焦仃

近兩年來(lái)，醫(yī)院、醫(yī)療保險(xiǎn)機(jī)構(gòu)先后被曝發(fā)生重大數(shù)據(jù)泄露事件，消費(fèi)者越來(lái)越擔(dān)心自己的健康信息（PHI）會(huì)不會(huì)落入壞人之手。最近，RSA對(duì)7500名歐美消費(fèi)者進(jìn)行了調(diào)查，其《數(shù)據(jù)隱私報(bào)告》顯示，59%的受訪(fǎng)者憂(yōu)慮自身醫(yī)療數(shù)據(jù)被黑；39%擔(dān)心黑客會(huì)篡改自己的醫(yī)療信息。

消費(fèi)者的這種擔(dān)心并非空穴來(lái)風(fēng)。醫(yī)療行業(yè)仍然是黑客的首要目標(biāo)，且還有來(lái)自?xún)?nèi)部人威脅的巨大風(fēng)險(xiǎn)。

一、為什么黑客會(huì)盯上醫(yī)療行業(yè)

醫(yī)療行業(yè)的幾個(gè)特征讓它們成為了黑客眼中的誘人果實(shí)。關(guān)鍵原因之一，是醫(yī)療機(jī)構(gòu)中有很多系統(tǒng)并沒(méi)有定期更新。其中一些是嵌入式系統(tǒng)，由于制造方式問(wèn)題，導(dǎo)致如今即便發(fā)現(xiàn)漏洞也難以打上補(bǔ)丁。如果醫(yī)療機(jī)構(gòu)的IT部門(mén)自行更新，可能會(huì)導(dǎo)致供應(yīng)商無(wú)法繼續(xù)提供支持。

醫(yī)療機(jī)構(gòu)在社會(huì)民生中的重要性也成為了黑客盯上它們的重要因素。在網(wǎng)絡(luò)犯罪世界，健康數(shù)據(jù)是非常有價(jià)值的商品，盜取健康數(shù)據(jù)不失為網(wǎng)絡(luò)罪犯發(fā)家致富的途徑之一。而且，由于人命關(guān)天，在遭遇勒索軟件攻擊的時(shí)候，醫(yī)療機(jī)構(gòu)也更傾向于支付贖金。

二、2018年有哪些重要的醫(yī)療安全威脅值得我們注意

1.勒索軟件

CryptoniteNXT《2017醫(yī)療網(wǎng)絡(luò)研究報(bào)告》顯示，2017年十大醫(yī)療數(shù)據(jù)安全事件中，有6起都是勒索軟件攻擊。報(bào)告指出，2017年重大勒索軟件攻擊（受影響患者數(shù)量在500人以上）上報(bào)量為36起，幾乎是2016年19起的2倍。

很明顯，2018年勒索軟件攻擊趨勢(shì)不會(huì)減緩。除非我們夯實(shí)醫(yī)療機(jī)構(gòu)IT系統(tǒng)安全，培育醫(yī)療從業(yè)人員的安全意識(shí)，否則勒索軟件還將繼續(xù)肆虐。勒索軟件攻擊者會(huì)繼續(xù)利用人性弱點(diǎn)誘騙工作人員點(diǎn)擊惡意鏈接或下載惡意軟件。

為什么攻擊者愛(ài)對(duì)醫(yī)療機(jī)構(gòu)下手呢？個(gè)中原因很簡(jiǎn)單：黑客認(rèn)為，醫(yī)院、診所等醫(yī)療機(jī)構(gòu)如果不能訪(fǎng)問(wèn)患者病歷記錄，就會(huì)將患者的生命置于風(fēng)險(xiǎn)之中，他們覺(jué)得自己必須馬上支付贖金解鎖數(shù)據(jù)，而不是苦等數(shù)據(jù)從備份中恢復(fù)出來(lái)。

醫(yī)療行業(yè)是一門(mén)產(chǎn)業(yè)，但同時(shí)也掌握著人們的生命。任何一門(mén)產(chǎn)業(yè)只要涉及人身安全和個(gè)人最隱私的信息，從業(yè)者在面對(duì)威脅時(shí)就必須立即響應(yīng)。醫(yī)療行業(yè)的這種特性對(duì)投放勒索軟件的網(wǎng)絡(luò)罪犯來(lái)說(shuō)簡(jiǎn)直再合適不過(guò)。

如果醫(yī)療機(jī)構(gòu)不能從勒索軟件攻擊中快速恢復(fù)，其后果可能是災(zāi)難性的。這一點(diǎn)已經(jīng)在近期電子病歷（EHR）公司Allscripts系統(tǒng)宕機(jī)事件中得到了充分體現(xiàn)。該攻擊感染了2個(gè)數(shù)據(jù)中心，讓很多應(yīng)用掉線(xiàn)，影響了數(shù)千家Allscripts公司的醫(yī)療服務(wù)提供商客戶(hù)。

