新冠疫情下医疗系统的网络安全问题及措施建议

天地和兴工控安全研究院

当互联网+医疗时代的来临，医疗信息化程度越来越高，伴随而来的网络安全问题也日益突出，尤其是随着网络规模的不断扩大，整个系统面对的安全风险也越来越大。在当前新型冠状病毒大流行导致全球卫生危机的背景下，医疗机构已经成为网络攻击的首要目标。随着全球疫情防控形势的严峻和复杂化，网络犯罪分子利用危机的新闻传播恶意软件、进行网络钓鱼，甚至利用医疗用品和有关新冠病毒大流行引起的恐慌进行网络欺诈。医院和诊所、制药机构以及医疗设备的制造商等众多机构成为攻击目标，攻击者可能会传达医院需要采取的程序，可以预防或治疗感染的药物，甚至据称仍有库存的医疗用品等信息。网络犯罪分子会不择手段地诱骗用户安装各种恶意软件，网络攻击形势也日益严峻。因此，医疗卫生机构如何有效降低安全风险，强化网络安全管理，显得尤为重要，特别是医疗信息中的财务数据、电子病历、患者隐私、核心技术等都会经常受到各种病毒木马攻击，一旦遭到泄露，将会给医院带来巨大的灾难和难以弥补的损失。

近期Orange Cyberdefense发布的针对covid-19大流行期间，医疗机构面临网络攻击的形势分析报告，结合其中深厚的行业知识和网络知识，我们梳理总结网络安全对医疗机构的影响、当下医疗机构面临的典型攻击及后果、以及医疗机构应该采取的应对措施。以期引起各方对医疗卫生行业网络安全态势的关注,进一步增强网络安全防范意识，提升网络安全建设能力和水平。

一、 网络安全对医疗机构的影响

与其他行业相比，医疗卫生网络安全计划缺乏成熟度，医疗卫生行业在所研究行业中的外部安全状况最差。医疗卫生组织倾向于拥有许多不定期打补丁的不同系统，并且医疗卫生组织的关键性质使它们容易受到攻击者的关注。

与通常黑客感兴趣的目标如银行/金融或电子商务等相比，医疗卫生部门有时不见得进入黑客的视野。在当前COVID-19爆发的情况下，一些最活跃的勒索组织，将继续在危机期间针对医疗卫生机构开展攻击活动，目标包括医院、癌症中心、妇产医院和其他关键的社会目标。

医疗机构必须高度警惕，由于患者数据的敏感性，医疗卫生是对于黑客团体具有吸引力的行业。据路透社的报道指出，黑市上医疗卫生数据的财务价值比其它行业的数据价值可高出十倍。为了支持医疗专家、商业领袖和IT专家做出最佳决策，我们提供了医疗生态系统如何应对网络犯罪的丰富概述，以及提高安全性的实用方法。

(一)勒索软件的影响

安全专家多年来一直在谈论这个行业的缺陷，直到2017年WannaCry袭击事件，使其对现实世界的影响变得明显。

● 2017年5月－WannaCry对英国国家卫生局的影响

• 英格兰236家信托基金中有30%受到影响

• 603家初级保健信托受到影响，包括全科医生手术

• 英国公费医疗体系（NHS）估计取消的预约总数约为19,494人，其中包括至少139名“潜在癌症紧急转诊”患者

• 1200多件诊断设备被勒索软件感染

• 断开连接以防止感染扩散的其他设备

• WannaCry暴露了医疗卫生的安全弱点，吸引了攻击者更多的兴趣。一场新的医疗数据淘金热开始了。

● 2018年7月－美国Cass地区医疗中心勒索软件攻击

• 由于受到勒索软件攻击，医疗中心被迫转移了创伤和中风患者

• 组织的EHR提供者关闭了EHR系统，直到系统安全为止

● 2018年11月－俄亥俄州东部地区医院和俄亥俄谷医疗中心（美国）遭到袭击

• 由于袭击，将患者转移到该地区的其他医院

• 医院无法从关键临床系统传输信息到其数据库，只能改为手写处方以进行患者护理并控制感染

(二)数据泄露的影响

来源：ENISA威胁态势报告2018 / 2019 BakerHostetler数据安全事件响应报告

来源：2019 BakerHostetler数据安全事件响应报告

尽管对于业内人士来说可能并不那么明显，但是医疗卫生领域的IT领导者知道临床工作流程深深地依赖于网络安全。数据泄露可能会破坏依赖健康信息技术的护理流程。修复漏洞的财务成本也可能会将资源从患者护理中转移出来。

