当黑客打电话给英国最大的整形外科连锁机构之一时,他的斯拉夫口音非常重,以至于接线员很难听清他在说什么。最终,总部位于伦敦的哈利医疗集团的工作人员意识到,这个人偷走了35万名过去和潜在客户的姓名,以及他们寻求的手术信息。这并不是世纪犯罪,但勒索者知道谁想隆胸、隆鼻或腹部整形,他要求现金——六位数——以保持沉默。
据首席执行官詹姆斯·法夸尔森说,哈利公司没有付款。然而,2014年的这起事件导致了《太阳报》小报上引人注目的头版头条,这家以前盈利的连锁店在次年出现了亏损——即使黑客从未泄露数据。“这真的给了我们沉重打击,”法夸尔森说。“我们花了大约 12 个月才真正开始好转。”
一些机构确实屈服于勒索。今年 2 月,好莱坞长老会医疗中心宣布,在黑客锁定了医院文件后,他们支付了 17,000 美元以获得解密密钥。专家表示,该案例的特殊之处仅在于公开承认。“这种情况一直在发生,但所有参与其中的人都想保持低调,”以色列网络安全初创公司 Cymmetria 的联合创始人迪安·西斯曼说。“在医疗保健领域,丢失所有数据不仅是一种商业风险,还是一种人命风险。”
支持科学新闻
如果您喜欢这篇文章,请考虑订阅以支持我们屡获殊荣的新闻报道。通过购买订阅,您正在帮助确保未来关于塑造我们当今世界的发现和想法的具有影响力的故事。
当黑客探测网络空间时,他们发现构成我们医疗保健系统的庞大医生、医院和保险公司网络中存在弱点——其中许多机构没有准备好应对复杂的黑客攻击。医疗数据窃贼通常试图敲诈钱财、获取药物、获得免费医疗保健或窃取身份以获取信用卡和退税。RSA Security 的欺诈和风险情报主管安吉尔·格兰特说,大量被盗的信用卡以及黑市上由此导致的较低价格使得医疗数据特别有吸引力:“他们正在寻找新的赚钱方式,他们认为医疗保健行业是一个软目标,因为他们缺乏其他行业的安全成熟度。”医疗保健领域非常容易受到黑客攻击,以至于根据身份盗窃资源中心7 月 19 日的报告,该行业占今年所有涉及泄露姓名和敏感信息的泄露事件的三分之一以上。该报告列出了所有行业中的 538 起违规事件,影响了近 1300 万人。
在网上,阴暗的暗网公开出售被盗的医疗数据。“你可以使用这些配置文件进行正常的欺诈活动,或者为自己获得一个全新的医疗保健计划,并享受随之而来的所有优势,”RSA 调查人员发现的一则广告中写道。自 2009 年以来,美国有超过 1.7 亿份医疗记录在数据泄露事件中曝光,这是美国卫生与公众服务部统计的涉及 500 多条记录的事件。新的泄露事件经常出现在该网站上,该网站列出了机构名称、受影响人数以及泄露类型,例如盗窃、黑客攻击或未经授权的访问。最近几周,马里兰州的一家心脏诊所、俄亥俄州的一家牙科诊所、明尼苏达州的一家脊椎按摩中心和马萨诸塞州的一家医院都在报告泄露事件。
美国第二大保险公司 Anthem 在 2015 年表示,外部人员窃取了其 Blue Cross Blue Shield 计划中约 7880 万人的个人和就业数据以及社会安全号码——但不是医疗信息。马萨诸塞州医生加里·拉斯内斯基是数百万数据被盗的人之一。在他得知泄露事件后不久,美国国税局写信给他,说他们怀疑有诈骗者以他的名义申报了纳税申报表。起初,他耸耸肩,不以为然。“因为我每年都缴税,我想,‘好吧,让他们申报并为我缴税,’”他说。
但他很快就意识到这件事并非玩笑,因为犯罪分子会申报纳税申报表,希望获得退税。很快,有人试图使用拉斯内斯基的信息在百思买、欧迪办公和第一资本银行开设欺诈账户。他后来加入了针对 Anthem 的集体诉讼。根据波尼蒙研究所5 月发布的一项研究,医疗保健数据泄露事件给公司造成了估计每次事件 220 万美元的损失,导致年度集体损失达到 62 亿美元。然而,许多患者即使在发生泄露事件后仍会留在他们的服务提供商那里,因为更换医生、医院或保险公司比仅仅在不同的连锁店购物要复杂得多。相比之下,Target 在 2013 年被入侵后报告称,2013 年和 2014 年因入侵造成的损失总额超过 2.5 亿美元。即使不是 Anthem 的客户,数据也在同一次入侵中被盗——这是我在收到 Anthem 后来在我询问后披露的入侵通知信时得知的,原因是他们正在为我的前保险公司合作的 CVS Caremark 管理药物计划。
专家一致认为,无论是单人医生诊所还是医疗保险公司,医疗服务提供商都必须让黑客更难入侵他们的系统。为处理其信息而获得报酬的公司也应如此。然而,消费者也需要更加注意,采取诸如监控其电子健康记录等措施。“大多数门户网站都会向您发送警报,让您知道您的记录已被修改,”RSA 的格兰特说。“只要看到这一点,并且知道您没有订购任何东西,也没有去看医生,这应该是一个危险信号。”
一些医疗保健组织正在加强安全,但专家表示,大多数组织在金融和银行业等领域仍然滞后,他们指出,许多组织根本没有投入足够的时间和精力来解决这个问题。“大多数医疗保健组织和 BA [商业伙伴] 都既没有投资必要的技术来减轻数据泄露的风险,也没有聘请足够多的熟练 IT 安全从业人员,”波尼蒙关于该主题的最新年度调查得出结论。
哈利医疗的法夸尔森同意这一评估,并承认他公司的旧网站存在漏洞。其他人则宁愿不公开承认这些缺点。近年来遭受医疗泄露事件打击的其他三位首席执行官——包括 Anthem 的负责人约瑟夫·斯韦登——拒绝了本次文章的采访请求。