医疗记录遭黑客攻击呈蔓延趋势

2015 年 2 月，Anthem 公司遭遇黑客攻击，7880 万客户的资料被盗，这成为历史上最大规模的医疗保健数据泄露事件，并开启了具有里程碑意义的一年。据美国卫生与公众服务部下属的民权办公室（OCR）称，去年有超过 1.13 亿条医疗记录遭到泄露。换个角度来说，如果每起案件都代表一个人，那么三分之一的美国人会成为受害者。

相比之下，今年看起来比较温和，但现在才三月份，就已经有 350 万条医疗记录遭到泄露。根据美国卫生与公众服务部的这份列表，到目前为止，2016 年医疗保健行业平均每周发生近 4 起数据泄露事件。

“如果你仔细想想，这非常糟糕，因为我们所有人都与医疗保健系统有交集，”计算机科学家和信息安全专家 Avi Rubin 在 1 月份的 USENIX Enigma 会议上讨论医院网络安全状况时说道。

关于支持科学新闻报道

如果您喜欢这篇文章，请考虑订阅我们的新闻报道，以支持我们屡获殊荣的新闻报道。 订阅。通过购买订阅，您将帮助确保关于当今世界发现和塑造我们世界的有影响力的故事的未来。

在担任约翰霍普金斯大学健康与医疗安全实验室主任之前，Rubin 为许多行业的公司提供网络安全服务。银行。汽车租赁公司。零售商店。应有尽有。但他表示，就网络安全问题而言，医疗保健行业是“最差的”。

“他们的数据安全措施远远落后于其他所有行业，”Rubin 说。

事实上，医疗保健行业在 2015 年美国数据泄露事件中排名第二，并在 Verizon 的 全球黑客报告 中位列前 10 名。

这在前线是什么样子？据报道，在两周前的西南偏南音乐节上，波士顿的贝斯以色列女执事医疗中心首席信息官约翰·哈拉姆卡称，该医院每七秒钟就会遭到一次黑客攻击。2011 年，中国的网络犯罪分子从贝斯以色列女执事医疗中心窃取了 2000 张患者 X 光片。哈拉姆卡表示，这些扫描件通常会被出售给无法通过旅行签证健康检查的中国公民。

尽管如此，医疗网络安全在主流对话中（例如在竞选过程中）很少受到关注。在主要的共和党总统辩论中，“黑客”、“网络攻击”和“网络战”等词语仅被提及 16 次。民主党候选人的情况更糟，在 10 月 13 日的辩论中，参议员吉姆·韦伯仅提及一次“网络战”。在初选辩论中，两党都没有在医疗保健网络安全的背景下使用过这些术语。

但以下是每个人都应该关注的三个原因。

1. 您的健康记录已成为货币

华盛顿特区关键基础设施技术研究所（ICIT）联合创始人兼高级研究员詹姆斯·斯科特表示，“电子健康记录比被盗的信用卡价值高 100 倍”。斯科特研究所的成员定期在立法者和技术专家之间举行会议，以促进网络安全政策的制定。斯科特表示，虽然针对金融信息存在许多保障措施，但针对健康数据的保护措施较少，而健康数据价值更高。

“对于信用卡，这笔钱是有保险的。如果银行有联邦存款保险公司支持，大多数信用卡号码被盗的人实际上不会损失这笔钱。银行会弥补差额，”斯科特说。“但是对于电子健康记录，医院和保险公司之所以成为如此大的目标，首先是因为其回报。”

斯科特表示，在暗网论坛上，一份医疗保险或医疗补助电子健康记录的售价可以达到 500 美元。全球信息服务公司益百利估计，在黑市上，健康记录的价值是信用卡号码的 10 倍。

“如果您购买 100 份电子健康记录，您将获得每个人的所有信息——社会安全号码、所有地址、他们的孩子、他们的工作，”斯科特说。“恶意行为者希望获得尽可能多的情报，而医疗保健是经验丰富和经验不足的黑客最容易攻击的目标。”

数据泄露每年给医疗保健行业造成 估计 56 亿美元的损失。

2. 您的医院网络安全可能存在漏洞

医疗保健占据着一个脆弱的网络安全空间。随着健康黑客、自我护理和个性化医疗的兴起，人们、医生和监管机构都希望更容易地访问患者数据。Rubin 表示，危险来自开放大量用于共享和存储数据的通道，但没有适当的数字保护措施。

作为一项旨在识别漏洞的实验，独立安全评估机构在过去两年中 试图渗透 美国 12 家医疗机构和 2 家医疗数据中心的网络安全。不用担心；他们被聘用是为了这个目的。

在一家医院，该团队通过在多个楼层散布 18 个包含恶意软件的 USB 存储棒来入侵计算机化的药物配药系统。每个 USB 存储棒上都有医院的标志，这可能足以说服一位不知情的员工使用其中一个。如果黑客攻击是恶意的，那么攻击者可能会更改药物剂量，这对患者来说可能危及生命。在另一家医院，他们利用一个无人看守的大堂信息亭来访问患者的血液检查记录，理论上这些记录可以被篡改以导致不当治疗。

