2015 年 2 月,Anthem 公司遭遇駭客攻擊,7880 萬客戶的資料被盜,這成為歷史上最大規模的醫療保健資料洩露事件,並開啟了具有里程碑意義的一年。據美國衛生與公眾服務部下屬的民權辦公室(OCR)稱,去年有超過 1.13 億條醫療記錄遭到洩露。換個角度來說,如果每起案件都代表一個人,那麼三分之一的美國人會成為受害者。
相比之下,今年看起來比較溫和,但現在才三月份,就已經有 350 萬條醫療記錄遭到洩露。根據美國衛生與公眾服務部的這份列表,到目前為止,2016 年醫療保健行業平均每週發生近 4 起資料洩露事件。
“如果你仔細想想,這非常糟糕,因為我們所有人都與醫療保健系統有交集,”計算機科學家和資訊安全專家 Avi Rubin 在 1 月份的 USENIX Enigma 會議上討論醫院網路安全狀況時說道。
關於支援科學新聞報道
如果您喜歡這篇文章,請考慮訂閱我們的新聞報道,以支援我們屢獲殊榮的新聞報道。 訂閱。透過購買訂閱,您將幫助確保關於當今世界發現和塑造我們世界的有影響力的故事的未來。
在擔任約翰霍普金斯大學健康與醫療安全實驗室主任之前,Rubin 為許多行業的公司提供網路安全服務。銀行。汽車租賃公司。零售商店。應有盡有。但他表示,就網路安全問題而言,醫療保健行業是“最差的”。
“他們的資料安全措施遠遠落後於其他所有行業,”Rubin 說。
事實上,醫療保健行業在 2015 年美國資料洩露事件中排名第二,並在 Verizon 的 全球駭客報告 中位列前 10 名。
這在前線是什麼樣子?據報道,在兩週前的西南偏南音樂節上,波士頓的貝斯以色列女執事醫療中心資訊長約翰·哈拉姆卡稱,該醫院每七秒鐘就會遭到一次駭客攻擊。2011 年,中國的網路犯罪分子從貝斯以色列女執事醫療中心竊取了 2000 張患者 X 光片。哈拉姆卡表示,這些掃描件通常會被出售給無法透過旅行簽證健康檢查的中國公民。
儘管如此,醫療網路安全在主流對話中(例如在競選過程中)很少受到關注。在主要的共和黨總統辯論中,“駭客”、“網路攻擊”和“網路戰”等詞語僅被提及 16 次。民主黨候選人的情況更糟,在 10 月 13 日的辯論中,參議員吉姆·韋伯僅提及一次“網路戰”。在初選辯論中,兩黨都沒有在醫療保健網路安全的背景下使用過這些術語。
但以下是每個人都應該關注的三個原因。
1. 您的健康記錄已成為貨幣
醫療保健駭客攻擊已發展成為數十億美元的交易。
圖片來源:Getty Images/Fanatic Studio
華盛頓特區關鍵基礎設施技術研究所(ICIT)聯合創始人兼高階研究員詹姆斯·斯科特表示,“電子健康記錄比被盜的信用卡價值高 100 倍”。斯科特研究所的成員定期在立法者和技術專家之間舉行會議,以促進網路安全政策的制定。斯科特表示,雖然針對金融資訊存在許多保障措施,但針對健康資料的保護措施較少,而健康資料價值更高。
“對於信用卡,這筆錢是有保險的。如果銀行有聯邦存款保險公司支援,大多數信用卡號碼被盜的人實際上不會損失這筆錢。銀行會彌補差額,”斯科特說。“但是對於電子健康記錄,醫院和保險公司之所以成為如此大的目標,首先是因為其回報。”
斯科特表示,在暗網論壇上,一份醫療保險或醫療補助電子健康記錄的售價可以達到 500 美元。全球資訊服務公司益百利估計,在黑市上,健康記錄的價值是信用卡號碼的 10 倍。
“如果您購買 100 份電子健康記錄,您將獲得每個人的所有資訊——社會安全號碼、所有地址、他們的孩子、他們的工作,”斯科特說。“惡意行為者希望獲得儘可能多的情報,而醫療保健是經驗豐富和經驗不足的駭客最容易攻擊的目標。”
資料洩露每年給醫療保健行業造成 估計 56 億美元的損失。
2. 您的醫院網路安全可能存在漏洞
醫療保健佔據著一個脆弱的網路安全空間。隨著健康駭客、自我護理和個性化醫療的興起,人們、醫生和監管機構都希望更容易地訪問患者資料。Rubin 表示,危險來自開放大量用於共享和儲存資料的通道,但沒有適當的數字保護措施。
作為一項旨在識別漏洞的實驗,獨立安全評估機構在過去兩年中 試圖滲透 美國 12 家醫療機構和 2 家醫療資料中心的網路安全。不用擔心;他們被聘用是為了這個目的。
在一家醫院,該團隊透過在多個樓層散佈 18 個包含惡意軟體的 USB 儲存棒來入侵計算機化的藥物配藥系統。每個 USB 儲存棒上都有醫院的標誌,這可能足以說服一位不知情的員工使用其中一個。如果駭客攻擊是惡意的,那麼攻擊者可能會更改藥物劑量,這對患者來說可能危及生命。在另一家醫院,他們利用一個無人看守的大堂資訊亭來訪問患者的血液檢查記錄,理論上這些記錄可以被篡改以導致不當治療。
獨立安全評估機構研究中針對的醫療設施的位置。
圖片來源:Independent Security Evaluators
