當駭客打電話給英國最大的整形外科連鎖機構之一時,他的斯拉夫口音非常重,以至於接線員很難聽清他在說什麼。最終,總部位於倫敦的哈利醫療集團的工作人員意識到,這個人偷走了35萬名過去和潛在客戶的姓名,以及他們尋求的手術資訊。這並不是世紀犯罪,但勒索者知道誰想隆胸、隆鼻或腹部整形,他要求現金——六位數——以保持沉默。
據執行長詹姆斯·法夸爾森說,哈利公司沒有付款。然而,2014年的這起事件導致了《太陽報》小報上引人注目的頭版頭條,這家以前盈利的連鎖店在次年出現了虧損——即使駭客從未洩露資料。“這真的給了我們沉重打擊,”法夸爾森說。“我們花了大約 12 個月才真正開始好轉。”
一些機構確實屈服於勒索。今年 2 月,好萊塢長老會醫療中心宣佈,在駭客鎖定了醫院檔案後,他們支付了 17,000 美元以獲得解密金鑰。專家表示,該案例的特殊之處僅在於公開承認。“這種情況一直在發生,但所有參與其中的人都想保持低調,”以色列網路安全初創公司 Cymmetria 的聯合創始人迪安·西斯曼說。“在醫療保健領域,丟失所有資料不僅是一種商業風險,還是一種人命風險。”
支援科學新聞
如果您喜歡這篇文章,請考慮訂閱以支援我們屢獲殊榮的新聞報道。透過購買訂閱,您正在幫助確保未來關於塑造我們當今世界的發現和想法的具有影響力的故事。
當駭客探測網路空間時,他們發現構成我們醫療保健系統的龐大醫生、醫院和保險公司網路中存在弱點——其中許多機構沒有準備好應對複雜的駭客攻擊。醫療資料竊賊通常試圖敲詐錢財、獲取藥物、獲得免費醫療保健或竊取身份以獲取信用卡和退稅。RSA Security 的欺詐和風險情報主管安吉爾·格蘭特說,大量被盜的信用卡以及黑市上由此導致的較低價格使得醫療資料特別有吸引力:“他們正在尋找新的賺錢方式,他們認為醫療保健行業是一個軟目標,因為他們缺乏其他行業的安全成熟度。”醫療保健領域非常容易受到駭客攻擊,以至於根據身份盜竊資源中心7 月 19 日的報告,該行業佔今年所有涉及洩露姓名和敏感資訊的洩露事件的三分之一以上。該報告列出了所有行業中的 538 起違規事件,影響了近 1300 萬人。
在網上,陰暗的暗網公開出售被盜的醫療資料。“你可以使用這些配置檔案進行正常的欺詐活動,或者為自己獲得一個全新的醫療保健計劃,並享受隨之而來的所有優勢,”RSA 調查人員發現的一則廣告中寫道。自 2009 年以來,美國有超過 1.7 億份醫療記錄在資料洩露事件中曝光,這是美國衛生與公眾服務部統計的涉及 500 多條記錄的事件。新的洩露事件經常出現在該網站上,該網站列出了機構名稱、受影響人數以及洩露型別,例如盜竊、駭客攻擊或未經授權的訪問。最近幾周,馬里蘭州的一家心臟診所、俄亥俄州的一家牙科診所、明尼蘇達州的一家脊椎按摩中心和馬薩諸塞州的一家醫院都在報告洩露事件。
美國第二大保險公司 Anthem 在 2015 年表示,外部人員竊取了其 Blue Cross Blue Shield 計劃中約 7880 萬人的個人和就業資料以及社會安全號碼——但不是醫療資訊。馬薩諸塞州醫生加里·拉斯內斯基是數百萬資料被盜的人之一。在他得知洩露事件後不久,美國國稅局寫信給他,說他們懷疑有詐騙者以他的名義申報了納稅申報表。起初,他聳聳肩,不以為然。“因為我每年都繳稅,我想,‘好吧,讓他們申報併為我繳稅,’”他說。
但他很快就意識到這件事並非玩笑,因為犯罪分子會申報納稅申報表,希望獲得退稅。很快,有人試圖使用拉斯內斯基的資訊在百思買、歐迪辦公和第一資本銀行開設欺詐賬戶。他後來加入了針對 Anthem 的集體訴訟。根據波尼蒙研究所5 月釋出的一項研究,醫療保健資料洩露事件給公司造成了估計每次事件 220 萬美元的損失,導致年度集體損失達到 62 億美元。然而,許多患者即使在發生洩露事件後仍會留在他們的服務提供商那裡,因為更換醫生、醫院或保險公司比僅僅在不同的連鎖店購物要複雜得多。相比之下,Target 在 2013 年被入侵後報告稱,2013 年和 2014 年因入侵造成的損失總額超過 2.5 億美元。即使不是 Anthem 的客戶,資料也在同一次入侵中被盜——這是我在收到 Anthem 後來在我詢問後披露的入侵通知信時得知的,原因是他們正在為我的前保險公司合作的 CVS Caremark 管理藥物計劃。
專家一致認為,無論是單人醫生診所還是醫療保險公司,醫療服務提供商都必須讓駭客更難入侵他們的系統。為處理其資訊而獲得報酬的公司也應如此。然而,消費者也需要更加註意,採取諸如監控其電子健康記錄等措施。“大多數入口網站都會向您傳送警報,讓您知道您的記錄已被修改,”RSA 的格蘭特說。“只要看到這一點,並且知道您沒有訂購任何東西,也沒有去看醫生,這應該是一個危險訊號。”
一些醫療保健組織正在加強安全,但專家表示,大多陣列織在金融和銀行業等領域仍然滯後,他們指出,許多組織根本沒有投入足夠的時間和精力來解決這個問題。“大多數醫療保健組織和 BA [商業夥伴] 都既沒有投資必要的技術來減輕資料洩露的風險,也沒有聘請足夠多的熟練 IT 安全從業人員,”波尼蒙關於該主題的最新年度調查得出結論。
哈利醫療的法夸爾森同意這一評估,並承認他公司的舊網站存在漏洞。其他人則寧願不公開承認這些缺點。近年來遭受醫療洩露事件打擊的其他三位執行長——包括 Anthem 的負責人約瑟夫·斯韋登——拒絕了本次文章的採訪請求。