根据独立安全评估机构的说法，网站是网络犯罪分子的另一个途径。该团队假装是一名患者，登录到电子健康记录网站，但他们在患者信息字段中填写了恶意代码。当一位不知情的管理员（医生或护士）查看此新患者信息时，恶意代码就会被安装，无意中授予黑客“修改数据库中所有患者健康记录的全部能力”，独立安全评估机构在 2 月 23 日发布的一份报告中写道。

患者也以智能手机健康应用程序的形式随身携带这些漏洞。对 Google Play 商店中 211 个糖尿病应用程序的调查 发现，81% 的应用程序缺乏隐私政策。在其余 41 个具有隐私政策的应用程序中，25 个应用程序 (61%) 会在法律要求的情况下共享用户数据；20 个应用程序 (48.8%) 会与第三方共享用户数据；16 个应用程序 (39%) 允许将用户数据用于广告目的。

“这项研究表明，糖尿病应用程序会与第三方共享信息，从而造成隐私风险，因为联邦法律没有针对医疗应用程序向第三方出售或披露数据提供法律保护，”伊利诺伊理工学院芝加哥肯特法学院的研究作者写道。“患者可能会错误地认为输入应用程序的健康信息是私密的（尤其是在应用程序具有隐私政策的情况下），但通常情况并非如此。医疗专业人员应在鼓励患者使用健康应用程序之前考虑隐私影响。”

Rubin 建议采取一些政策，例如加密所有患者数据，限制谁有权查看医疗图表以防止医院发生泄露以及多因素身份验证。他还表示，应该监控医院数据库中的搜索次数，以发现黑客可能一次下载大量健康记录的情况。

3. 您可能忽略了网络安全中最大的缺陷。

那是因为您网络安全中最大的缺陷可能就是您自己。

持续蔓延的勒索软件就是一个很好的例子。勒索软件通过加密受害者的计算机或数字文件来挟持它们，自 1989 年以来，它以各种形式存在。然而，最新的形式——加密勒索软件——自三年前出现以来，像野火一样蔓延。在 2014 年的最后四个月，超过 128,000 台台式机受到了勒索软件的攻击。到 2015 年年中，这个数字已经成倍增加，翻了一番达到 337,000 起。

今年 2 月，好莱坞长老会医疗中心成为勒索软件最新高调的受害者之一。医院院长兼首席执行官艾伦·斯特凡内克 将此次攻击描述 为“显然不是恶意的”和“只是一次随机攻击”，这表明了这种勒索软件的主要途径：受感染的电子邮件。ICIT 声称该医疗中心 遭到了 Locky 加密勒索软件的攻击，该软件以电子邮件附件中的 Word 文档 的形式出现在收件箱中。

这种攻击方式被称为网络钓鱼——黑客将恶意代码隐藏在看起来合法的电子邮件或网页中。这种虚假的通信中包含旨在说服受害者点击的功能——这被称为社会工程。

这些黑客攻击有两种常见的版本，即鱼叉式网络钓鱼和鲸鱼式网络钓鱼，它们的目的是利用人性和信任。例如，名人裸照黑客事件：就是通过电子邮件进行的鱼叉式网络钓鱼。一名青少年通过电话钓鱼了一个Verizon员工，从而侵入了中央情报局局长约翰·布伦南的电子邮件。

斯科特说：“鱼叉式网络钓鱼是指攻击者会向你发送电子邮件，看起来像是来自合法来源的消息。但当你仔细观察时，会发现 @newshour.org 变成了 @newshour.uk 或 .co 之类的东西。” “鲸鱼式网络钓鱼是指他们可能会发送三封高度针对性的电子邮件。[黑客]通过社交工程研究，从社交媒体和你自己在网上发布的信息中收集信息，从而设计出几封量身定制的电子邮件。”

斯科特说，网络窃贼经常通过 LinkedIn 等半公开的社交媒体平台获取情报。

“他们可以看到你上过哪所大学，在哪里工作。然后他们可以深入挖掘，找到你的 Facebook，并找到你的结婚时间。很多时候，这只是因为他们做了功课，”斯科特说。

他补充说，教育是防止医院遭受网络钓鱼攻击的关键。

斯科特说：“医院和保险公司需要教育他们的员工：‘这就是鱼叉式网络钓鱼攻击的样子。’‘这就是欺骗性浏览器是什么样子。’‘看看这封电子邮件，这封电子邮件和那封电子邮件有什么不同。’ “当你收到这些奇怪的东西时，你应该把电子邮件转发给公司的信息安全人员。”

他可以在虚拟专用网络中打开可疑电子邮件，这样恶意代码就永远无法访问他的计算机或公司网络。

奥巴马总统最近宣布了网络安全国家行动计划，该计划承诺投入 6200 万美元来教育下一代网络安全人员，但它没有提及对普通民众进行黑客使用的社交工程培训。如果人们继续为恶意代码打开大门，那么任何高科技加密、安全软件或大量的 IT 员工都无法阻止他们。

“这是培训人们不要点击。就是这样。这很疯狂，但教人们不要点击太难了。就是不要点击，”斯科特说。

本文经PBS NewsHour许可转载。它于 2016 年 3 月 23 日首次发布。