有弹性:克服医疗保健的网络安全挑战

经过Vishal Salvi,静音耳朵,Yulia de Bari. 2020年7月|文章| 15分钟阅读|通过电子邮件发送本文|下载 有弹性:克服医疗保健的网络安全挑战

在冠状病毒大流行后,健康和生命科学领域的网络攻击激增,并实施了封锁。一些主要网络犯罪团伙承诺停止对医疗机构的攻击,直至疫情得到控制。1但许多黑客正在利用危机。

自2月中旬以来,与冠状病毒有关的攻击次数显著增加。2020年1月至3月,新冠病毒垃圾短信总数为90.7万条,钓鱼网站数量增长了350%。(见图1)。

图1. 1月至3月2020年3月趋势

907K总科维德-19 Spammessages 从2020年2月到3月,垃圾邮件增加了220%
48k击中恶意URL 2月至3月20日期恶意URLS增加260%
737检测到与COVID-19相关的恶意软件 ransomwareattacks增加148%
522K 2020年3月的活性网络钓鱼地点 从1月到2020年3月,网络钓鱼站点增加350%

最近,U.K.的国家网络安全中心(NCSC)和美国网络安全和基础设施安全局(CISA)警告涉及冠状病毒反应的医疗保健组织。他们敦促这些部门的组织来改善网络安全,并要求员工改变密码。2

2020年4月,犯罪分子瞄准了世界卫生组织;在一周内,黑客在线泄露了450多个有效的电子邮件地址和密码,属于谁雇员,他们在冠状病毒响应上工作。4.

由于一些原因,医疗保健行业一直是一个有吸引力的罪犯部门。医院和诊所的自动化水平低,以获取信息支持和安全性。通常,可用的设备是异构的,并且基于过时的软件。额外的威胁与数字转换,远程数据访问,信任赤字以及在线风险缺乏培训相关。亚博比分直播

保健成本的螺旋成本

美国的医疗保健成本以比美国每年的增长更快的速度增加。由于员工成本继续升级,该部门中的雇主正在努力在全球市场竞争。RX(药物)细分中许多中介的存在导致更高的成本和临床疗效不足。

分散的护理交付和融资的分离从护理交付进行综合改革和效率改进非常困难。付款人(公共和私人)通过将其传递给提供者和成员来阐述保险风险。

Covid-19大流行预计对该行业产生了深远的影响。预计将增加远程医疗和其他大流行管理领域的百分比。预计家庭医疗保健市场本身将在2027年达到5156亿美元,复合复网增长7.9%。5.

这会产生许多漏洞 - 我们在下面描述的最大六个。

风险:赎金软件攻击

自2016年以来,在美国的医疗保健组织上有172枚赎金软件攻击。这些袭击已花费美国卫生保健行业超过1.57亿美元。6.

Ransomware控制受感染系统中的文件,然后,攻击者需要大笔资金。然后,黑客能够在怜悯中持有医院,直到领导符合他们的要求。此类攻击可以为医疗保健设施和服务段瘫痪。电子医疗记录和文件,医院运营的相互连接,通过互联网工作的过时的信息技术设备增加了威胁。

Netwalker Ransomware Gang目前是对医疗保健行业的最大威胁

目前,对医疗保健行业的最大威胁是Netwalker赎金瓶帮派。7.勒索软件通过声称提供有关SARS-CoV-2和COVID-19病例信息的垃圾邮件传播。

鉴于这么多医疗设备对于拯救生命至关重要,并且必须始终继续,这些系统的任何停机都可以造成严重破坏并威胁生活。出于这个原因,赎金软件往往是成功从弱势目标中提取资金。

布尔诺大学医院是今年3月的网络攻击。该医院拥有捷克共和国最大的Covid-19测试实验室之一。由于医院被迫取消运营并将新的和关键患者迁移到其他医院,因此该事件引起了严重的延迟。8.虽然关于这种攻击很少,但它被怀疑是赎金软件。

卫生保健部门的最大攻击之一是2017年,当时Wannacry赎金制品渗透到U.K.的国家卫生服务(NHS)医院。通过取消19,000项预约,袭击造成了大规模的破坏。据估计,由于袭击事件,1.15亿美元已丧失,其中三分之一的信托受到影响。9.

