在2020年我们与COVID-19病毒作斗争的同时,其他感染也在发生,虽然是在数字系统中。我们当然是在谈论网络攻击。这些攻击涉及数字病毒感染IT系统,干扰潜在的挽救生命的过程,直到支付赎金为止。谚语说,盗贼之间也没有荣誉,甚至在大流行期间也是如此。的确,全球技术公司Acronis指出,COVID-19爆发初期勒索软件案件有所增加。
从2016年到2021年,医疗保健机构遭受的每年勒索软件攻击数量从43增至91,暴露了近4200万患者的个人健康信息。几乎有一半的勒索软件攻击干扰了医疗保健的提供,最常见的问题包括电子系统停机、取消预定的护理和救护车分流。
通过解密勒索软件进行反击
如果我们访问HIPAA的网络安全页面,会发现关于这类案例的新闻报道比比皆是。虽然这些攻击似乎越来越针对大型医疗保健机构,但对于小诊所而言,它们可能毁灭性。
然而,在与这些攻击作斗争方面,出现了一个令人振奋的新进展。一个位于俄亥俄州的240张床位的医院遭受了网络犯罪分子的袭击,他们成功地入侵了该医院的网络,并加密了包括电子健康记录(EHR)系统、患者预约服务和管理套房系统和医疗设备的域控制器等关键系统。
像这样的网络攻击会在地区范围内引起混乱和紧急情况,导致每个人都面临更长的等待时间和不堪重负的急诊科。
根据Nubeva的这个案例研究,使用他们的LockBit解密工具,“该医院成功地逆转了加密,快速恢复了关键系统的功能。(…)这一干预减少了数据损失,消除了支付昂贵赎金的需要,从而为医院节省了大量的资金。”据Nubeva称,医院将恢复时间从平均21天缩短为4天。
关于网络威胁的讨论在医疗领域中是至关重要的,以便更好地应对和防止它们。随着世界越来越倾向于数字解决方案来应对资源短缺,这个问题尤其令人担忧。
然而,这些讨论不应仅仅围绕加强IT基础设施与反恶意软件展开。因为除了技术组成部分外,黑客入侵医疗设施在很大程度上也涉及社会组成部分。让我们来揭示其中的奥秘,并考虑我们可以采取的额外措施,进一步保障我们的医疗机构及其珍贵的数据。
勒索软件在医疗保健中的大趋势
勒索软件”感染”并非通过病原体,而是由黑客进行的。后者使用恶意软件或数字病毒感染IT系统,对关键文件进行加密。这些攻击会使整个基础设施瘫痪,因为信息在支付所需赎金前是无法访问的,通常是通过加密货币支付。
这些对医疗保健机构的网络威胁在疫情期间之前就已普遍存在。2017年发生了一起高调的事件,61家英国国家卫生服务(NHS)机构遭到WannaCry攻击,导致手术和临床预约取消,医院失去了互联网连接,急诊室也被转移了患者,甚至在事件发生一周后仍然如此。但这个趋势在之后的几年里仍在持续。
一些网络威胁可能会产生长期的后果。一个例子是对Rangely区医院进行的勒索软件攻击,这是一家非营利性的关键性医院。它让5年的患者记录无法访问。
不仅仅是事件的数量在增加,赎金的要求也在增加。根据HIPAA的统计数据,2021年,医疗保健行业的平均赎金支付金额为19.7万美元,比2020年增加了33%。同样,杀毒软件公司Emsisoft发现,从2018年起,平均赎金要求从5000美元增加到20万美元,要求数百万美元赎金的情况越来越普遍。
随着这些令人担忧的趋势不断加剧,医疗保健机构的管理者应该更好地装备自己以防范网络犯罪。为此,我们必须理解这不仅仅依赖于技术方面,社会方面在黑客入侵医疗机构中也起着非常重要的作用。
社会工程学:打开网络攻击的通行证
在考虑网络攻击时,脑海中浮现的形象可能是在《黑客军团》或《黑客帝国》中描述的对技术精通的黑客。然而,这在流行文化中流行的观点并不是问题的全部。事实上,在网络攻击中,社会工程学或社会黑客攻击起着重要作用。
HIPAA公布了一些令人震惊的统计数据:
超过90%的针对医疗保健行业的网络攻击采取的是网络钓鱼欺诈形式 在一项模拟网络钓鱼攻击的研究中,近1/7的虚假网络钓鱼邮件被医疗保健员工点击 只有16%的医疗保健员工相信他们了解社会工程学网络安全威胁的风险 45%的医疗保健网络安全专业人员表示,网络钓鱼攻击是导致他们组织遭受严重数据泄露的原因。 71%的事件涉及普通电子邮件网络钓鱼,67%涉及专门网络钓鱼,27%是声音网络钓鱼(vishing),27%是骗局,23%是商业电子邮件妥协,21%是短信网络钓鱼,20%是网络钓鱼网站,16%是社交媒体网络钓鱼,3%是域名欺骗,2%是深度伪造。
