调查：医疗数据安全处于极度危险水平的五个原因

对医生来说，x光和产生x光的机器是诊断损伤或疾病的有力工具。

对于小偷来说，x光可能是身份盗窃的起点。x光检查包括病人的姓名、出生日期、医院名称，有时还包括账号。网络罪犯可以根据这些信息来猜测居住地，并据此查询财产税和投票记录。

在一份关于医疗数据安全状况的新报告中，Malwarebytes报告称，网络罪犯可以利用病人的数据来创建“合成身份——这是一种新的、独特的身份，它是由来自不同个人记录的数据组合而成的。”他们可以使用这个新身份购买医疗设备、处方药、获得医疗服务，甚至“将患者编号与虚构的医疗服务提供者名称组合起来，以提交医疗保险索赔”。

网络罪犯甚至利用x光机来发动恶意攻击。2018年，赛门铁克(Symantec)发现一个名为“橙色蠕虫”(Orangeworm)的组织一直在x光机和核磁共振成像机上安装Kwampirs后门。

这只是来自Malwarebytes的最新报告《网络犯罪策略与技术：2019年的医疗现状》中可怕的发现之一。

Malwarebytes实验室的主任Adam Kujawa说，医院为网络罪犯提供了很多潜在的入口。

他说:“人们可以坐在医院的停车场里，设置一个假的接入点连接医院的免费Wi-Fi。”“或者你也可以试着破坏医院的网络，只要坐在急诊室的候诊室里用电脑就可以了。”物理访问也很容易，因为所有人都带着手推车和笔记本电脑在医院里转来转去。

Kujawa说:“假设一位医生推着一辆手推车来检查你的手臂，在他看你的时候，我在他的笔记本电脑里放了一个u盘，并安装了一个键盘记录器。”

除了医院环境中的物理脆弱性外，医疗系统的性质使它们成为理想的目标，因为:数百万数据点、大量端点、系统漏洞的普遍性、不安全的程序、较低的IT安全预算。这份新报告着眼于网络罪犯使用什么工具来窃取个人健康信息，并解释了为什么医疗机构是不可抗拒的目标。

据Malwarebytes报道，网络罪犯经常使用特洛伊恶意软件来攻击医疗机构。威胁检测已经从2019年第二季度的14000个端点检测上升到第三季度的20000多个端点检测——增长了45%。Emotet是今年年初最大的问题，而今年下半年，Trickbot的表现更为活跃。

该报告发现，不仅许多医院没有修补WannaCry使用的SMB漏洞，而且许多木马攻击都提供了有效的勒索软件。Malwarebytes的分析师发现，“emotet不仅会将欺骗机器人作为二级有效载荷发射，emotet和欺骗机器人也会在联合攻击中释放出Ryuk勒索软件。”

该报告的作者研究了恶意软件活动的地区差异。西方国家的威胁探测数量最多，去年有近2.4万例，占美国医疗保健探测总量的42%。排名前五的西部州分别是:爱达荷州、加利福尼亚州、新墨西哥州、内华达州和科罗拉多州。中西部、伊利诺伊州、俄亥俄州、威斯康星州、密歇根州和堪萨斯州遭受的袭击最多。

个人健康数据库

当黑客窃取患者数据时，他们得到的不仅仅是一组标准的个人身份信息(PII):完整的姓名、出生日期、社会保险号、地址和电话号码。小偷还能从医疗服务提供者那里获得数据:健康状况、扫描、血液检测结果、家庭和/或基因历史、药物处方和医生诊断。报告作者指出，“与信用卡信息不同，一个人的出生日期、SSN和病史是不可替代的。

系统漏洞的普遍性

Malwarebytes的作者在这一点上直言不讳:持续使用老旧的系统和不受支持的系统被认为是医疗保健仍然容易成为网络攻击目标的首要原因之一。这个问题的一个组成部分是系统升级的缓慢过程。另一个因素是，由于硬件限制或固件支持的终止，许多设备不是终端设备，无法升级。

较低的IT安全预算

Kujawa说，提高安全性的最大障碍是IT预算。他说:“最大的问题是，他们没有足够的资金来保护自己。”“…医疗领域的主要预算决策者——尤其是其董事会和参谋首长——必须将一部分资金用于安全人员、设备、培训、国防软件和服务，否则将继续被威胁行动者窃取。”如果医院不开始为IT人员和安全预算寻找更多的资金来加快升级过程，“……病人、员工和企业本身将继续受到网络攻击的全面打击。”

大量端点

普遍接受的“自带设备”的方法对于确保医院环境来说已经够糟糕的了。当病人和访客设备以及医疗物联网设备被加入其中时，安全风险会变得更加严重。Malwarebytes认为物联网设备，尤其是那些属于员工的设备天生就不安全，因为:它们通常是由没有受过安全代码生成培训的开发人员创建的。他们没有将安全性考虑到产品本身的设计中。它们不能被安全软件保护，因为它们太专业了。它们是不受网络或端点安全保护的个人设备。

虽然医疗物联网有可能改善病人的护理，但像Wi-Fi这样的连接设备对包含EHR和个人健康记录的网络来说是一个巨大的风险。这些设备大大增加了攻击面。

不安全的程序

Malwarebytes报告称，应用程序以几种方式扩展了攻击面：Apps接口并与相关医疗组织的整体安全基础设施进行通信。广告或分析跟踪器的出现增加了处理时间，这可能会增加应用程序的漏洞。并非所有医疗应用程序都必须符合HIPAA。最后，由于许多医疗应用程序与第三方共享数据，“网络罪犯甚至有可能不必违反程序，而是可以让数据进入他们的系统。”

确保下一波数字工具的安全

如果医院不能保证x光和EHR记录的安全，这对医疗环境中更复杂的技术意味着什么?Malwarebytes报告中最发人深醒的部分是“未来关注”部分。

埃隆·马斯克的公司Neuralink正在研究将人脑连接到计算机的技术——人脑/云接口(B/CI)。最初的目的是好的——帮助人们处理大脑和脊髓损伤。在实验室中测试这个接口是一回事，但是将这样一个系统连接到使用有安全漏洞的软件的医院系统是一个完全不同的挑战。

正如Malwarebytes的作者们所问的那样：有可能保护一个联网的人类大脑吗？如果网络罪犯能够将x光机用于邪恶用途，他们肯定会将更先进的医疗技术武器化。

文章及图片来源：

https://www.techrepublic.com/article/five-reasons-healthcare-data-security-is-at-ebola-crisis-levels/

供稿者：杨慕青 编辑：杨慕青

声明：本文来自北邮互联网治理与法律研究中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。