医疗机构需要准备应对的主要网络风险包括勒索软件、僵尸网络、云配置错误、网络应用攻击、网络钓鱼以及智能设备相关的威胁。
自新冠疫情以来,针对医疗行业的网络攻击大幅上升,尤其是在远程医疗服务迅速发展的背景下。安全供应商和研究人员发现,针对医疗服务提供商的网络钓鱼攻击、勒索软件攻击、网络应用攻击等威胁显著增加。
今年医疗行业勒索软件的增加,特别是Change Healthcare的数据泄露事件,引发了医疗高管的广泛关注,成为业界的警钟。
这一趋势给医疗安全组织带来了巨大压力。Imperva的高级副总裁Terry Ray表示:“医疗行业正面临一系列复杂的安全风险,网络犯罪分子正在搜寻医疗机构掌握的敏感和有价值的数据,包括患者数据和企业数据。”
许多机构难以应对这些挑战,因为它们资源不足,依赖易受攻击的系统、第三方应用和API来提供服务。
此外,IT系统越来越多地被用于优化临床互动和患者护理。例如,救护车队可以通过现场的平板设备获取患者的详细病历,英国的国家调动应用(NMA)正在引入,以现代化和标准化NHS所有救护车服务。
植入设备(如回路记录仪)越来越多地被用于辅助诊断,如心律失常,这些设备与可穿戴设备一样,支持遥测功能,能够传输患者数据。基于这些数据作出的重要医疗决策,使得由于IT进步而获得的患者数据更加丰富。
物联网和IT在医疗中的使用增加,对提升临床效率和决策准确性产生了积极影响,但也意味着对风险评估的关注必须更加深入。WithSecure首席顾问Stuart Morgan指出,过去将患者数据存放在上锁的文件柜中的时代早已过去。
“患者数据被篡改或泄露的影响是显而易见且广为人知的,但服务中断的风险——无论是恶意的还是意外的——可能带来的后果极其严重,”Morgan在接受记者采访时说道,“虽然这些系统具有一定的弹性,但备份系统本质上效率较低,救护车队无法查看临床历史、患者无法获得电子处方,或者在家工作的临床医生失去对救护车调度系统的访问权限,都会对他们所在社区产生巨大影响,因为大部分流程是基于这些系统正常运行的前提编写的。”
Imperva的Ray及其他安全专家已经确定了当前对医疗机构构成重大威胁的多个问题。以下是六大主要威胁。
1. 勒索软件威胁上升
勒索软件已成为当今医疗行业最大的网络威胁之一。攻击者发现,提供救命治疗的医疗机构比几乎所有其他行业的受害者更容易被勒索。许多医疗机构也因为推出了新的数字应用和服务(如远程医疗服务)而更易受到攻击。
自疫情以来,全球医疗行业的勒索软件攻击稳步增加。根据美国国家情报总监办公室的一项研究,从2022年到2023年,医疗勒索软件受害者增加了81%。安全供应商SonicWall报告称,截至2024年,91%的与恶意软件相关的医疗数据泄露事件都涉及勒索软件。
公开披露的针对医疗服务和医院的勒索软件攻击案例不胜枚举。
例如,2021年5月,爱尔兰公共卫生系统遭受勒索软件攻击,导致管理员不得不取消或重新安排数千个预约和手术,因为攻击者锁定了约2000个面向患者的系统。
2024年2月,Change Healthcare遭受了毁灭性的勒索软件攻击,严重扰乱了保险理赔处理、处方药发放和财务结算,给美国各地的医院、诊所和药房带来了巨大影响。2024年8月,总部位于密歇根州的McLaren Health Care在12个月内第二次遭遇勒索软件攻击。
CynergisTek的总裁兼首席执行官Caleb Barlow表示,电子健康记录(EHR)和相关系统是当今医疗行业面临的最大风险。他说:“过去的攻击表明,当医院遭遇勒索软件引发的停摆时,EHR的访问会被关闭,患者可能需要转移到其他地方接受治疗。”他说:“这样的攻击可能会阻止对复杂慢性病患者(如糖尿病或癌症患者)的关键处方信息和剂量的访问。更糟糕的是,黑客甚至可能进一步操纵健康记录数据,破坏患者护理。”