因此，遭到破坏的医院应谨慎地将投资重点放在安全程序，流程和健康信息技术上，以共同带来更好的数据安全性和改善的患者结果。

针对医疗卫生组织的网络事件中风险最高的数据：

来源：2019 erHostetler数据安全事件响应报告

(三)攻击导致的财务影响

攻击者不择手段地利用许多医疗程序固有的紧迫性来勒索组织。因为生死攸关，受害者有时会屈服于压力，支付赎金。

每年创纪录的赎金支付额都在增加，从2018年的25万美元增加到2019年的100多万美元。

来源：2019 BakerHostetler数据安全事件响应报告

网络攻击对医疗行业的金融影响，不仅限于赎金和商业后果。罚款的数量和价值也有所增加。

2018年，HIPAA处罚创下新纪录。整个2018年，民权办公室共处以28,683,400美元的罚款。与2016年创下的纪录相比增长了22％。

在这种情况下，医疗卫生机构的IT和安全专家可以利用有关该行业不断增加的数据量，构建业务案例，以增加安全性支出。这一点尤其重要，尤其是在高层管理人员面前，他们优先考虑的是商业影响。

安全能够影响整个医疗机构，从核心流程到与服务提供者和监管机构的关系。一个强大的网络安全计划可以提高业务表现，以及更好的安全态势。一个健康的医疗网络系统可以把技术工具、流程和网络安全教育都集中在一起，这种多米诺骨牌效应在提高患者安全性方面尤其明显。

二、 当下医疗机构面临典型攻击及后果

自从新冠病毒大流行以来，医护人员很容易成为目标，因为他们正在寻找尽可能多的答案和有关情况的信息。这使他们成为网络钓鱼攻击的主要目标，网络攻击者试图从这次全球卫生危机中获利。当前主要的攻击手段有勒索软件攻击和以COVID-19为主题的鱼叉式网络钓鱼攻击。

(一)勒索软件攻击

医疗卫生组织必须保持高度警惕:据报道，医疗卫生部门遭受了数次网络攻击。医院的安全性较低，由于能够出售大量个人数据用以牟利，这对于黑客组织有很大的吸引力，特别是因为病人数据的敏感性。被盗患者数据的信息包括姓名、出生日期、保单号、诊断代码和账单信息等。攻击者可以使用这些数据来创建伪造的ID，以购买可以转售的医疗设备或药品，或者将患者编号与虚假的提供者编号相结合，向保险公司提出虚假索赔等等，这就使得医疗数据比信用卡号码更有价值。在这方面，路透社的一份报告指出，医疗卫生患者数据的金融价值可能是黑市信用卡号码的十倍之多。

2017年，作为全球网络攻击的一部分，一些英国医疗机构成为勒索软件的受害者，要求支付赎金才能检索其数据。这次袭击同时针对16个依赖英国公费医疗服务体系（NHS）的实体，扰乱了计算机的使用，导致病人拒绝接受治疗，一些机构被迫取消或推迟医疗程序。不过，英国首相明确表示，此次袭击“并非仅针对英国国民健康保险体系”。据报道，欧洲、墨西哥甚至美国不同国家的各种组织也受到了影响。事后查实WannaCry是勒索软件对这次网络袭击的罪魁祸首。

2018年，SamSam勒索软件在美国至少袭击了两家医院，2019年，Ryuk勒索软件袭击了医院。为此，阿拉巴马州的DHC医院不得不支付赎金，以获得一个解密密钥，从而解锁医疗数据。

目前使用勒索软件的网络罪犯已经攻击了一些参与抗击新冠病毒的医疗机构。捷克共和国的布尔诺大学医院就是其中之一，这所大学拥有该国最大COVID-19 研究实验室之一。但是，由于恶意软件攻击，整个IT 网络都被关闭，从而影响了医院的其他部门。这种攻击会使本来就很紧张的医务人员更加焦虑。伦敦的Hammersmith 医药研究所也是其中之一。尽管Hammersmith 成功击退了攻击，并且没有造成停机，但攻击者发布了他们窃取的一些医疗数据。