风险二:远程医疗和远程连接

今天,医院和诊所由于冠状病毒的迅速传播而在有限的容量下运行。他们只接受在家里无法治疗的患者。患有轻度健康问题的患者提供在线咨询。虽然在大流行爆发之前,远程医疗已经存在十多年,但患者对医生的虚拟访问持怀疑态度。今天,为了自己的安全,人们被迫改变他们的习惯。即使是以前反对在线咨询的人现在必须接受它们,因为有很少的替代方案。

“在病毒之前,视频约会仅占3.4亿的1%,占英国国家卫生服务的初级保健医生和护士的每年一次。”10.现在英国的健康服务告诉了成千上万的诊所,转向远程咨询。这种变化引人注目的是,在冠状病毒之前,远程医疗公司因监管限制和杂乱的官僚机构而获得有限。现在,远程医疗传播的主要障碍正在崩溃。法规在全球范围内松动,包括在欧洲,隐私标准和数据保护标准非常严格.7

目前,卫生组织正在缩放远程健康及其业务,因为他们必须。但是,该公司的信息技术越多,网络安全风险概况越高。这为犯罪分子渗透了公司的网络,为犯罪分子创造了新的方法。值得注意的是,当紧急情况结束时,这种趋势可能会留下来。

风险三:敏感数据保护(PII / PHI)

个人健康信息(PHI)对攻击者值得很多钱。在黑暗的网络上,PHI可以售价多达1000美元。11.犯罪分子可以通过勒索、医疗身份盗窃、报税欺诈和新信贷额度等手段,利用窃取的医疗记录。

2020年2月,一场针对加州医保网络员工账户的钓鱼运动。由于他们的个人身份信息(PII)可能被暴露,大约20万名目前和以前的患者可能在这次袭击中受到影响。12.

2020年1月,明尼苏达州一家医院的两名员工的电子邮件账户在未经授权的情况下被侵入,导致近5万名患者的医疗记录被泄露。13.

联邦调查局报告14.指出,每次电子健康记录都可以在黑市上销售50美元,而被盗社会安全号码或信用卡号码为1美元。在过去的10年里,正在报告越来越多的数据泄露。随着患有医疗保健和生命科学域的数字采用的增加,患者保健记录的收集和储存也增加了。这使得数据保护具有挑战性。

风险四:内幕威胁

人类错误和设备滥用比黑客更频繁地发生。IBM安全成本的内幕威胁报告发现,内幕威胁的最高原因是疏忽(63%),凭证盗窃(23%)和刑事内部人(14%)。超过50%的报告事件是由疏忽员工或承包商引起的。疏忽总体成本为11,450,000美元,而凭证盗窃补救成本为871,686美元。15.

2019年verizon数据泄露调查报告16.将内部人士列为医疗保健行业最常见的威胁行动者。内部人员拥有安全访问权限、组织信任和程序知识。

内幕“演员”可以有多种形式。他们可以成为成为网络钓鱼受害者的员工,这些受害者可以妥协网络或那些丢失包含机密信息的工作设备的人。内部威胁甚至可以通过错误配置服务器的漏洞引起,例如2019年华盛顿医学突破。突发为3周暴露的患者有974,000名患者的数据。17.

当然,内部人士也可以是那些故意赠送访问并出售某人的PII / PHI以获得利润的人。

2016年,美国杰克逊健康系统医院(Jackson Health System)终止了对该医院单位秘书的雇佣,该秘书涉嫌在数年时间里窃取患者机密信息。大约2.4万份有社会安全号码、姓名、生日和家庭住址的患者记录被泄露。18.