与其利用技术漏洞,社会工程学或社会黑客攻击是通过利用人类心理学上的弱点来绕过安全技术。著名黑客凯文·米特尼克(Kevin Mitnick)将人类称为”任何安全系统中最薄弱的环节”。米特尼克在20世纪90年代推广了”社会工程学”这个术语,而他的欺诈行为示范了如何通过这种方法突破技术系统。
例如,他在1979年访问了Digital Equipment Corporation的操作系统开发服务器。他假冒其中一名首席开发者,通过电话请求重新提供登录凭据,并立即获得了新的凭据。
从那时起,情况几乎没有改变。2016年,类似的方法被用于控制美国司法部(DoJ)的电子邮件地址。黑客冒充新员工,巧妙地说服一个帮助台同事提供了DoJ内部网络的访问令牌。
因此,在考虑采取措施来遏制网络威胁时,教育员工有关他们可能被欺骗的方式也是至关重要的。在下一节中,我们将探讨在这方面可以采取的措施。
适当的保护在于人,而不仅仅是技术
当然,为医疗机构的计算机系统提供安全保护将需要投资适当的技术工具。我们之前曾与匈牙利数据隐私公司Tresorit的创始人兼首席执行官Istvan Lam进行过对话,他强调了这一点。Lam解释说:“预防的关键在于两点,首先,医疗机构应该使用带有反勒索软件保护的防病毒软件来保护自己。其次,每个人都及时更新操作系统和软件应用程序。”全球每年已经在这些工具上花费数千亿美元。但是,将其中的一小部分用于教育员工有关社会工程学的风险也是必要的。事实上,即使首席执行官也不免遭受此类网络威胁,正如安全公司Rapid7所示。在该公司进行的模拟网络钓鱼攻击中,与会的45名首席执行官中有75%的人至少受到了一次网络钓鱼攻击。
值得庆幸的是,有一些方法可以应对社会工程学攻击,以下是一些示例:
- 增加对网络安全威胁的了解
- 增加网络安全意识的一个方法是通过频繁的模拟来增加对这些威胁的接触。在网络安全事件中,Rapid7注意到暴露于可疑活动的人对随后遇到的类似活动有强烈的报告冲动。
- 让员工相互熟悉
- 其他专家建议将所有人,从高级管理层到新员工,都纳入关于网络威胁的培训和意识培养中。因为往往是组织中的新手被骗以为他们正在与高层执行官交流,讨论需要绕过正常协议的紧急问题。
- 提高对可疑活动的警惕
另一种应对网络威胁的简单方法是训练员工识别并报告可疑活动。攻击者使用的某些方法,例如首席执行官的个人电子邮件地址发送的电子邮件,应立即引起警觉。
除了员工意识培训外,医疗保健组织还可以采取以下几项措施来提高其网络安全态势。 这些包括:
- 投资于强大的网络安全解决方案,例如防火墙、防病毒软件和入侵检测系统。
- 将其 IT 基础设施保持为最新的安全补丁。
- 通过细分网络来减少网络攻击的影响。
- 实施强密码策略和多因素身份验证。
- 进行定期安全评估。
通过采取这些措施,医疗保健组织可以显着降低被网络攻击的风险。 这将有助于保护其患者数据、其财务信息和其知识产权。
其他考虑因素
除上述内容外,医疗保健组织还应考虑以下几点:
- 使用云 based services 可以提高可扩展性和灵活性,但也引入了新的安全风险。
- 医疗工作者使用移动设备的 increasing use 也可能增加网络攻击的风险。
- 需要遵守各种法规,例如 HIPAA,这会增加网络安全工作复杂性。
通过仔细考虑所有这些因素,医疗保健组织可以开发一个全面的网络安全战略,该战略将有助于保护其患者和数据。
结语
网络安全是数字时代医疗保健提供的必不可少的部分。 通过投资于员工网络安全意识培训和其他安全措施,医疗保健组织可以显着降低被网络攻击的风险。 这将有助于保护他们的患者、他们的财务和他们的声誉。
因此,医疗保健中的网络威胁不容忽视。为了保护我们的医疗设施和患者,必须充分加强该问题的社会和技术两个方面。普通患者应要求更多的数据安全保护,医务人员和管理层应认真对待这些要求,并熟悉网络犯罪方法,以更好地对抗它们。