2.患者數(shù)據(jù)被盜

對(duì)網(wǎng)絡(luò)罪犯來(lái)說(shuō)，醫(yī)療數(shù)據(jù)可能比金融數(shù)據(jù)更值錢(qián)。趨勢(shì)科技發(fā)布的《醫(yī)療行業(yè)面臨的網(wǎng)絡(luò)犯罪及其他威脅》報(bào)告稱(chēng)，暗網(wǎng)上被盜醫(yī)?？繌堉辽儋u(mài)1美元，醫(yī)療信息資料的價(jià)格每份5美元起。

黑客可利用醫(yī)?？ê推渌t(yī)療數(shù)據(jù)獲取駕照之類(lèi)政府證明文件，而后者在暗網(wǎng)上的售價(jià)大約為170美元。從死亡人口的全套PHI和其他身份數(shù)據(jù)創(chuàng)建的完整可用身份，則可賣(mài)到1 000美元高價(jià)。相比之下，暗網(wǎng)上信用卡號(hào)才賣(mài)幾美分，白菜價(jià)格都比這貴。

醫(yī)療記錄遠(yuǎn)比信用卡數(shù)據(jù)賣(mài)得貴，是因?yàn)榭梢詮尼t(yī)療記錄中一次性獲取很多信息，包括金融信息和關(guān)鍵背景資料，基本上包含了身份盜竊所需的一切信息。

網(wǎng)絡(luò)罪犯在盜取醫(yī)療數(shù)據(jù)上可謂花招迭出。偽勒索軟件就是案例之一。這是看起來(lái)很像勒索軟件，但其實(shí)并不具備勒索軟件鎖定功能的惡意軟件。在勒索軟件的外衣偽裝下，此類(lèi)軟件盜取醫(yī)療記錄或散播其他間諜軟件以備后用。

正如下一節(jié)要介紹的，醫(yī)療行業(yè)內(nèi)部人威脅也是盜取患者數(shù)據(jù)。

3.內(nèi)部人威脅

威瑞森最近發(fā)布的《受保護(hù)健康信息泄露報(bào)告》表明，受訪(fǎng)醫(yī)療提供商遭遇的數(shù)據(jù)泄露中，有57.5%都是內(nèi)部人導(dǎo)致的，只有42%是外部攻擊者所為。內(nèi)部人泄露數(shù)據(jù)的動(dòng)機(jī)有48%是求財(cái)。外部攻擊者對(duì)醫(yī)療數(shù)據(jù)下手就幾乎都是為了錢(qián)了———求財(cái)動(dòng)機(jī)占了90%。

很大一部分內(nèi)部人數(shù)據(jù)泄露都是出于好玩或好奇心，主要是查詢(xún)工作職責(zé)以外的數(shù)據(jù)，比如名人PHI等。此外，間諜和出于怨恨的報(bào)復(fù)也在動(dòng)機(jī)之列?；颊咴卺t(yī)療系統(tǒng)中停留期間，無(wú)論是門(mén)診還是住院，都有很多人需要接觸到他們的醫(yī)療記錄。因此，醫(yī)療提供商傾向于采用寬松的訪(fǎng)問(wèn)控制。畢竟，想要給患者提供醫(yī)療救助，就得很快獲悉患者數(shù)據(jù)。醫(yī)療機(jī)構(gòu)的普通員工能夠訪(fǎng)問(wèn)大量數(shù)據(jù)也就不足為奇了。

醫(yī)療機(jī)構(gòu)里為數(shù)眾多的不同系統(tǒng)也是引發(fā)數(shù)據(jù)泄露的因素之一。這些系統(tǒng)不僅僅包含收費(fèi)和掛號(hào)系統(tǒng)，還有婦產(chǎn)科、腫瘤科、診斷學(xué)專(zhuān)用系統(tǒng)和其他臨床系統(tǒng)。

從竊取患者數(shù)據(jù)用于身份盜竊到醫(yī)療身份盜竊欺詐騙局都是金錢(qián)惹的禍。這都成了醫(yī)療信息黑產(chǎn)的常規(guī)操作了。人們利用醫(yī)療信息修改自己或朋友和家人的賬單，要么就用來(lái)開(kāi)具鴉片類(lèi)藥物或其他管制藥物的處方，這些處方能賣(mài)大錢(qián)。