风险五:保密研发(研发)制药业的数据和公式

研究实验室产生知识产权。投资研发的医疗保健组织可能由于违规而面临重大的货币损失。最近在JAMA网络中的一项研究发现,将新药物带到市场的平均成本近10亿美元,而该产品达到市场的平均时间是九年。19.被盗的高价值信息,如药物公式,专利和研发数据可以为竞争对手带来大量利益。它可以节省竞争对手,否则他们会在研究中花费。这使R&D信息对利益相关者和网络犯罪分子来说非常有价值和盈利。

5月2020年5月,FBI(美国)和国家网络安全中心(U.K.)宣布,参与Covid-19疫苗研究的药品和学术机构是增加网络攻击风险

在对Covid-19的战斗中,这种威胁更加突出。在2020年5月,FBI,20.这是美国和国家网络安全中心,21.这两个都宣布了网络黑客正在针对药物和学术机构参与研究疾病的疫苗。

风险六:医疗保健应用和连接设备

2019年verizon移动安全报告指出,25%的医疗保健组织具有移动安全事件。移动医疗保健应用市场正在迅速增长。Google Play和Apple App商店都提供了数千个可供下载的应用程序。其中一些应用方便,但也缺乏对敏感数据传输的保护。

Fitbit,Apple手表和其他健身器件收集存储在公共和私有云中的个人数据。Health Apps以更大的体积收集来自个人的个人数据。由于人们在这些应用中的信任太多,因此他们很少找到哪些公司正在收集其数据以及他们的数据存储的位置。如果在软件开发过程中未构建安全性,则网络犯罪分子可以通过移动设备违反医疗保健组织。这是一个问题,因为没有公司的治理和/或没有建立威胁保护机制。此外,发现医疗设备比正常设备更容易脆弱的漏洞,而不是急需的脆弱性。

与常规设备相比,医疗设备更容易出现URGET/11漏洞5倍

在为时已晚之前安全

在为时已晚之前安全

为了应对冠状病毒,医院正在进行加速的数字转型。亚博比分直播和数字化不可避免地带来了新的安全挑战。医疗机构具有重要的基础设施,对公众福祉至关重要。他们的数据库和研究设施持有高价值资产。随着这些资产成为数字化的,黑客看到有机会获利。不幸的是,医疗保健公司通常在一个非常低的边缘上运行。平均而言,只有5%的医疗保健IT预算被分配给网络安全。23.在大多数情况下,公司仅在发生事件时开始思考安全性。

至关重要的是,人们可以信任医疗保健提供者提供他们的数据。为了确保这种信任,组织需要保护他们所拥有的信息。为了抵御网络威胁,医疗保健和生命科学企业需要建立一个具有高度适应性的安全生态系统。为此,他们需要关注以下建议。

强制执行卫生

应在连接到网络的所有IT和医疗设备上实施和维护IT卫生。通常它卫生要求可能是严格的,这可能会阻碍业务流程。为了平衡业务需求的要求,使其卫生要求灵活。

为了实施IT卫生,企业需要确保安全监控和记录以及将特定于背景信息的实时威胁情报以及安全分析师提供安全监控和记录。

漏洞可以出现在IT堆栈的不同元素中 - 在服务器,数据库,网络,端点等中。技术原始设备制造商(OEM),例如Microsoft,Cisco和Oracle,释放有助于修复的软件修补程序漏洞。由于大多数违规者尝试利用已知的漏洞,企业应用软件补丁以关闭这些漏洞是非常重要的。