历史上,医疗机构通常将这种风险转移给网络保险公司,但现在这变得越来越难,因为保险公司要求组织必须具备多因素认证和终端检测与响应技术等特定控制措施,才允许他们购买勒索软件保护,Barlow补充道。
2. 云漏洞和配置错误
许多医疗机构已采用云服务,作为更广泛的数字化转型计划的一部分,疫情的爆发和对远程医疗服务需求的增加加速了这一转变,结果,患者健康信息(PHI)和其他敏感数据越来越多地托管在供应商的云环境中。
Infoblox产品副总裁Anthony James表示,这一趋势扩大了医疗机构的攻击面,使其更容易受到针对PHI、保险信息及其他敏感数据的攻击,他指出,医疗机构通常使用多个云供应商和服务,这些服务的安全标准和做法各不相同,使得在整个云环境中实施一致的数据保护政策变得困难。
根据CyberRisk Alliance Business Intelligence为Infoblox进行的2021年调查,53%的医疗IT专业人士表示,他们的组织在过去12个月内经历了与云相关的数据泄露。2021年3月,健康计划管理服务提供商PeakTPA披露,约5万名Medicare和Medicaid计划客户的PHI从其两个云服务器中被访问并提取。另一个广为人知的案例发生在2020年,当时发现超过310万名患者的敏感数据暴露在一个未经保护的云数据库中,据信该数据库属于一家患者管理软件供应商。
在Infoblox调查中,超过三分之一(34%)的受害者表示,他们的泄露事件给公司带来了200万美元或更多的损失,47%的人表示,他们曾遭遇针对云托管资产的恶意软件攻击,37%的人表示他们经历了涉及PHI和其他存储在云中的数据的内部攻击。
根据医疗软件开发商KMS Healthcare于2024年2月发布的报告,最近有61%的医疗公司表示在过去12个月内经历过云网络攻击,其中86%的攻击导致了财务损失或重大损害。
3. 网络应用攻击
近年来,针对医疗机构的网络应用攻击急剧增加,尤其是在新冠疫情期间,安全供应商Imperva的研究人员观察到,2020年12月,针对医院和其他医疗目标的网络应用攻击增加了51%。
2021年,医疗机构平均每月遭遇498次攻击,其中跨站脚本攻击最为常见,其次是SQL注入、协议操作攻击和远程代码执行/远程文件包含攻击。
Ray表示:“从技术角度来看,网络应用攻击对资源不足的医疗机构来说是极具挑战性的。”为了解决这个问题,医疗机构必须实施能够提高对第三方应用程序和API连接可见性的控制措施,他指出,只有这样,安全团队才能了解谁在尝试访问关键数据,以及这种活动是否应该被允许。
根据Verizon的一项研究,2021年网络应用成为医疗数据泄露的首要途径,该研究基于对849起事件的分析,其中571起涉及确认的数据泄露。
SonicWall预计,到2024年,约60%的针对医疗机构的攻击目标为Microsoft Exchange。
4. 恶意机器人攻击
来自恶意机器人的流量——例如那些尝试从网站抓取数据、发送垃圾邮件或下载不需要的软件——为医疗机构带来了另一个重大挑战。当全球各国政府开始建立新的网站和数字基础设施以支持新冠疫苗注册和预约时,这一问题变得尤为紧迫。不法分子大量攻击这些新建、未经充分测试的网站,导致恶意机器人流量激增。
Imperva表示,在疫情的第一年,医疗网站上的恶意机器人流量增加了372%。
