当前医疗行业是网络犯罪分子的首要攻击目标,许多知名组织都曾遭受到严重攻击。
2024年2月,美国健康保险巨头联合健康集团旗下的Change Healthcare公司遭到网络犯罪分子的入侵,入侵者获取了可能涉及数亿人的敏感健康数据。数月之后,美国第二大医疗集团Ascension的电子健康记录系统也被入侵,入侵者窃取了数量尚未公开的患者个人信息。
这两起事件不仅带来了巨额经济损失,还严重干扰了医疗服务的正常运行。Change Healthcare公司表示,该事件已给其造成超过23亿美元的损失。
这两起攻击均采用了网络犯罪领域最为常见的手段,如网络钓鱼和勒索软件。因此,医疗机构必须提高警惕,深入了解并有效防范各类网络攻击,同时深入分析这些攻击手段为何能够持续奏效,以便制定更为有效的安全策略,确保患者数据的安全与隐私。
网络钓鱼是指发送看似无害但包含恶意链接的电子邮件的行为。为了诱使收件人点击链接,攻击者可能会伪装成医疗行业的权威机构或借热门医疗话题,增加可信度。
当收件人点击链接时,便会跳转至一个高度仿真的登录页面,该页面设计得与正规登录界面极为相似。一旦收件人在不知情的情况下输入登录凭证后,攻击者就可以利用这些信息访问医疗系统。
随着技术的发展,网络钓鱼的手法也在不断演变,其中“短信钓鱼”便是其新兴形式之一,通过短信渠道发送钓鱼信息,进一步拓宽了攻击范围。点击这些钓鱼链接有时还会导致恶意软件在用户的设备上自动安装,从而引发更为复杂的网络安全问题。
勒索软件是一种恶意软件(或称为恶意程序),通过加密数据来阻断访问,迫使受害者支付赎金以恢复数据。攻击者常常利用网络钓鱼等手段,诱骗用户点击恶意链接或下载附带病毒的附件,从而获取系统访问权限并植入勒索软件。
在医疗行业中,这类攻击尤为致命,因为医疗服务的连续性和数据的完整性对于患者至关重要。
即便是像Change Healthcare和Ascension这样拥有强大防护能力的机构,在面对勒索软件的威胁时也可能不得不屈服于高额赎金的要求。
Proofpoint的研究数据揭示:2023年,高达69%的组织遭受了成功的勒索软件攻击,使勒索软件成为医疗行业不可忽视的主要威胁。
而且随着“勒索软件即服务”(RaaS)模式的兴起,攻击门槛大大降低,即便是新手黑客也能轻易获取攻击工具并发起攻击。这一趋势预示着医疗行业未来可能面临更为频繁和复杂的网络攻击挑战。
在众多技术安全挑战中,人为错误始终是一个不容忽视的隐形威胁。
特别是在医疗行业,由于医疗场所的紧张氛围与快节奏工作,使得员工在不经意间就可能成为安全漏洞的源头,比如错误地发送敏感邮件给非授权收件人,或是遗失存储有医疗信息的设备。
这些错误背后真正的原因是员工缺乏足够的网络安全培训。缺乏系统而全面的培训,员工在面对网络威胁时显得力不从心,难以有效识别并妥善应对,从而加剧了数据泄露的风险。
另一种常见的攻击方式是分布式拒绝服务(DDoS)攻击,其破坏力同样不容小觑。
在DDoS攻击中,攻击者通过向目标服务器发送海量虚假请求,制造网络拥堵,迫使服务器瘫痪。这种攻击的目的,往往在于迫使受害组织支付高额赎金以恢复服务。
DDoS攻击虽然不直接窃取数据,但其造成的服务中断对组织运营会造成重大影响,特别是在医疗领域,若DDoS攻击针对医院的关键工具,即便是出现短暂的服务中断,也可能对患者的治疗造成不可估量的损害,因此必须引起高度重视。
随着物联网(IoT)技术在医疗领域的广泛应用,以及连接医疗设备的不断增加,攻击者找到了新的攻击途径,进一步加剧了数据安全风险。智能医疗设备如可穿戴心脏监测器等,能收集、交换并分析敏感健康数据,但也成为了潜在的数据泄露源。
这些设备往往由非医疗行业的技术供应商设计,它们在安全标准上可能与专为医疗环境打造的临床设备存在差距,缺乏严格的安全协议保护。
此外,众多智能医疗设备被设计为通过互联网与大型医疗系统相连,以实现信息的实时传输与共享。这种广泛的互连性,虽然提升了医疗服务的效率与便捷性,但同时也让设备成为了入侵整个医疗网络的关键门户。
随着智能可穿戴设备的流行,医疗保健组织在提升患者体验的同时,也无形中为敏感数据的安全埋下了隐患,增加了数据被非法访问的风险。
医疗行业要有效抵御网络攻击,首要任务是构建坚实的网络安全防护网。这包括坚持定期软件更新、引入多因素身份验证(MFA)以及实施系统备份策略等。
及时修补系统漏洞:由于医疗机构与众多软件供应商合作,管理复杂且多样,及时修补系统漏洞显得尤为重要。机构应建立高效的漏洞管理机制,一旦收到软件更新或补丁通知,立即部署实施。利用CISA的“已知被利用漏洞目录”作为指导,优先处理那些正被恶意攻击者积极利用的漏洞,将风险降至最低。
强化身份验证机制:多因素身份验证(MFA)是防止未授权访问的关键防线。要求用户在登录时还要提供除密码外的额外验证信息(如手机验证码、指纹识别等),这样即使密码被泄露,攻击者也难以突破第二道关卡。这不仅提升了账户的安全性,也增强了用户对数据安全的信心。
确保数据备份与恢复能力:面对网络攻击,数据备份是最后的防线。医疗机构应制定详尽的数据备份计划,确保敏感数据得到定期、全面的备份,并存储在安全可靠的介质中。一旦遭遇数据劫持或丢失,机构能够迅速从备份中恢复关键系统,避免服务中断和赎金支付,保障业务的连续性和患者的权益。
在医疗行业,面对攻击者对敏感数据的持续威胁,各组织之间共享网络安全攻击信息将变得十分重要。这种跨组织的合作不仅是防御策略的重要一环,更是提升全行业网络安全韧性的关键。
通过向业界共享网络安全事件信息,受害组织不仅为全球医疗安全网贡献了一份力量,同时也为自己争取到了宝贵的学习机会。他们能够从经历过类似挑战的组织中吸取经验,深化对攻击恢复策略的理解,并将这些宝贵的教训转化为自身防线的加固。
虽然公开网络攻击事件可能对公司的声誉造成一定影响,但这正是网络犯罪分子所希望看到我们懦弱不敢行动的反应。相反,若我们勇于揭露犯罪分子的战术与手段,将他们的攻击路径公之于众,便能有效削弱其攻击能力,为整个医疗行业构建更加稳固的安全屏障。
为了更有效地对抗网络威胁,医疗行业必须构建一种更加协作的文化氛围。各组织应摒弃孤立作战的陈旧观念,以开放包容的心态携手并进,共同实施强有力的网络安全措施。
在这种协作文化的引领下,组织间可以分享网络犯罪经历与防御经验,形成相互支持、共同成长的良好生态。通过集思广益、协同作战,医疗行业将能够构建起一道坚不可摧的网络安全防线,为数据安全保驾护航。
文章来源:https://www.infosecurity-magazine.com/opinions/address-healthcare-cybercrime/,本文由网安加社区编译。