毫无疑问,疫情期间医院以及相关的医疗企业和疾病研究机构都处于人类抗击病毒努力的最前沿。不过很多医疗关键部门会被网络攻击者盯上,来自不同攻击者、出于不同动机的网络攻击急剧增加。
在8月,这种针对医疗保健机构的情况已经非常严重,以至于国际红十字委员会主席向联合国安理会发出了请求:“如果医疗机构的网络安全无法保证,则整个人类都将遭殃。”
医疗保健网络安全状况如何?
让我们首先回顾一下导致医疗保健部门面临来自网络攻击者的高风险因素。
基础设施薄弱,承受着巨大压力
医院的IT基础设施庞大、复杂,而且往往过时。过去,医院和医疗机构不需要像银行、保险公司和重要机构那样遵守严格的网络法规,它们中的许多人都依赖旧的、遗留的系统,缺乏维护这些系统并面临新的安全威胁的合格人力。由于远程工作和与新冠疫情有关的限制,以及对医疗服务的需求不断增长,如今医院的整个IT基础架构都承受着巨大的压力。
流氓设备风险
此外,医院和护理机构被迫在一夜之间实施远程监控技术,以应对无法实地看病的需求。这意味着他们必须要购买现成的IT设备、通信设备(例如家庭路由器)、IP摄像头和其他传感器,所有这些都连接到本地网络。这意味着,在没有进行适当的尽职调查的情况下,这些外来设备就被引入到敏感环境。许多这些设备都有默认凭据,可以作为远程网络的入口点。
远程医疗风险
新冠疫情还加速采用远程健康(又称远程健康)、健康应用程序和远程监控设备。不过根据研究人员的分析,采用这些技术的速度太快还没有进行适当的渗透测试和验证,这意味着攻击面会呈量级增加。
第三方风险
医疗保健机构会与众多第三方供应商(供应商、服务提供商、州和联邦机构、大学和非政府组织)合作,由于很难确保所有这些提供商都达到相同的网络安全标准,因此供应链存在巨大风险,这是攻击者经常利用的攻击点。
美国最大的儿童医疗保健组织之一,明尼苏达州儿童基金会(Children's Minnesota)最近宣布,由于云软件公司Blackbaud此前遭到黑客攻击,已有16万多名患者的个人数据遭到了泄漏。原来,这次数据泄漏发生在今年5月, Blackbaud遭遇勒索软件和数据泄漏攻击,泄漏了大量数据,影响到的大学和非营利组织比最初想象的要多。
即使是专门雇用来协助安全操作的供应商,有时也会犯错并造成严重后果。例如,LITE EMERGENCY PHYSICIANS聘请了第三方供应商来安全处理近20年的医疗记录。然而,这些记录却被丢弃在一个本地转储站点,这导致了大约55000名患者的详细信息发生大规模数据泄漏。
工作人员的疲惫和薄弱的安全文化
劳累过度的专业人士更容易犯错误,这已经不是什么秘密了。外科手术和网络安全都是如此。医护人员并非一开始就拥有最佳的网络安全实践:一项研究发现,当医生离开诊所去治疗病人时他们也很少锁定工作站。再加上他们繁忙的医疗任务,一个人的错误可能会使整个组织处于危险之中。
上面讨论的所有因素都导致医疗机构遭受网络攻击的严重影响。
在疫情期间,针对医疗保健的网络攻击是如何发生的?
