网络,2020
20. “与中国有关的黑客正在针对美国冠状病毒疫苗研究，FBI警告说，”CNBC，2020年
21. “国家黑客针对英国大学#COVID19疫苗研究，”菲尔·蒙卡斯特，信息安全杂志，2020
22. “紧急/11广泛使用的第三方软件组件的网络安全漏洞可能会在某些医疗设备的使用过程中带来风险:FDA安全通信，”美国食品和药物，2019年
23. “医疗保健领域最大的网络安全风险[更新2020]，”的信息安全,2020
24. 87%的卫生组织缺乏有效的网络态势安全人员Jessica Davis, Health IT Security, 2020
25. “数据违规报告亮点的成本，”IBM安全，2019年
26. 《诊断医疗保健行业的15个网络安全统计数据》网络犯罪的杂志,2020年