(二)利用 covid-19的网络攻击

而随着新冠病毒疫情（COVID-19）在全球蔓延，实际上，还有其他威胁行为体试图利用这场全球卫生危机，制造一个恶意软件或发动以COVID-19为主题的攻击。流行病学和信号智能实验室根据OSINT资料和调查制作了这张地图。

来源 : Laboratory of Epidemiology and Signal Intelligence – Orange Cyberdefense

( 1 ) 冠状病毒数据地图传播的恶意软件

约翰·霍普金斯系统科学与工程中心（CSSE）的“活冠状病毒数据图”被用作传播恶意软件的诱饵。

https://securityaffairs.co/wordpress/99446/cyber-crime/coronavirus-map-delivers-malware.html

恶意网站（可能还有垃圾邮件）正在使用此交互式仪表板传播窃取密码的恶意软件。据Krebsonsecurity.com报道，“数个俄语网络犯罪论坛的一名成员开始销售一种数字冠状病毒感染工具包，该工具包使用hopkins互动地图作为基于Java的恶意软件部署计划的一部分。如果买方已经有了Java代码签名证书，这个工具包的价格是200美元；如果买方只想使用卖方的证书，这个工具包的价格是700美元。

这个诱饵很逼真。它充当了一个完整的冠状病毒感染区域的工作在线地图，该地图是“可调整大小的，交互式的，并且有来自世界卫生组织和其他来源的实时数据”。感染者或组织的数量尚不清楚，但Malwarebytes实验室的安全专家警告称，一些新的恶意网站使用了同一地图的互动版本，以吸引注意力并分散访问者的注意力，同时这些网站试图推销盗取密码的“AZORult”恶意软件。

还有针对Android智能手机的COVID-19地图恶意软件应用。最近，一些安卓手机（通常是通过短信或水坑网站）收到了一款追踪冠状病毒的应用程序链接。一旦该应用程序被下载，怀疑在利比亚活动的人可以通过智能手机摄像头监视、获取短信、或通过麦克风监听。被识别出的恶意软件是SpyMax的一个定制版本，这是一种商业间谍软件，很容易在网上免费获得。

另一个安卓应用也被域名工具检测到，使用相同的COVID-19地图作为诱饵，但这一次导致手机锁定，并要求勒索软件支付解锁。这个勒索软件叫做 covidlock。

( 2 ) 以COVID-19为主题的短信网络钓鱼攻击

2020年3月16日，一个恶意的网络攻击者在美国注册了一个以COVID-19为主题的网站。此后不久，澳大利亚的公众开始报告，称他们收到的短信被转发到一个恶意网站。这条短信似乎是政府发来的。这种技术旨在提高邮件的合法性和收件人单击链接的可能性。

澳大利亚网络安全中心（ACSC）的评估表明，该网站托管了一个针对Android设备的知名银行木马（Cerberus），旨在窃取人们的财务信息。这种形式的恶意软件很容易通过网络犯罪论坛在线购买。

( 3 ) 以COVID-19为主题的网络钓鱼电子邮件攻击

这是一封以COVID-19为主题的网络钓鱼电子邮件的示例，发件人假装是一个知名的国际卫生组织，邀请收件人单击链接，以访问有关其本地区COVID-19病毒新病例的信息。

澳大利亚网络安全中心（ACSC）还收到了关于COVID-19网络钓鱼邮件的报告，这些邮件包含恶意Word文档或其他包含嵌入式计算机病毒的附件。

网络钓鱼邮件冒充来自世界卫生组织，并邀请收件人打开附件，以获取有关防止COVID-19传播的安全措施的建议。打开后，附件中包含自动下载到收件人设备上的恶意软件，从而为攻击者提供持续访问权限，这种权限通常用于安装其他类型的恶意软件，例如间谍软件（用于跟踪用户所做的一切）或个人联系信息（目的是通过进一步的骗局攻击朋友和家人）。

