醫療保健領域網絡安全的獨特挑戰及其應對方式

為什么醫療保健行業特別面臨網絡攻擊的風險？醫療保健網絡安全面臨哪些獨特挑戰，醫療保健組織如何應對這些挑戰？

面臨風險的醫療保健

攻擊者的目標是各個行業。然而，攻擊者似乎對醫療保健組織有特別的親和力。在IBM 2021 年數據泄露報告中，醫療保健連續 11 年成為行業違規成本最高的公司。此外，醫療保健數據泄露成本從 2020 年的平均總成本 713 萬美元增加到 2021 年的 923 萬美元，增長了 29.5%。

然而，醫療保健組織為數據泄露事件所承受的巨大成本不僅僅是由于事件的數量。這也是由于與醫療保健組織相關的數據的類型和敏感性。一般來說，信息越敏感和保密，在黑暗的網絡上更有價值。人們注意到，在黑暗的網絡上，醫療保健數據比信用卡數據更有價值。

醫療保健組織尤其成為勒索軟件攻擊的目標，這促使 FBI 和其他機構發出若干特別警告，以幫助保護醫療保健組織（包括醫院）免受攻擊。請注意以下事項：

• 2020 年 10 月 28日 - 網絡安全和基礎設施安全局 （CISA）、聯邦調查局 （FBI） 和衛生與公眾服務部 （HHS） 共同撰寫的聯合網絡安全咨詢向醫療保健提供商發出警告，提醒他們防范 TrickBot 惡意軟件使用 Ryuk 勒索軟件導致勒索軟件攻擊。
• 2021 年 5 月 20日 - FBI發布了關于Conti 勒索軟件攻擊影響醫療保健和急救網絡的公告警告。FBI在公告中確認了至少16起針對美國醫療保健和第一反應網絡的Conti勒索軟件攻擊。
• 2021 年 8 月 25日 - FBI 警告醫療保健組織，Hive 勒索軟件的威脅，首次在 2021 年 6 月觀察到，并可能作為基于聯盟操作的勒索軟件，加密和滲透數據。

勒索軟件對醫療保健組織構成極其危險的風險。由于醫療保健組織維護的數據的敏感性，勒索軟件為醫院和其他醫療保健相關企業提供了一場完美的"最壞情況"結果風暴。現代勒索軟件不僅加密受害者的數據，而且經常將數據泄漏到暗網，這是敏感患者記錄最糟糕的結果。

導致醫療保健組織妥協的因素

那么，還有哪些因素導致醫療機構遭受攻擊的風險很高呢？讓我們考慮以下幾點：

1. 高風險聯網醫療設備
2. 不安全互聯醫療網絡
3. 缺乏網絡安全培訓
4. 弱密碼或被破壞的密碼
5. 過時的舊技術

1 - 高風險聯網醫療設備

我們經常聽到物聯網設備的風險。這些本質上是執行特定功能的簡單網絡設備。例如，醫院等醫療機構的許多聯網醫療設備傳輸健康統計數據、數據、圖表、記錄和許多其他數據類型。醫院環境中使用的設備數量急劇增加攻擊表面。

醫療設備不得與基礎操作系統、固件、驅動程序等的最新安全設備進行修補。此外，醫療設備可能會登錄，無人看管。所有這些因素和其他因素都增加了醫療保健組織的網絡安全風險。

組織必須確保他們擁有適當的庫存，以及足夠的監控和修補時間表，以修復安全漏洞。

2 - 不安全互聯醫療網絡

大型醫院的網絡可能與規模較小、安全性較低的醫生辦公室相連。雖然互聯網絡允許快速、輕松地交換信息，但它可以為黑客提供一種更容易的方式來破壞他們通常要追求的目標、醫院網絡以及這些網絡包含的數據。

醫生辦公室可以使用舊的和過時的網絡和最終用戶設備運行舊的和過時的安全協議。端點可能無法正確修補，并定期登錄到使用管理員憑據。訪問單個惡意網站可能會為惡意軟件、勒索軟件或其他折衷方案提供門，以便首先滲透到較小的網絡，然后通過打開的端口和其他允許的通信轉向連接的醫院網絡。

在所有互聯網絡之間實現零信任網絡連接，并確保全面獲得資源的特權最少，將有助于加強敏感患者記錄的安全性。

3 - 缺乏網絡安全培訓

雖然醫療專業人員在全球接受過一些最廣泛的培訓，但不幸的是，網絡安全培訓并不是其中之一。因此，許多醫療專業人員，像其他商業專業人士一樣，沒有經過足夠的培訓來識別網絡釣魚電子郵件、惡意網站或其他惡意軟件。除了與醫療設備和互聯醫療網絡相關的風險之外，這增加了對醫療保健組織的威脅。

醫療保健組織必須要求對所有醫療保健員工進行定期和系統的網絡安全培訓，以確保最終用戶接受過審查所有網絡通信、電子郵件和其他攻擊者用于社交工程和網絡釣魚攻擊的策略的培訓。

4 - 弱密碼或被破壞的密碼

根據IBM2021年數據泄露報告的成本，一些令人震驚的統計數據與泄露的憑據有關。其中包括：

• 泄露憑據占違規事件總數的 20%
• 被盜/損壞的憑據造成的違規需要最長天數才能識別
• 因憑據泄露而導致的數據泄露的平均成本 - 437 萬美元

醫療保健組織無疑會成為因憑據受損而遭受攻擊的受害者，因為它們可能難以檢測并允許攻擊者偽裝成具有合法憑據的人。此外，即使密碼很復雜，攻擊者也知道密碼是否在被破壞的密碼列表中。它可以快速進入在密碼噴涂或其他憑據攻擊中使用被破壞列表的攻擊者。

組織必須實施強密碼策略，以防止密碼過弱，并使用被破壞的密碼保護，以防止環境中的密碼被破壞。

5 - 缺乏網絡安全投資

醫療保健網絡安全也因缺乏對保護敏感醫療保健環境的適當網絡安全解決方案和技術的投資而削弱。一項研究指出，平均而言，醫療保健組織僅將 IT 預算的 5% 左右用于網絡安全，而其余的則用于采用新技術。

因此，它導致攻擊表面的擴大和缺乏適當保護環境免受網絡攻擊所需的工具，結果不盡如人意。

CIO 和其他業務利益相關者肩負著沉重的責任，他們有責任宣傳網絡安全支出的優先順序。風險評估需要仔細考慮勒索軟件攻擊對敏感患者數據的影響，以及如果數據泄露對組織的影響。

加強醫療保健中的密碼安全性

如前所述，密碼安全性是一個極大的問題。攻擊者通常使用受損的憑據來輕松訪問業務網絡，包括醫療機構的憑據。因此，糟糕的密碼策略和缺乏被破壞的密碼保護可能導致帳戶的全面漏洞。

將 Microsoft 的"主動目錄"密碼策略作為集團政策的一部分的醫療保健組織缺乏實施有效密碼過濾、防止增量密碼和違反密碼保護的行業最佳實踐標準的強大工具。

Specops 密碼策略是一個強大的密碼策略解決方案，它為現有活動目錄密碼策略添加了關鍵功能，包括業界領先的違規密碼保護。通過 Specops 密碼策略，醫療保健組織可以通過按下按鈕方法為用戶帳戶提供持續的違規密碼保護。

鏡譜完全 API 泄露密碼保護

除了 Specops 密碼策略提供的強力密碼保護功能外，它還提供以下功能：

• 輕松實現多個密碼字典列表，以阻止為您的組織定制的特定密碼
• 超過 20 億個被破壞的密碼和增長受到被破壞的密碼保護，其中包括在已知的被破壞列表上找到的密碼，以及目前發生的攻擊中使用的密碼
• 在活動目錄環境中查找和刪除被破壞的密碼
• 信息客戶端消息
• 密碼更改時的實時動態反饋
• 根據密碼長度（稱為基于長度的密碼過期）定制密碼過期
• 阻止用戶名、顯示名稱、特定單詞、連續字符、增量密碼和重復使用當前密碼的一部分
• 針對任何 GPO 級別、計算機、用戶或組群人口的精細化、GPO 驅動目標
• 傳遞短語支持
• 支持超過 25 種語言
• 使用常規表達式進一步自定義密碼過濾