第1号建议书:金色模板和硬化指南

遵守整个组织的操作系统和硬化指南的规定的金标准。

最新操作系统(OS)和补丁。确保使用最新的安全修补程序修补所有系统,并为安全更新创建一个进程。

替换过时的医疗设备并为远程连接设备实现IOT安全实践。

硬化指南。面向互联网和高风险的系统应根据行业最佳实践来硬化。

旧遗留应用。应为具有无法升级的过时操作系统的系统实现补偿控件。

建议2:零信任模型

随着正常开发周期的一部分,使用零信任原则增强现有系统。组织级别可以采用零信任原则,以指导安全架构的演变。这些原则将有助于设计和构建强大的多维和全面的安全参数。

网络分割从其他系统中分离任务关键权限(如生命支持系统)将有助于防止恶意软件或攻击者访问的横向扩展。

只提供“最不特权访问”完成工作。这将有助于减少威胁表面。

实施100%多因素身份验证防止未经授权的访问。

使用为远程访问提供安全的web网关而不是传统的VPN。仅公开所需的远程访问应用程序,而不是将远程用户连接到公司网络。

地址新的威胁表面

企业需要基于新的威胁面建立防御机制,这是远程工作的结果。考虑多个威胁行动者的动机也很重要。内部人士、竞争者和民族国家都受到不同动机的驱使。虽然一些犯罪分子希望利用PHI数据,但国家支持的攻击可以针对实验室获取冠状病毒疫苗信息。

为了防止目前的威胁,医疗保健和生命科学企业需要确保远程访问控制,禁用不需要的不可思议的服务和协议,并强制执行端点控件以防止数据泄漏。

建议书3:数据安全焦点

要提供全面的数据保护,请使用以下考虑因素:

自动分类。实现数据识别和分类、数据加密和数据屏蔽的自动化系统。

损失监测。使用DLP(数据丢失预防)系统进行电子邮件,网络和终点进行实时丢失监控。

加密。使用行业最佳加密和数据屏蔽解决方案。

访问的评论。进行定期访问审核,以确保仅适用于授权用户的访问。

通过设计安全

网络安全是每个人的责任。每个人都是一个薄弱的联系,可能会允许犯罪分子进入系统。医生,护士,医院工作人员,主要护理仪式和医药公司的科学家都需要接受教育现有的安全风险以及如何处理它们。安全文化是一个持续的过程,必须跨整个组织驱动。

安全文化是一个连续的过程,必须在整个组织中被驱动

为创造这种文化,组织需要使“安全的设计”概念成为他们的数字转型的基岩。亚博比分直播他们需要在他们的业务,应用程序,基础架构,云和数据的所有程序的各个方面中嵌入安全性。创建安全指标的端到端可见性至关重要,可以利用持续增强安全性。

第4号建议书:通过设计原则安全

在系统开发期间确保网络安全思考。

建立很重要安全的编码指南和拥抱电子邮件安全和dev-sec-ops适用于所有开发计划。

对于云和本地环境,持续合规监控和管理需要使用漏洞识别和实时补丁。

积极减少威胁面通过评估连接到网络的设备和应用适当的控制。

专注于管理威胁,漏洞,风险和事件而不是仅关注法规遵从性。

最后,提高意识,计划中的强制测验和认证安全意识运动关于社会工程攻击。

改善合规,治理和风险管理

为了更好地了解网络风险,企业需要重新考虑其合规和治理流程。为了改善这些流程,公司需要确保安全和隐私义务之间的平衡。他们需要记录并列出合规要求,以确保符合各种法律法规,如HIPAA、PHI数据和GDPR。他们还需要方便地访问工具和监控。

建议5:供应商/合作伙伴的合规和风险管理

为了保护数据和防止攻击互联的演化数字健康生态系统,需要有效的合作伙伴风险管理计划。

做A.主动合作伙伴风险评估使用行业标准的安全姿势评估以及基于问卷的方法。

计划适当的控制和访问水平,做基于风险的合作伙伴分割。然后使用伙伴访问使用零信任原则。

管理合作伙伴风险需要综合治理和升级框架(具有明确的所有权和集成工作流程)。使用定制IT系统和治理,有效第三方风险管理。

管理检测和响应

不断变化的威胁模式和不断发展的技术工具和流程需求不断关注公司安全姿势的提高。网络安全竞技场需要有不同技能组织的人,他们可以处理威胁检测技术,访问管理,治理风险和合规性,以及更多。近90%的医疗保健IT安全领袖州认为,他们缺乏熟练的网络安全专业人士,以实现更好的安全姿势。24.但有些公司可以提供必要的支持。

