医疗系统,从电子病例到医疗设备,比我们认为的更容易受到攻击威胁。如果是这样,代价太高,不容忽视。
如今,在黑市,病历数据的价格比信用卡数据的价格高20倍。因为医疗数据更为详细,网络犯罪份子可利用这些更为全面的数据轻松进行身份窃取与诈骗。更重要的是,患者确认信息被泄漏的时间较长,有些时候长达一年或者更久。
信用卡被窃后,金融机构的系统算法会快速检测到异常活动,系统通常也会自动提供保护。而相比之下,同类保护在医疗系统未必具有。
除了系统本身的脆弱性之外,医疗系统对于系统安全的警惕性也令人堪忧。
传统网络攻击威胁医院信息系统
灰色软件、网络钓鱼、特洛伊木马以及勒索软件……这些攻击的类型是所有企业机构都会面临到的,但是医疗系统尤其脆弱。由于缺少内嵌的防御且相对其他行业安全的意识不是很强,这些类型的恶意软件会攻击医疗机构网站、感染移动设备或其他端口,导致的结果不止会暴露敏感数据,还会造成代价较高的IT维护成本。这些攻击并不是什么新型攻击,但造成患者数据的泄漏是真实的。网络犯罪份子已经发展成了完整的灰色软件链条与平台,可客制化攻击医疗系统。
医疗设备联网 安全隐患激增
如今,医疗设备联网逐渐成为常态,从心脏监控到注射器,均可自动连接到电子健康信息系统且实时预警。从患者与医院运营的角度来讲,这是好的事情;但从安全的角度来讲,可能是“梦魇”。多数这样的设备,例如MRI设备、CT扫描以及无数的诊断设备从未设计任何的安全策略在其中。许多诊断系统使用现成的操作系统,例如微软的Windows,其他设备还使用专有的软件收集数据,却并不确保安全。这些设备都是潜在的攻击点,一旦被攻击,黑客们就会肆无忌惮的访问到设备联网系统中的所有数据。
通过联网的设备,可被攻陷的也许不仅仅是患者的数据,更甚的是整个医疗机构的诊疗系统以及设备的正常有效的使用。
个人与家庭健康设备设计缺乏安全考虑
数据采集终端激增,这一现象不仅发生在医院。随着家用保健设备、移动医疗应用、可穿戴的设备等应用越来越多,收集并传送个人健康信息的途径也在快速增加。不止是这样的设备及应用可能会暴露个人的健康数据信息(或至少不能保护这样的数据),而且数据与电子病例记录与诊疗数据系统一旦建立连接接口后,也成为数据泄漏可能的切入点。 与医院的诊疗设备一样,多数这样家用的保健或者健康类的应用设计更多的是具有创新性的功能,而不会从数据安全着眼。在如今移动互联的时代,无论是在网络层还是应用层,都是时候考虑医疗系统的数据安全问题,规避泄漏与窃取的可能性与风险。
Fortinet供稿
>