縱觀鴉片類(lèi)藥物危機(jī)，這基本上就是醫(yī)療行業(yè)員工在系統(tǒng)內(nèi)用鴉片類(lèi)藥物處方開(kāi)具權(quán)牟利的景象。鴉片危機(jī)的最新信息點(diǎn)正在于此。醫(yī)療行業(yè)員工意識(shí)到了鴉片類(lèi)藥物的價(jià)值，要么自己上癮，要么利用手中職權(quán)開(kāi)處方牟利。

醫(yī)療行業(yè)內(nèi)部人盜取患者數(shù)據(jù)牟利的一個(gè)典型例子就是Memorial Healthcare Systems。該公司2017年因2名員工盜取了11.5萬(wàn)名患者的PHI而支付了550萬(wàn)美元的HIPPA違規(guī)和解金。這次數(shù)據(jù)泄露讓Memorial Healthcare Systems徹底改變了其隱私與安全態(tài)勢(shì)，以防止未來(lái)的內(nèi)部人威脅和其他威脅。

4.網(wǎng)絡(luò)釣魚(yú)

網(wǎng)絡(luò)釣魚(yú)是攻擊者侵入目標(biāo)系統(tǒng)的主流方法。利用網(wǎng)絡(luò)釣魚(yú)，攻擊者可以在目標(biāo)系統(tǒng)上安裝勒索軟件、加密貨幣挖礦腳本、間諜軟件或數(shù)據(jù)盜取代碼。

有人認(rèn)為醫(yī)療行業(yè)更易被網(wǎng)絡(luò)釣魚(yú)釣中，但調(diào)查數(shù)據(jù)顯示的結(jié)果并非如此。KnowBe4做的一項(xiàng)研究表明，在面對(duì)網(wǎng)絡(luò)釣魚(yú)的中招率上，醫(yī)療行業(yè)與大多數(shù)其他行業(yè)基本持平。員工規(guī)模在250～1 000人的醫(yī)療機(jī)構(gòu)，如果沒(méi)有接受安全意識(shí)培訓(xùn)，淪為網(wǎng)絡(luò)釣魚(yú)受害者的概率是27.85%，而所有行業(yè)的平均中招率是27%。

人們或許會(huì)覺(jué)得，醫(yī)療行業(yè)的無(wú)私性，醫(yī)療從業(yè)者面對(duì)生死攸關(guān)情況時(shí)感受到的緊迫性，會(huì)讓他們從心理上更易于點(diǎn)擊那些釣魚(yú)郵件。但調(diào)查數(shù)據(jù)并不支持該感性結(jié)論。

醫(yī)療機(jī)構(gòu)的規(guī)模在抗網(wǎng)絡(luò)釣魚(yú)上有一定作用。調(diào)查顯示，1 000人以上規(guī)模的醫(yī)療機(jī)構(gòu)淪為網(wǎng)絡(luò)釣魚(yú)受害者的平均概率是25.6%。這是因?yàn)檫@種規(guī)模的機(jī)構(gòu)通常會(huì)做員工安全意識(shí)培訓(xùn)，而且由于必須整合各類(lèi)系統(tǒng)以遵從嚴(yán)格的監(jiān)管規(guī)定而在操作運(yùn)營(yíng)上會(huì)更復(fù)雜些。

5.加密劫持

當(dāng)前，所有行業(yè)幾乎都面臨計(jì)算機(jī)系統(tǒng)被悄悄劫持來(lái)做加密貨幣挖礦的問(wèn)題。醫(yī)療行業(yè)的系統(tǒng)必須隨時(shí)處于運(yùn)行狀態(tài)，因而成為了相當(dāng)誘人的加密劫持目標(biāo)。系統(tǒng)持續(xù)運(yùn)行時(shí)間越長(zhǎng)，網(wǎng)絡(luò)罪犯就能挖到更多加密貨幣。而在醫(yī)院里，即便懷疑系統(tǒng)已被劫持來(lái)挖礦，也不能馬上斷電。網(wǎng)絡(luò)罪犯就是看中這一點(diǎn)，才特別喜歡針對(duì)醫(yī)院的系統(tǒng)下手。

這還是假設(shè)醫(yī)療提供商能夠檢測(cè)到加密貨幣挖礦操作的情況下。加密貨幣挖礦代碼不會(huì)損壞系統(tǒng)，但會(huì)消耗大量的計(jì)算資源。最有可能識(shí)別出系統(tǒng)被劫持挖礦的情況，就是系統(tǒng)變慢，CPU使用率激增。但有些加密劫持者會(huì)限制挖礦所用計(jì)算資源，減小被檢測(cè)到的風(fēng)險(xiǎn)。很多醫(yī)療機(jī)構(gòu)并未安排IT或安全人員檢測(cè)和緩解此類(lèi)加密貨幣挖礦攻擊。

