行业报告:医疗数据泄露愈发严重,谁之过错?

2015-11-02 304455人围观 ,发现 3 个不明物体 头条资讯

Trustwave发布了一份2015年医疗行业的安全报告,通过对398名专业的医疗专业人员(部分是技术人员,包括CIO、CISO、IT主管等,另一部分是普通的医护人员)的调查,发现有91%的调查对象认为针对医疗行业的网络攻击活动越来越多,然而用在保护病人敏感信息方面的预算却还不到10%。

在过去的两年间,有90%的医疗行业公司均遭到黑客攻击,泄露病人数据。为什么医疗行业会成为网络攻击的中心目标呢?大致原因有:

1,医疗记录迅速的转移到了网上,并且在病人、医疗机构之间可共享;
2,物联网设备和云服务的使用;
3,医疗健康保险数据的价值越来越高。

全球电子医疗保健记录系统中的数据在以每年5.5%的速度增长,其中的数据量可想而知是非常惊人的。从医院到内科医生、急诊门诊,再到健康保障组织,无不涵盖着病人的敏感数据,所以刻不容缓的需要采取安全保障措施来保护它们。任何企业都会遇到安全威胁,但是当这种安全问题威胁到个人的生命安全,那问题就变得非常严重了。

方法论

Trustwave在第三方专业调查公司的帮助下,对398位专业的全职医疗行业人员(其中198位是技术人员,200位是非技术人员)进行了调查。目的是衡量医疗保健机构所面临的挑战、员工们的安全意识和期望。

数据泄露

在过去的几年间,美国政府曾倾注了数百亿的资金来扶持医疗保障行业使用电子医疗保健记录技术,目的是为了提高病患照顾质量、减少医疗错误的发生、降低就医成本等。由此说来,病人的医疗记录可被所有的医疗机构共享,方便快捷,但同时也给攻击者留下了一个广阔的攻击场所。

总而言之,几乎所有医疗行业的技术人员都认为他们的机构越来越多的成为了黑客攻击的目标。

是什么使得医疗机构的电子记录更吸引人并且更易受到网络攻击呢?

大部分医疗组织和机构的安全保障和风险管理措施比较落后,所以黑客们才有机可乘窃取病人的敏感数据(从个人信息到信用卡账号,再到知识产权)。从过去几个月泄露的医疗数据看,黑客窃取的数据量巨大、窃取过程简单、花费时间较少,而且还不容易被察觉到。

其实大部分的网络犯罪者组织都是在金融行业炼就了高超的技能之后,转而向医疗行业发动大规模的攻击。相比于其他行业,医疗行业的攻击阻力比较小,并且敏感数据比较多。

医疗行业的医疗记录很容易被攻击的另外一个原因是其流动性比较大,数据分类好,黑客可以轻而易举的找到利益相关的数据。包括姓名、家庭住址、邮箱地址、生日,甚至还包括保单号码、检验结果、诊断结果等。如此一来,黑客便可以用这些数据伪造虚假身份和虚假保单进行就医、买药、买医疗设备等。

医疗行业数据盗窃后果非常严重,美国每年有超过200万的人会成为受害者,由此造成的损失高达13500美元,并且还需花费上百个小时来解决这个问题。为了解决医疗行业数据被窃,技术人员提供了两个安全方法:

1是数据分割,控制用户个人和医疗机构查看数据内容的权限;
2是加密。

加密对数据来说非常重要,尤其是数据在各医疗机构的传输过程中。然而即使数据加密了,但是在向另一机构传输的过程中如果缺乏必要的安全保障,同样会存在安全风险。调查发现有94%的人指出机构中加密的用户数据会被传输到外网。

调查中还发现了一个很致命的安全隐患,就是大部分的医疗机构并没有把敏感数据和非敏感数据分开,这种机构占到89%。

内部威胁其实是医疗机构一个很严重的安全风险,最近发生的几起医疗行业入侵事件都是由内部人员引起的。除了健康信息带来的利益驱动,处于个人的好奇也可能导致不正当的访问或者数据窃取。所以这些组织需要严格限制访问权限,确保数据只能被相关人员访问。

安全专业资源短缺

随着威胁的增加和攻击范围的扩大,医疗行业面临着越来越大的挑战。其中最大的问题是企业中安全部门员工严重缺失,迫切需要配备专业的网络安全人员,这种情况不是一个地区的问题,全球的医疗行业都面临这个问题。

从传统经济学的角度来说,高需求和短供应这种严重失衡的状态必然会造成市场混乱。应用到医疗行业,专业的网络安全人员极度缺失,而专业人员的供应又极其不足,所以医疗机构需要通过高薪水来激发更多的人加入医疗行业的网络安全队伍,缓解这种不平衡。

通过调查发现有35%的人称,公司安全方面的专业人员不足。在近几年频繁发生的数据泄露事件之后,越来越多的人认为他们需要聘用更多的安全人员,以保障用户数据安全。

漏洞

试想一下,一个黑客坐在几百英里以外,只需通过输入几行命令就可以控制病人胰岛素输送管中的激素剂量,那将是一件多么可怕的事。也许他是个稍有“良知”的黑客,不会用这种方法杀人于无形,但他可以通过入侵联网医疗设备,进而入侵医院网络,窃取病人的敏感数据。

随着电子医疗记录的普及,黑客们越来越多的关注在了医疗行业上,被发现的漏洞也越来越多,最常见的有:SQL注入漏洞,弱口令,远程访问漏洞,未修复的漏洞等。医疗机构还有一个很大的安全疏忽,就是他们不会定期检查基础设施是否含有漏洞。有87%的人称他们的机构基本上一年或者两年才对其基础设施检查一次。

所以,医疗行业中的安全评估是非常有必要的,它可以帮助企业预测系统、进程、政策中存在的安全风险,从而可以保障医疗行业数据的安全。然而并不是所有的医疗机构都会定期的对其基础设施进行评估。另外,医疗组织还必须要确定这些安全问题是来自外部供应商,还是内部问题。

医疗行业的安全主要分为两种,一种是来自内部的威胁,一种是外部威胁。内部威胁可以概括为以下两种:

1,怀有恶意目的的员工会访问并窃取用户的敏感信息
2,正常员工的一个人为错误可能会给攻击者留下攻击入口(员工不小心弄丢了电脑;不小心点了含有恶意程序的链接;安全人员不小心装错了系统)

外部威胁主要就是黑客利用设备漏洞、系统漏洞、人性缺陷(社工)来攻击机构网站,从而窃取用户数据。

所以企业应该定期对员工进行培训,让员工掌握一定的安全知识和技能。然而当下企业对员工的安全培训并不尽人意。

建议

医疗行业正经历一个非常严峻的安全时代:威胁越来越高级,安全技能却没能同步进化,安全方面的预算严重不足,医疗设备很难管理,传统系统亟待更新,被攻击的范围在逐渐扩大。

对于用户个人来说,我们需要做的是:

1,不要在多个网站上使用相同的密码
2,不要留下过多的个人信息
3,不要随意打开来源不明的链接和文件

对于医疗设备供应商来说,他们需要不断的检测物联网设备和应用程序的安全,如发现漏洞应及时通知相关买家,快速响应修复漏洞。

对于医疗机构(医院)来说,应该定期对员工进行培训,提高安全防范意识,训练安全应急技能。

完整报告点我

* FreeBuf综合整理,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM) 

更多精彩
发表评论

已有 3 条评论

取消
Loading...

特别推荐

推荐关注

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php