(三)医疗机构遭受网络攻击的后果

短期内，业务连续性的中断可能会给患者带来健康风险。通常，勒索软件通过电子邮件在未更新的计算机上传播。一旦机器受到污染，恶意软件就会渗透到本地网络并污染所有易受攻击的计算机。

无法使用所有的电脑，危急了医院的正常运作。因此，一些处于紧急状态的病人可能会被拒绝入院，医院和药房的现有药品库存状况也可能被加密，从而扰乱药品的适当分配。如果无法获取有关患者健康和治疗的数据，可能会导致无法对其进行正确治疗。

从长远来看，关闭一家医疗机构会带来重大经济损失的风险，因为在网络攻击得到控制、损害得到修复之前，这项服务无法运作。修复的费用在短期内也可能非常高(数据重建、病毒净化、额外的操作费用等等)。

在COVID-19大流行的情况下，如果医疗机构数据的机密性受到威胁，不能向重病患者提供紧急护理，也有可能引起广泛的患者关注，甚至恐慌。

三、 措施及建议

为了避免网络攻击，保障医疗核心业务的安全、稳定运行，医疗机构应该从被动方式转变为主动方式进行风险防范管理。具体应该围绕资产清单数据管理行为跟踪、行为跟踪和工作流关联、设备分组和微分段治理、实时的异常监控等方面的最佳实践来改进提高。

(一)资产清单

对连接到网络的所有设备（包括医疗设备，OT设备和IoT设备）进行实时核算。从安全角度来看，维护网络上每个连接设备（尤其是处理机密医疗信息的设备）的实时视图至关重要。

标准的CMMS或资产管理解决方案可以捕获设备的制造商、型号、位置和辅助详细信息。但是，出于网络安全的目的，将需要更精细的计费。还需要捕获与操作系统、嵌入式软件、通信协议、临床功能和连接性有关的详细信息--MDS2数据可以使图片更加完美。

(二)跟踪与情境化

除了基本标识之外，还应跟踪和分析设备行为。应观察并记录流量频率、容量、协议、源（内部或外部）、地理位置、实体特征和其他因素，以创建通信配置文件。

连同资产清单捕获的有关设备预期功能和连接性的信息，根据设备类型和网络位置，此配置文件随后可用于建立正常行为的基线。进一步的观察可以帮助提高有意义的异常偏差阈值。

所有这些都将有助于以一种可以测量和管理的方式将数字表示设备的临床和网络环境中。这也为设备分组奠定了基础。

(三)设备分组

匹配一致的设备通信配置文件、基线和偏差规范，您将开始注意到性能相似的设备集群。这将为您提供更好的方法，近距离了解临床相关的设备，这些设备应遵循类似的网络安全策略。

重要的是，将已连接的设备清单划分为可以在相同网络限制下安全运行的类似设备的较小分组。进行分组时应牢记设备的预期功能以及设备可能遵循的任何合规性要求。

最终，这些小组将为您的细分体制提供基础；反过来，它将为整个网络安全态势提供支撑。

这不仅将使应用定制的安全策略变得更加容易（将攻击面降至最低），而且在设备生命周期的不同阶段（例如更新和打补丁）也将使管理这些设备变得更加容易。

(四)微分段

事实是，当今大多数医院从未在其网络体系结构中构建适当的基于风险的分段。

这种放任自流的网络安全方法不仅会带来不必要的网络风险，而且还会带来极大的运营效率低下。根据设备类型、特征和功能对网络进行分段，医院可以简化安全策略的实施，并简化合规性管理。

同样重要的是要记住，实际上，每个网段的安全性仅与其暴露程度最高的设备相关。因此，包含敏感设备的分段需要更严格的管理，但并不意味着对包含敏感度较低的设备进行更宽松的管理。在实践中，一个很好的例子是从包括医疗设备在内的安全组中排除连接互联网的设备。连接Internet的设备可能会暴露给恶意主机，并且更有可能遭受攻击破坏。

定制分段的安全策略时应考虑几个目标，具体包括：

一是限制设备之间的访问（横向通信）：

应配置网络以限制设备之间的任何不必要的访问。可以通过NAC或内部防火墙规则和/或阻止除医院工作流程必需的端口和协议之外的所有端口和协议来完成此操作。通过限制设备之间的访问，能有效阻止病毒的传播，降低ePHI暴露的风险。