三、最小化醫(yī)療行業(yè)安全威脅的幾條建議

1.關(guān)鍵系統(tǒng)勤更新

沒(méi)打補(bǔ)丁的老舊系統(tǒng)仍然嵌在關(guān)鍵設(shè)備中被繼續(xù)使用，這就給勒索軟件留下了巨大的切入口。但更新這些系統(tǒng)又十分困難，因?yàn)楦逻^(guò)程可能會(huì)中斷關(guān)鍵系統(tǒng)或損傷供應(yīng)商繼續(xù)支持這些系統(tǒng)的能力。

某些情況下，甚至已知漏洞都沒(méi)有補(bǔ)丁可用。這種時(shí)候不妨給供應(yīng)商施壓，讓他們盡快推出修復(fù)補(bǔ)丁或更新系統(tǒng)。對(duì)供應(yīng)商要更激進(jìn)一些，作為一個(gè)行業(yè)持續(xù)對(duì)其施壓，責(zé)問(wèn)他們?yōu)槭裁聪到y(tǒng)還沒(méi)有更新。

2.員工培訓(xùn)

調(diào)查表明，醫(yī)療行業(yè)員工的防網(wǎng)絡(luò)釣魚(yú)培訓(xùn)接受率是比較低的。很多醫(yī)療機(jī)構(gòu)的規(guī)模都比較小，員工數(shù)量不到1 000人，這可能是沒(méi)有設(shè)置安全意識(shí)培訓(xùn)項(xiàng)目的原因之一。安全意識(shí)培訓(xùn)不僅僅是告訴員工什么是正確的做法，而是要?jiǎng)?chuàng)建可以訓(xùn)練員工不去點(diǎn)擊網(wǎng)絡(luò)釣魚(yú)鏈接的行為條件培訓(xùn)項(xiàng)目。

該項(xiàng)目應(yīng)能通過(guò)發(fā)送模擬釣魚(yú)郵件并針對(duì)員工行為作出反饋來(lái)培養(yǎng)員工安全意識(shí)。點(diǎn)擊了釣魚(yú)鏈接的員工會(huì)立即收到有關(guān)自己錯(cuò)誤行為的反饋，反饋中還附帶如何在未來(lái)正確動(dòng)作的指導(dǎo)。這樣的培訓(xùn)項(xiàng)目才會(huì)對(duì)員工安全意識(shí)產(chǎn)生顯著影響。

只要不斷培訓(xùn)，醫(yī)療機(jī)構(gòu)員工的安全意識(shí)就會(huì)提高。研究顯示，經(jīng)過(guò)1年的防網(wǎng)絡(luò)釣魚(yú)培訓(xùn)和測(cè)試，250～1 000員工規(guī)模的醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)釣魚(yú)上鉤率就從27.85%之多降到了只有1.65%。

3.重視員工信息安全

網(wǎng)絡(luò)釣魚(yú)攻擊越個(gè)性化，目標(biāo)中招率越高。魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊中，攻擊者會(huì)先盡可能多地收集目標(biāo)的個(gè)人信息。如果工作之外的交流泄露了可以聯(lián)系的人的姓名，攻擊者就會(huì)用這些名字和關(guān)系鏈建立起與目標(biāo)的信任關(guān)系，更有針對(duì)性地誘使目標(biāo)點(diǎn)擊釣魚(yú)鏈接。

4.提高防御和響應(yīng)威脅的能力

醫(yī)療提供商缺乏恰當(dāng)?shù)陌踩录{(diào)查能力，無(wú)法很好地記錄并評(píng)估安全事件傷害，不能充分取證以配合司法調(diào)查，是醫(yī)療行業(yè)安全中最令人憂(yōu)慮的一點(diǎn)。除此之外，醫(yī)療機(jī)構(gòu)往往還缺乏能夠完全修復(fù)安全問(wèn)題的員工。所以，最好招聘具備安全事件調(diào)查和處理能力的員工，或者與具備相應(yīng)能力的提供商合作。董事會(huì)和高管應(yīng)將安全問(wèn)題列為頭等大事，設(shè)置專(zhuān)職的CISO不失為一個(gè)好辦法。

小型醫(yī)療提供商或許不具備聘用CISO的資源，但仍然要重視安全?？梢栽诮佑|頂級(jí)安全專(zhuān)業(yè)人士方面多下功夫，通過(guò)合作或托管安全服務(wù)來(lái)獲得專(zhuān)業(yè)人士的幫助?；颊邞?yīng)享有安全保障，無(wú)論是通過(guò)合作還是通過(guò)招聘專(zhuān)業(yè)安全人員，醫(yī)療機(jī)構(gòu)都必須保證患者的安全。