本文为连载中的有关 2017 年网络安全形势的系列博文之一,旨在对“可能性极高的事件”(几乎必定会发生的预测结果)以及“可能性极小的事件”(发生可能性不高的预测结果)进行研究。
2016 年是勒索软件对网络安全造成严重威胁的一年,尤其对医疗保健行业带来了深远的影响。在此篇博客中,我将对医疗保健行业在 2017 年将面临的威胁类型提出几点预测。
可能性极高的事件
1. 勒索软件将继续把目标瞄准医疗保健行业
我认为这是显而易见的趋势。在过去一年当中,许多医院受到勒索软件的影响。位于加利福尼亚州、印第安纳州和肯塔基州的医院受到勒索软件变体的攻击,目标针对的是服务器(而非用户 PC),因此上述地区的医院尤其受到重创。而在华盛顿的一家医院,其在受到影响后不得不将患者转移到其他医疗机构,以继续提供适当的护理质量。
由于比特币可通过匿名交易,且作为一种商业模式,勒索软件是一种能够在逃避法律制裁的同时进行敛财的高效手段,因此犯罪分子已转向利用勒索软件作为其首选的攻击手段。勒索软件将目标瞄准医疗保健行业,原因在于高效的 SAMSA 勒索软件变体的攻击载体是通过 DMZ(网络中面向互联网的区域)中未打补丁的 JBOSS 应用程序服务器。使用多个此类服务器且遭到成功攻击的医院数量正在不端增加。
不知是否因为侥幸心理,医疗保健组织听信一则消息,认为 JBOSS 漏洞已得到修补或者至少其隐患已得到减轻。然而,我们完全没有观察到这一迹象。在整个 2017 年期间,勒索软件将通过标准攻击领域(包括基于网络的偷渡式下载、恶意电子邮件附件或链接,以及 DMZ 中未打补丁的服务器),继续将攻击目标瞄准医疗保健行业。
2. SaaS 应用程序中的意外过度共享将增加,导致患者数据丢失
医疗工作人员偏好使用云文件共享 SaaS 应用程序(如 Box、Dropbox 和 Google Drive),原因在于这些应用程序填补了许多医疗保健组织的空白,方便进行文件共享。这些服务的公共版本存在一些问题:用户有权设定能够访问文件的对象,因此很容易因为意外配置而使包含受保护健康信息 (PHI) 的文件向整个互联网公众共享。例如,在 Box 的企业版本中管理员有权限制公共访问,然而许多医疗保健组织并不禁止使用免费版本。
今年较早时候,我撰写了一篇关于 SaaS 安全的博客文章,并提出一些关于降低风险的建议。除非医疗保健组织针对组织内部和外部的文件共享行为提供授权方法,并主动封锁未经批准的文件共享网站,否则,由于意外过度共享而导致患者数据丢失的事件将极有可能发生。
可能性极小的事件
1. 出现首例由于医疗设备遭到网络攻击而造成患者受伤的个案
如今,医疗机构中使用的许多医疗设备缺乏基本的安全性。医疗设备往往缺乏端点保护和定期打补丁,甚至在过时的操作系统(如 Windows XP)上运行。基于上述原因,它们成为了恶意软件和网络攻击的首选目标。
迄今为止,仅曾颁布一项已确认的 FDA 法令,规定医院中禁用使用特定的医疗设备。我认为,最根本的原因在于对问题的研究和意识不足。人们并未在这方面进行深入研究,因为医疗设备价格高昂,并且缺乏财务激励来开展寻找和修复医疗设备漏洞所需的安全研究。
对于受金钱驱使的攻击者,他们之所以选择勒索软件,是由于其快速支付获利模式和匿名性,然而另外一种攻击者则是为了证明自己出众的能力。这类型网络犯罪分子纯粹出于个人乐趣而发动入侵。迄今为止,虽然尚未收到由于医疗设备遭到网络攻击而造成患者人身伤害的确认个案,但我相信这只是时间问题,犯罪分子迟早能够利用医疗网络中最脆弱的部分 - 医疗设备来发起攻击,向网络安全再次宣战。
你对医疗保健行业的网络安全形势作何预测?请在评论中分享你的想法,同时敬请关注本系列的下一篇博客文章,我们将在此分享对金融服务的网络安全形势预测。