第6号建议书:管理检测和响应

计划快速检测和快速恢复提高在发生缺口时的弹性。

使用行为为基础这些威胁的异常检测和沙箱,不能使用基于签名的系统检测。

使用明确定义剧本快速检测和响应。

使用人工智能和自动化来减少误报和主动寻找威胁。

托管安全服务组织可以帮助具有整体数据安全计划的医疗服务。与此类公司合作显着降低成本,提高可见性,并保护组织免受违规行为。

最重要的是确定网络安全

当涉及数据泄露的成本时,保健是最昂贵的行业。根据2019年的数据违约报告的成本,医疗保健行业的违规成本为6.45亿美元。25.尽管这一事实,医疗保健提供者在网络安全方面花费明显不足,而不是其他受监管的行业在倡议上花费。但随着由于数字化,遥控作品和远程医疗导致的风险增加,对网络安全是值得投资的疑问。因此,医疗保健提供者已经开始改变他们对其预算管理的态度。从2017年到2021年,医疗保健行业将为650亿美元的累计累积。26.今天,网络安全是最优先的。医疗保健提供者需要找到合适的投资计划 - 拥抱一个将与其目标和战略保持一致的。

参考
  1. “勒索软件团伙在流行病期间停止攻击健康组织”Bleeping Computer,2020
  2. “英国主要医疗组织发出的网络警告,”NCSC,2020年
  3. “谁报道了五倍的网络攻击增加,敦促警惕”谁,2020年
  4. “Covid-19大流行期间的网络犯罪,”犯罪司法所2020
  5. “全球家庭医疗保健市场分析2020-2027 - 全球市场预测到2027年达到5156亿美元,”环球新闻专线,2020年
  6. “自2016年以来,172年赎金软件攻击美国医疗组织(成本超过1.57亿美元),”Paul Bischoff,Compitech 2020
  7. "针对医疗行业的NetWalker勒索软件团伙"HIPAA Journal,2020年
  8. “捷克医院的网络攻击部队在冠心病爆发期间的技术关机,”索菲·波特,医疗保健IT新闻,2020年
  9. “Wannacry网络攻击成本为19,000万英镑,即19,000英镑已取消,”马修场,电报,2018年
  10. “远程医疗抵达英国:‘一周内10年的变化’”纽约时报,本杰明穆勒,2020年
  11. 《数据泄露:2020年3月医疗保健安全事件总结》。你是医疗身份盗窃的受害者吗?”Alina Bziga,Security Boulevard,2020
  12. “加州医疗保健数据泄露可能会影响近200,000名患者”亚当班斯特,每日SWIG,2020
  13. “数据泄露影响明尼苏达医院约有50,000名患者”Cisomag,2020年
  14. “(u)危险的医疗保健系统和医疗器械,增加金融收益的网络入侵”,“FBI网络部门,私营行业通知,未分类,2014年
  15. “内幕威胁的成本2020,”IBM Security,2020
  16. “Dbir报告:医疗保健,”Verizon,2019年
  17. “974,000乌斯医学患者的健康数据暴露3周,”健康IT安全,杰西卡戴维斯,2019年
  18. “媒体声明 - 患者信息违规,”新闻稿,杰克逊健康系统,2016年
  19. “估计研究和开发投资需要为市场带来新药,2009 - 2018年,”Jama Network,2020年
  20. “中国关联黑客是针对美国冠状病毒疫苗研究,FBI警告说,”CNBC,2020年
  21. “国家黑客针对英国UNIS进行#Covid19疫苗研究,”Phil Muncaster,InfoSecurity Magazine,2020
  22. “广泛使用的第三方软件组件中的紧急/ 11网络安全漏洞可能会在使用某些医疗设备期间引入风险:FDA安全通信,”美国食品和药物,2019年
  23. “医疗保健领域的主要网络安全风险[2020年更新],”的信息安全,2020
  24. “87%的卫生机构缺乏安全人员以确保有效的网络态势,”Jessica Davis,健康IT安全,2020年
  25. “数据违规报告亮点的成本,”IBM Security,2019
  26. “15个网络安全统计,诊断生病的医疗保健行业”网络犯罪的杂志,2020年
下载