二是仅允许关键的互联网流量进入网络：

除非医院正常的工作流程和/或设备的预期功能需要，否则阻止所有Internet流量进入医院的内部网络。此外，无论在何处使用VPN，管理员都必须确保已应用所有相关补丁，并对流量进行适当加密。

三是创建互联网域名白名单：

将批准的Internet域名白名单添加到防火墙的配置中。这是将网络外通信限制为针对有效实体（例如，供应商验证的记录域，用于推送软件更新）的有效方法，从而最大程度地减少了攻击面并使敏感信息处于安全保护之下。

四是限制用户对应用程序的访问：

基于角色和基于用户的访问控制可用于为整个医院增加额外的安全性。通过用户对应用程序访问权限的限制，可以有效地确保患者信息保持机密，并且在医院的内部网络中找不到新的后门。

五是创建量身定制的网络访问策略：

只有通过对网络的研究，管理员或安全专业人员才能真正了解网段、端点和流量，分清哪些通信是合法的，并且是医院持续有效运营所依赖的通信。

要精确地知道在哪里划界线，从而完全消除不适合功能的通信。在这里，正确的工具和技术会产生很大的不同--只需单击几下鼠标或执行一次sisyphean任务，定制的网络访问策略之间的区别就清楚了。

六是确保对互联网绑定的医疗数据进行加密：

实施防火墙策略和VLAN配置，以确保在往返内部网络的过程中对医疗信息进行加密。这应该包括阻止对未加密的医疗协议及其端口的访问。此外，还可以采取措施保护该部门的形象和管理危机。

在过去的一年中，全球医院的网络攻击有了大幅度增长，毫无疑问，对于医疗卫机构而言，安全是绝对优先的。同时也应清醒地意识到，随着网络风险的爆炸式增长，医疗卫生机构将会继续成为攻击的目标。

关于Orange Cyberdefense

Orange Cyberdefense是Orange集团的专业网络安全业务部门。作为欧洲的安全提供商，一直致力于建设更安全的数字社会。Orange Cyberdefense在信息安全方面保持了25年以上的记录，250多名研究人员和分析师在全球分布了16个SOC、10个CyberSOC和4个CERT，并在160个国家提供销售和服务支持。公司旨在利用本地专业知识提供全球保护，并在整个威胁生命周期内为客户提供支持。

参考来源

1.https://businessinsights.bitdefender.com/healthcare-cybersecurity-ecosystem-overview-numbers

2.https://cointelegraph.com/news/global-cybersecurity-league-formed-to-fight-hospital-ransomware

3.https://gbhackers.com/coronavirus-themed-attack/

4.https://www.bleepingcomputer.com/news/security/covid-19-testing-center-hit-by-cyberattack/

5.https://threatpost.com/spearphishing-campaign-exploits-covid-19-to-spread-lokibot-

6.infostealer/154432/

7.https://securityaffairs.co/wordpress/100728/cyber-crime/coronavirus-phishing-attack.html

8.https://www.digitalhealth.net/2017/10/wannacry-impact-on-nhs-considerably-larger-than-previously-suggested/

9.https://www.reuters.com/article/us-cybersecurity-hospitals/your-medical-record-is-worth-more-to-hackers-than-your-creditcard-idUSKCN0HJ21I20140924

10.https://www.cyber.gov.au/threats/threat-update-covid-19-malicious-cyber-activity

11.https://www.zdnet.com/article/australian-government-advice-on-how-to-avoid-coronavirus-related-scams-and-cyber-threats/

12.https://www.securityweek.com/google-sees-drop-government-backed-phishing-attempts

13.https://www.zdnet.com/article/coronavirus-misinformation-is-increasing-newsguard-finds/

14.https://www.cyberscoop.com/czech-hospital-cyberattack-coronavirus/?category_news=healthcare

Orange Cyberdefense：The threat of cyberattacks on healthcare establishments during the COVID-19 pandemic

15.VISION：A Review of Major IT & Cybersecurity Issues Affecting Healthcare, CyberM

16.https://www.digitalhealth.net/2017/10/wannacry-impact-on-nhs-considerably-larger-than-previously-suggested/

声明：本文来自关键基础设施安全应急响应中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。