根據獨立安全評估機構的說法,網站是網路犯罪分子的另一個途徑。該團隊假裝是一名患者,登入到電子健康記錄網站,但他們在患者資訊欄位中填寫了惡意程式碼。當一位不知情的管理員(醫生或護士)檢視此新患者資訊時,惡意程式碼就會被安裝,無意中授予駭客“修改資料庫中所有患者健康記錄的全部能力”,獨立安全評估機構在 2 月 23 日釋出的一份報告中寫道。
患者也以智慧手機健康應用程式的形式隨身攜帶這些漏洞。對 Google Play 商店中 211 個糖尿病應用程式的調查 發現,81% 的應用程式缺乏隱私政策。在其餘 41 個具有隱私政策的應用程式中,25 個應用程式 (61%) 會在法律要求的情況下共享使用者資料;20 個應用程式 (48.8%) 會與第三方共享使用者資料;16 個應用程式 (39%) 允許將使用者資料用於廣告目的。
“這項研究表明,糖尿病應用程式會與第三方共享資訊,從而造成隱私風險,因為聯邦法律沒有針對醫療應用程式向第三方出售或披露資料提供法律保護,”伊利諾伊理工學院芝加哥肯特法學院的研究作者寫道。“患者可能會錯誤地認為輸入應用程式的健康資訊是私密的(尤其是在應用程式具有隱私政策的情況下),但通常情況並非如此。醫療專業人員應在鼓勵患者使用健康應用程式之前考慮隱私影響。”
Rubin 建議採取一些政策,例如加密所有患者資料,限制誰有權檢視醫療圖表以防止醫院發生洩露以及多因素身份驗證。他還表示,應該監控醫院資料庫中的搜尋次數,以發現駭客可能一次下載大量健康記錄的情況。
3. 您可能忽略了網路安全中最大的缺陷。
今年 2 月,人為錯誤是否導致了一起網路攻擊,導致好萊塢長老會醫療中心(如圖所示)的電子資料庫癱瘓數日,迫使這家洛杉磯醫院的醫生依靠電話和傳真機來傳遞患者資訊。
圖片來源:Junkyardsparkle/Wikimedia Commons
那是因為您網路安全中最大的缺陷可能就是您自己。
持續蔓延的勒索軟體就是一個很好的例子。勒索軟體透過加密受害者的計算機或數字檔案來挾持它們,自 1989 年以來,它以各種形式存在。然而,最新的形式——加密勒索軟體——自三年前出現以來,像野火一樣蔓延。在 2014 年的最後四個月,超過 128,000 臺臺式機受到了勒索軟體的攻擊。到 2015 年年中,這個數字已經成倍增加,翻了一番達到 337,000 起。
今年 2 月,好萊塢長老會醫療中心成為勒索軟體最新高調的受害者之一。醫院院長兼執行長艾倫·斯特凡內克 將此次攻擊描述 為“顯然不是惡意的”和“只是一次隨機攻擊”,這表明了這種勒索軟體的主要途徑:受感染的電子郵件。ICIT 聲稱該醫療中心 遭到了 Locky 加密勒索軟體的攻擊,該軟體以電子郵件附件中的 Word 文件 的形式出現在收件箱中。
這種攻擊方式被稱為網路釣魚——駭客將惡意程式碼隱藏在看起來合法的電子郵件或網頁中。這種虛假的通訊中包含旨在說服受害者點選的功能——這被稱為社會工程。
這些駭客攻擊有兩種常見的版本,即魚叉式網路釣魚和鯨魚式網路釣魚,它們的目的是利用人性和信任。例如,名人裸照駭客事件:就是透過電子郵件進行的魚叉式網路釣魚。一名青少年透過電話釣魚了一個Verizon員工,從而侵入了中央情報局局長約翰·布倫南的電子郵件。
斯科特說:“魚叉式網路釣魚是指攻擊者會向你傳送電子郵件,看起來像是來自合法來源的訊息。但當你仔細觀察時,會發現 @newshour.org 變成了 @newshour.uk 或 .co 之類的東西。” “鯨魚式網路釣魚是指他們可能會發送三封高度針對性的電子郵件。[駭客]透過社交工程研究,從社交媒體和你自己在網上釋出的資訊中收集資訊,從而設計出幾封量身定製的電子郵件。”
斯科特說,網路竊賊經常透過 LinkedIn 等半公開的社交媒體平臺獲取情報。
“他們可以看到你上過哪所大學,在哪裡工作。然後他們可以深入挖掘,找到你的 Facebook,並找到你的結婚時間。很多時候,這只是因為他們做了功課,”斯科特說。
他補充說,教育是防止醫院遭受網路釣魚攻擊的關鍵。
斯科特說:“醫院和保險公司需要教育他們的員工:‘這就是魚叉式網路釣魚攻擊的樣子。’‘這就是欺騙性瀏覽器是什麼樣子。’‘看看這封電子郵件,這封電子郵件和那封電子郵件有什麼不同。’ “當你收到這些奇怪的東西時,你應該把電子郵件轉發給公司的資訊安全人員。”
他可以在虛擬專用網路中開啟可疑電子郵件,這樣惡意程式碼就永遠無法訪問他的計算機或公司網路。
奧巴馬總統最近宣佈了網路安全國家行動計劃,該計劃承諾投入 6200 萬美元來教育下一代網路安全人員,但它沒有提及對普通民眾進行駭客使用的社交工程培訓。如果人們繼續為惡意程式碼開啟大門,那麼任何高科技加密、安全軟體或大量的 IT 員工都無法阻止他們。
“這是培訓人們不要點選。就是這樣。這很瘋狂,但教人們不要點選太難了。就是不要點選,”斯科特說。
本文經PBS NewsHour許可轉載。它於 2016 年 3 月 23 日首次釋出。