在过去的7到8个月里,针对医院的网络攻击,特别是勒索软件攻击的数量和严重性都有所增加。至少41家医疗服务提供商在2020年上半年遭遇勒索软件攻击,自那以后,越来越多的医院成为攻击目标。今年9月,医院遍布美、英的美国最大连锁医院Universal Health Systems(UHS)遭到勒索软件攻击IT系统,系统遭瘫痪多时,医院也被迫将急诊病患转院。目前受影响的医院遍及亚利桑纳州、加州、乔治亚、宾州、佛州等地。被勒索软件加密的文件皆有.ryk的文件扩展名,而且从黑客留下的勒索消息语法来判断,作乱的可能是知名勒索软件Ryuk。根据分析,Ryuk可能是经由钓鱼信件诱使用户打开,而进入UHS的计算机系统中。
攻击几乎总会导致数据泄漏
考虑到更具攻击性的勒索软件和其他窃取数据的恶意软件,几乎每一次成功的网络攻击都会导致数据泄露也就不足为奇了。
据HIPAA Journal称,在网络攻击和数据泄漏中受到攻击的记录数量正在增加,另外成本也在上升。 IBM的一项研究发现,医疗保健数据泄漏的平均成本在全球范围内约为713万美元,在美国为860万美元,同比增长10.5%。
有史以来第一次与网络有关的伤亡
长期以来,人们一直猜测黑客将有一天会破坏医疗设备并对患者造成伤害。就在今年9月,德国杜塞尔多夫一家医院遭遇勒索软件攻击,导致一名患者被转移到附近的医院后死亡,德国当局正在调查此事。这名患者是一名需要紧急治疗的女性,被送往伍珀塔尔市的一家医院后死亡,那里距离她最初的目的地杜塞尔多夫大学医院有30多公里远。杜塞尔多夫医院无法接待她,因为医院正在应对一场勒索软件攻击。9月10日,勒索软件攻击攻击了该医院的网络,导致30多台内部服务器被感染。这是有史以来第一次因称勒索软件攻击间接导致人类死亡的报道。德国当局目前正在调查这名病人的死亡。德国警方表示,如果发现勒索软件攻击和医院停机是这名女子死亡的直接原因,那么他们计划将调查定义为一宗谋杀案。
阻碍了寻找新冠疫苗的努力
全世界都在急切地等待一种新冠疫苗,以帮助结束这种大流行,然而许多研究项目在进行中,都受到了攻击者的关注。比如来自美国的黑客似乎走了一条“捷径”,试图窃取新冠疫苗的研究成果。今年10月,勒索软件攻击袭击了医疗软件公司eResearchTechnology(ERT),该公司为全球制药公司提供进行临床试验(包括COVID-19疫苗试验)的工具,因而对包括施贵宝、阿斯利康、辉瑞和强生等公司进行的多个新冠研究项目造成潜在影响。据报道,由于研究人员被迫改用笔和纸来跟踪患者数据,过去两周对ERT公司的网络攻击使这些试验的速度减慢了。
保护医疗保健免受网络威胁
随着医疗保健网络安全状况的恶化,一些国际。国家和私人机构都在试图改善这一状况。
以色列宣布了一项保卫医院的国家计划,英国设立了一个基金,提供免费的政府网络认证和培训。援助医疗保健部门的也不仅是各国政府。CTI League是今年3月成立的全球第一个保护与疫情相关医疗机构、处理其安全漏洞的志愿者应急响应团体,由3000多名网络专家组成。,成员包括网络威胁情报专家、事故响应队员、行业专家与执法机构代表。CTI League对医疗机构的服务是无偿的,主要包括4项内容:进行中网络攻击的处理(合法方式破坏犯罪分子发动网络攻击的能力或引入执法机构参与)、网络攻击的预防(发现漏洞、建立网络威胁数据库和提供警告)、对医疗相关部门网络的支持(提高网络安全能力、提供技术指导等)以及对潜在网络危险的监控。民间志愿者组织与执法机构携手合作的模式大大提高了CTI League的效率,根据该组织发布的报告,CTI League仅成立一个月就协助执法机构处理了近3000个网络犯罪案件,发现了2000多个医疗机构的系统漏洞并向其发出提醒。至今已有来自超过80个国家、跨越21个时区的1500多名志愿者加入,这意味着每有情况发生,都有成员在线准备好随时采取行动。
以下是一些可以立即改善医疗保健机构网络安全状况的事情:
1.安全意识和电子邮件安全:许多网络攻击利用了在医疗机构工作的人员,提高意识将减少他们下载可疑文件或点击可疑链接的机会,最近针对医疗保健机构的攻击案例如此之多,因此创建一个真实的网络钓鱼模拟应该不是很困难。
2.面向互联网的设备:电子邮件不是唯一的攻击媒介,许多网络攻击利用开放端口和远程访问协议。仅应将必要的端口开放到互联网。事实上,研究人员发现,脆弱的RDP端口使勒索软件攻击成功的可能性增加了37%,而且某些黑客专门在暗网窃取和出售RDP证书。
3.凭据盗窃:一旦进入到受害者的设备,攻击者就会利用Mimikatz等现成的工具来访问服务器并在网络中传播。这些利用积极的密码喷雾和其他凭据窃取技术它们利用侵略性的密码喷洒和其他凭证窃取技术,设置可靠的密码将降低攻击成功的机会。
4.终端安全性:终端是进入网络的关键渠道,必须在所有终端和服务器上都拥有先进的终端安全解决方案,以提高医疗机构的网络安全性。
本文翻译自:https://www.sentinelone.com/blog/healthcare-and-cybersecurity-in-the-time-of-covid-19/如若转载,请注明原文地址: