无论是在中国还是美国,互联网医疗都已经得到了较为充足的发展,为患者的诊断和治疗过程提供了很多便利,但同时,部分人可能还没有意识到头上悬着的达摩克利斯之剑——医疗信息安全问题。
2009年到2013年期间,遭受网络攻击的医疗健康机构就由过去的20%增长至40%。而到了2014年,随着数字化进程的加快,互联网医疗、电子病历、智慧医疗设备等的引入,受到攻击的机构比例以及被窃取的病人数据,双双创下了新的记录。据悉,像Intermountain Healthcare这样的机构每周至少受到黑客攻击千次以上。
那些年被黑客“光顾”的医疗机构
2014年,黑客入侵美国一家大型医疗联合机构“社区卫生系统”(运营着美国29个州的206所医院)的计算机网络,成功窃取450万病人数据。
2015年2月,美国第二大医疗保险公司Anthem宣布黑客盗取了公司超过8000万客户的个人信息,包括了用户家庭住址、生日、社保号和个人收入信息,此次泄露成为美国有史以来最严重的医疗信息泄露事件。
2015年5月,美国联邦医疗服务商Blue Cross Blue Shield(BCBS)旗下的CareFirst保险公司宣布因为黑客攻击,1100万用户信息泄露。
2015年9月,一家名为Excellus保险商被黑客入侵,近千万用户信息遭到泄露。
2016年6月,黑客入侵美国3家医疗保健机构(未透露姓名),并利用其远程桌面协议漏洞成功窃取65.5万名病人病历,其中包含病人姓名、社保账号、生日、地址等信息。
2017年5月,英国国民保健医疗系统(NHS)宣布其英格兰地区和苏格兰地区多个医疗机构遭到了大型网络攻击,并被勒索支付比特币。
根据美国卫生与公民服务部(HHS)统计显示:近3年来,影响超过500人次的医疗信息泄露事件发生次数没有大幅度增长,但是受泄露所影响的人数呈现出“爆发式”增长。单是2015年,因各种原因导致的医疗信息泄露事件累计影响就已经达到了惊人的1.1亿,是之前五年泄露人数总和的2.7倍。
为什么青睐医疗数据?
那么问题来了,为何黑客们比以往更为青睐医疗数据呢?只是因为集体兴趣改变了吗?
根据Trustwave曾发布的一份医疗行业的安全报告指出,医疗机构频繁遭受黑客攻击的主要原因有三点:
1. 医疗记录已经转移到了网上,并且在病人、医疗机构之间可共享;
缺乏正确的“网络卫生”,即落实到位的保护措施(例如未实施双因素身份验证、未要求用户修改自己的密码,以及允许雇员获取超出自己工作范围的个人信息等),进一步加大了网络威胁面。
2. 物联网设备和云服务的使用;
物联网设备在提供便利的同时也加大了网络攻击面,由于缺乏安全生产意识,物联网设备可谓是为攻击者实施入侵敞开了大门。通过Shodan搜索引擎的检测结果显示,绝大多数的医疗设备和网络都是可以公开访问的,很容易遭受攻击。
3. 医疗保险数据的价值越来越高;
安全公司 PhishLabs 的威胁情报总监Don Jackson发现,以往黑客们爱好的信用卡信息盗窃正在降温,市场开始饱和,这是因为有些信用卡对不上用户个人信息,没什么价值。
而医疗数据则不一样,我们去医院看医生的时候,往往会透露社保帐号、个人财务信息等等关键信息,黑客们通过这些信息的拼凑,就可以勾画出一幅完整的个人信息图谱来。在黑市中,这些信息如果能够让不法分子侵入到个人银行帐号,那么这些信息卖出个几百美元也很正常。
地下黑市中的医疗数据
在一个地方收集的信息越多,对黑客来说它就会变成越有价值的目标。医疗数据成功吸引黑客的目光后,随之而来的就是越来越多的网络犯罪分子开始倾向于在地下黑市销售窃取到的电子医疗数据。
电子健康记录(EHR)中包含患者在医疗过程中使用过的个人资料,具体涉及以下数据:出生日期、医疗保险ID、社会保障号码以及财务信息等,这些信息一般可以通过特定的HER管理软件进行访问。据悉,这些数据的在于其信息所特有的性质:与信用卡信息不同,HER中提供的个人信息(例如患者的社会保障号码、出生日期以及病历内容等)都是独一无二,不能轻易进行更改的,因此,这些数据在地下市场的保质期和潜在价值都会随着增加。
【地下黑市各种医疗数据售价清单】
案例分析
【2016年8月AlphaBay上销售医疗保险卡的广告页面】
Alphabay供应商正在销售医疗保险卡,该卡可用于接受医疗护理以及通过邮寄订单订购处方药。上图显示了一个威胁行为者正在销售窃取的医疗保险ID卡,每张ID卡低至1美元。
【2016年11月4日AplhaBay上销售具有完整医疗记录的广告页面】
上图显示,一名黑客正在销售包含美国公民“完整记录”的医疗数据,其中具有特定的医疗数据和医疗保险信息,售价以每人99美分起,如果需要大量购入,还可以享受折扣。
【AlphaBay上销售医疗保险ID的广告页面】
上图显示,黑客正在AlphaBay上销售综合医疗档案,其中包含患者姓名、社会保障号码、地址、上次访问日期、下次预约时间、后续治疗日程、出生日期以及医疗保险ID号码等。每个患者的信息条目5美元起售。
【2016年11月4日AlphaBay上销售英国公民医疗保险ID和驾驶执照的广告页面】
上图显示,黑客正在销售英国公民的医疗保险ID和对应的驾驶执照信息,以及公民全名、地址和电子邮件等。每10条记录的售价为20.43美元,一条记录售价为3.34美元。
【AlphaBay上出售纽约公民驾驶执照的广告页面】
上图显示,黑客正在出售政府识别文件,例如纽约市公民的驾驶执照,此外,黑客还出售其他多种官方政府识别文件,如护照以及出生证明等。其中,驾驶执照的售价为170美元起。
【AlphaBay上使用被盗数据销售新身份的广告页面】
上图显示,黑客正在出售“制造的”的新身份,该身份是通过被盗的个人信息,包括社会保障号码、出生日期、教育记录、就业记录、医疗保险、汽车保险以及不再使用的个人护照(通常是已死亡人员)等创建而成。一般情况下,这些“制造的”新身份可以卖到1000美元的高价。
犯罪分子利用电子医疗记录的方式
除了销售这些构成HER的单个信息外,攻击者还可以收集这些信息来创建新的产物,提供新的产品和服务,包括:
利用社保卡和驾驶执照等不可更改的个人信息,来创建假身份; 利用处方信息来采购药物; 利用医疗保险ID提供的医疗保险号码和社会保障号码来创建欺诈性报税表; 利用盗取的病历和个人数据(如出生日期)创建出生证明;
1. 药物采购
购买包含处方信息的HER资料可以帮助网络犯罪分子通过医疗保险提供者使用的邮购计划来采购处方药物。之后,这些药物就会被放在黑市上出售来获取巨额利润。通过获取的医疗ID,网络犯罪分子可以创建或更新他们购买的个人资料中的文件地址,然后使用原始账户持有人存储的信用卡信息将药物发送到家中,处方药的销售在黑市中颇受欢迎。
据Surescripts介绍,在2014年至2015年期间,支持电子处方的在线软件已增加了7.5倍。一些国家或地区(如纽约)还制定了所有处方药物必须通过电子处方软件来处理的任务。去年,已经有超过77%的医疗机构实现了处方数字化。
【2016年9月19日,Valhalla网站上出售美国禁毒署管制药物的页面】
上图显示,在Valhalla市场上可以购买一些美国禁毒署管制的药物,如抗焦虑药Xanax和Klonopin等。
【Vahalla上出售Ambien药物的广告页面】
上图是关于Ambien的广告页面。据悉,Ambien是一种受控药物,通常被用于帮助睡眠障碍者入眠。不过现在,Ambien正在被许多用户滥用,据美国药物滥用和心理健康管理局(SAMHSA)的报告显示,2006年-2011年期间,约开出了3800万关于Ambien的处方药单,美国现在有50万人正在滥用该受控药物。
2. 身份盗窃
2014年,Ponemon研究所的一项研究显示,医疗身份欺诈的受害者人数为50万人左右。而到了2015年,这一数字上升到了22%,其中还没有增加Anthem的违规事件。在解决欺诈问题上,信用卡违规行为造成的财务损失每张卡仅为50美元,而在医疗卫生行业,65%的身份盗用受害者需要花费1.35万美元来解决数据泄漏带来的损失,其费用涵盖债权人和法律顾问的服务费用等。信用卡可以轻易地取消或更换,但是医疗健康数据(如社会保障号码、出生日期等)是永久性的,这些数据将永久存在,而犯罪分子也可以将这些数据重复用于各种目的,无惧时限。
据消费者金融保护局介绍,信用报告中收集的账户大约有一半是由于其他人盗用身份造成的医疗债务。单一的债务催收账户就会导致信用评分下降50至100分。
信用局会等待180天才会将你的医疗债务添加到信用报告中,但与信用卡犯罪不同,医疗身份盗用可能需要3个多月的时间才会报告犯罪行为,而且30%的人永远不知道自己是受害者。
当受害者的医疗ID被另一个人用于接受医疗服务时,其HER数据也会被修改——有时会影响到关键信息,如患者的血型、已知过敏列表等。检测医疗身份盗用并不像检测信用卡犯罪那么容易,结果,约有20%的受害者经历了错误诊断,或是由于HER信息被使用和更改而延迟治疗时间。
3. 医疗保险
【Alphabay上出售加州州立医疗保险卡的广告页面】
上图显示,黑客正在出售包含社会保障号码、出生日期以及医疗保险ID等可以用来获取医疗保险的个人信息。
4. 出生证明
【2016年9月15日AlphaBay上发布的出售出生证明的广告】
利用从医疗记录中获取的数据,黑客还可以单独出售其中的出生日期等数据,来创建一个真实出生证明的副本。根据上图所示,一个出生证明的售价为500美元。
5. 欺诈性报税表
【Valhalla上提供欺诈性报税服务的广告页面】
过去两年,犯罪分子使用被盗信息实施税务欺诈的数量正在急速增加。因此,Turbo Tax(美国报税软件)不得不暂停国家税务的申报工作,转而调查越来越多的税务诈骗案件。上图显示,供应商以每个报税单15美元的价格为买家提供25份所得税报税表。
缓解方案
近年来,虽然医疗卫生行业的网络安全防护水平有了较大提升,但依然不足以化解日益精进的安全威胁。为此,我们建议IT团队可以采用下面5个步骤化解危机:
1. 确保系统安全,及时修复漏洞
定期全面检查机构现行办公系统和应用,及时发现并修复漏洞,避免漏洞被黑客利用造成机密泄露。要确保办公操作系统尽可能使用正版,并定期更新,安装补丁程序,此外,数据库系统需要经常排查潜在风险,依据评估预测,积极做好系统升级。
需要特别注意的是,微软已经停止对Windows XP的服务支持,并在2015年7月也已经停止对Windows 2003服务器的安全更新。而医疗行业往往部署了大批量的XP桌面和Windows 2003系统,进一步使IT团队面对未修补漏洞的新威胁。为此,用户需要及时更换陈旧设备或系统,或是采用更完善的检测机制,及时发现并控制潜在威胁。
2. 全方位保护患者入口网站、数据中心、电子病历系统
无论数据存储是在内部、云端,或是在虚拟化和物理机共存的混合环境都必须受到保护。用户可以市场上较为可靠的云计算和数据中心安全解决方案,保护应用程序和数据、防止业务中断,同时满足合规性要求。此外,对于医疗行业特需的EHR软件,其供应商也需要专注于加强其数据安全性,并定期监控可能会影响运行其程序的设备的漏洞。
3. 保护终端上的医疗信息
在现阶段,网络中可能存有病患数据的位置非常广泛,这包括移动存储设备、笔记本电脑、多个虚拟桌面或PC终端。终端越多,风险面就会越大,这也是数据外泄事件频频发生在医卫行业的头号原因。所以,医疗单位的网络安全防护措施必须覆盖所有终端。
4. 加强安全意识培训
近年来的一系列企业泄密事件的发生,根本原因还在于安全意识的严重缺失,加强安全意识的培训刻不容缓。医疗机构及其第三方服务支持企业需要定期进行安全意识的宣导,强化员工对信息安全的认知,引导员工积极执行企业保密制度。
5. 加强对数据库的访问控制
需要明确数据库管理和使用职责分工,最小化数据库帐号使用权限,防止权利滥用。同时,要加强口令管理,使用双因素身份验证、高强度密码,删除系统默认帐号密码等。