Ray指出:“流量增加会导致合法用户在尝试访问医疗服务提供商网站上的关键服务时遇到停机和中断问题,这也可能导致机构的基础设施成本增加,因为它们需要应对持续的高流量压力,以保持正常运行。”
根据安全供应商Barracuda的研究,从2023年1月到2023年6月,恶意机器人占互联网流量的30%。Imperva发布的最新2024年《恶意机器人报告》估计,恶意机器人占互联网流量的近三分之一(32%)。
Imperva报告称,医疗行业的恶意机器人流量有所增加,其中33.4%的网站流量来自恶意机器人,而上一年为31.7%。
恶意机器人可能导致医疗数据泄露,例如通过对患者账户的凭据填充攻击,或抓取敏感的健康信息。
Imperva警告说,网络犯罪分子以机密的健康信息为目标,如患者记录、病史和保险详情,因为这些被盗数据可以在暗网出售获利或用于欺诈活动。
5. 网络钓鱼攻击量增加
网络钓鱼攻击对医疗行业构成了重大威胁,与其他行业类似。疫情再次为医疗机构中网络钓鱼攻击量的增加提供了独特的背景。Palo Alto Networks的Unit42团队的研究人员最近进行的分析显示,从2020年12月到2021年2月,针对药房和医院的网络钓鱼攻击增加了189%,与疫苗相关的网络钓鱼攻击在同一时期飙升了530%。
根据供应商的说法,在疫情早期,许多网络钓鱼诱饵涉及检测和个人防护设备(PPE)。随后,攻击重点转向了刺激措施和政府救济计划,最后又集中到疫苗接种推广。
在疫情期间,由医疗信息和管理系统协会(HIMSS)对168名医疗网络安全专业人士进行的一项调查发现,网络钓鱼是大多数安全事件的典型初始攻击点。
HIMSS在其报告中指出:“网络钓鱼攻击是受访者报告的重大安全事件的主要类型。”它还指出,网络钓鱼者是导致医疗机构重大安全事件的主要威胁行为者。
根据《HIPAA Journal》报道,美国卫生与公共服务部(HHS)编制的统计数据显示,从2009年10月到2021年底,共报告了4419起患者健康信息(PHI)泄露事件,其中18%涉及网络钓鱼攻击或电子邮件账户的黑客攻击。
网络钓鱼也是针对医疗机构的几起高调攻击的初始向量,例如Anthem(2015年)和Magellan Health(2020年)。
英国医学期刊《BMJ》的一项研究发现,在一个月的时间内,发送给医院员工的电子邮件中约有3%被怀疑为威胁。
尽管许多员工似乎意识到网络钓鱼的风险并做出了适当反应,但BMJ建议,需要持续进行教育,特别是关于通过社交媒体泄露对攻击者有潜在利用价值的信息的风险。
6. 智能设备
可穿戴和植入式智能医疗设备被证明是一个潜在的网络安全风险,这些技术确实能够提供更好的分析,帮助诊断疾病并支持独立生活,但在保护这些医疗技术时的失误可能会使易受攻击的用户面临潜在的攻击。
2011年已故的Barnaby Jack通过蓝牙黑客入侵胰岛素泵的事件是一个标志性时刻,该攻击的最大范围约为300米。
自那时以来,Pen Test Partners的安全研究人员发现了在公共互联网上的“闭环”胰岛素试验数据。
Pen Test Partners的总经理Ken Munro告诉记者:“在某个案例中,我们本可以修改由佩戴在体上的连续血糖监测仪读取的数据,并自动远程向大约3000名试验用户注入致命剂量的胰岛素。”幸运的是,涉事供应商对我们的报告做出了非常快速的响应,并在同一天修复了系统。
Pen Test Partners还发现其他连接医疗设备存在安全问题,包括颅骨刺激器、药物输送泵和医疗机器人等设备,幸运的是,智能设备的威胁已被重视,监管机构正在采取行动。
例如,美国食品和药物管理局(FDA)去年推出了《FD&C 524b》法案,旨在推动连接医疗设备的网络安全。