本文講的是<b>醫療記錄的價值:解密地下黑市電子醫療資料的價值</b>,
無論是在中國還是美國,網際網路醫療都已經得到了較為充足的發展,為患者的診斷和治療過程提供了很多便利,但同時,部分人可能還沒有意識到頭上懸着的達摩克利斯之劍——醫療資訊安全問題。
2009年到2013年期間,遭受網絡攻擊的醫療健康機構就由過去的20%增長至40%。而到了2014年,随着數字化程序的加快,網際網路醫療、電子病曆、智慧醫療裝置等的引入,受到攻擊的機構比例以及被竊取的病人資料,雙雙創下了新的記錄。據悉,像Intermountain Healthcare這樣的機構每周至少受到黑客攻擊千次以上。
那些年被黑客“光顧”的醫療機構
2014年,黑客入侵美國一家大型醫療聯合機構“社群衛生系統”(營運着美國29個州的206所醫院)的計算機網絡,成功竊取450萬病人資料。
2015年2月,美國第二大醫療保險公司Anthem宣布黑客盜取了公司超過8000萬客戶的個人資訊,包括了使用者家庭住址、生日、社保号和個人收入資訊,此次洩露成為美國有史以來最嚴重的醫療資訊洩露事件。
2015年5月,美國聯邦醫療服務商Blue Cross Blue Shield(BCBS)旗下的CareFirst保險公司宣布因為黑客攻擊,1100萬使用者資訊洩露。
2015年9月,一家名為Excellus保險商被黑客入侵,近千萬使用者資訊遭到洩露。
2016年6月,黑客入侵美國3家醫療保健機構(未透露姓名),并利用其遠端桌面協定漏洞成功竊取65.5萬名病人病曆,其中包含病人姓名、社保賬号、生日、位址等資訊。
2017年5月,英國國民保健醫療系統(NHS)宣布其英格蘭地區和蘇格蘭地區多個醫療機構遭到了大型網絡攻擊,并被勒索支付比特币。
根據美國衛生與公民服務部(HHS)統計顯示:近3年來,影響超過500人次的醫療資訊洩露事件發生次數沒有大幅度增長,但是受洩露所影響的人數呈現出“爆發式”增長。單是2015年,因各種原因導緻的醫療資訊洩露事件累計影響就已經達到了驚人的1.1億,是之前五年洩露人數總和的2.7倍。
為什麼青睐醫療資料?
那麼問題來了,為何黑客們比以往更為青睐醫療資料呢?隻是因為集體興趣改變了嗎?
根據Trustwave曾釋出的一份醫療行業的安全報告指出,醫療機構頻繁遭受黑客攻擊的主要原因有三點:
1. 醫療記錄已經轉移到了網上,并且在病人、醫療機構之間可共享;
缺乏正确的“網絡衛生”,即落實到位的保護措施(例如未實施雙因素身份驗證、未要求使用者修改自己的密碼,以及允許雇員擷取超出自己工作範圍的個人資訊等),進一步加大了網絡威脅面。
2. 物聯網裝置和雲服務的使用;
物聯網裝置在提供便利的同時也加大了網絡攻擊面,由于缺乏安全生産意識,物聯網裝置可謂是為攻擊者實施入侵敞開了大門。通過Shodan搜尋引擎的檢測結果顯示,絕大多數的醫療裝置和網絡都是可以公開通路的,很容易遭受攻擊。
3. 醫療保險資料的價值越來越高;
安全公司 PhishLabs 的威脅情報總監Don Jackson發現,以往黑客們愛好的信用卡資訊盜竊正在降溫,市場開始飽和,這是因為有些信用卡對不上使用者個人資訊,沒什麼價值。
而醫療資料則不一樣,我們去醫院看醫生的時候,往往會透露社保帳号、個人财務資訊等等關鍵資訊,黑客們通過這些資訊的拼湊,就可以勾畫出一幅完整的個人資訊圖譜來。在黑市中,這些資訊如果能夠讓不法分子侵入到個人銀行帳号,那麼這些資訊賣出個幾百美元也很正常。
地下黑市中的醫療資料
在一個地方收集的資訊越多,對黑客來說它就會變成越有價值的目标。醫療資料成功吸引黑客的目光後,随之而來的就是越來越多的網絡犯罪分子開始傾向于在地下黑市銷售竊取到的電子醫療資料。
電子健康記錄(EHR)中包含患者在醫療過程中使用過的個人資料,具體涉及以下資料:出生日期、醫療保險ID、社會保障号碼以及财務資訊等,這些資訊一般可以通過特定的HER管理軟體進行通路。據悉,這些資料的在于其資訊所特有的性質:與信用卡資訊不同,HER中提供的個人資訊(例如患者的社會保障号碼、出生日期以及病曆内容等)都是獨一無二,不能輕易進行更改的,是以,這些資料在地下市場的保存期限和潛在價值都會随着增加。
【地下黑市各種醫療資料售價清單】
案例分析
【2016年8月AlphaBay上銷售醫療保險卡的廣告頁面】
Alphabay供應商正在銷售醫療保險卡,該卡可用于接受醫療護理以及通過郵寄訂單訂購處方藥。上圖顯示了一個威脅行為者正在銷售竊取的醫療保險ID卡,每張ID卡低至1美元。
【2016年11月4日AplhaBay上銷售具有完整醫療記錄的廣告頁面】
上圖顯示,一名黑客正在銷售包含美國公民“完整記錄”的醫療資料,其中具有特定的醫療資料和醫療保險資訊,售價以每人99美分起,如果需要大量購入,還可以享受折扣。
【AlphaBay上銷售醫療保險ID的廣告頁面】
上圖顯示,黑客正在AlphaBay上銷售綜合醫療檔案,其中包含患者姓名、社會保障号碼、位址、上次通路日期、下次預約時間、後續治療日程、出生日期以及醫療保險ID号碼等。每個患者的資訊條目5美元起售。
【2016年11月4日AlphaBay上銷售英國公民醫療保險ID和駕駛執照的廣告頁面】
上圖顯示,黑客正在銷售英國公民的醫療保險ID和對應的駕駛執照資訊,以及公民全名、位址和電子郵件等。每10條記錄的售價為20.43美元,一條記錄售價為3.34美元。
【AlphaBay上出售紐約公民駕駛執照的廣告頁面】
上圖顯示,黑客正在出售政府識别檔案,例如紐約市公民的駕駛執照,此外,黑客還出售其他多種官方政府識别檔案,如護照以及出生證明等。其中,駕駛執照的售價為170美元起。
【AlphaBay上使用被盜資料銷售新身份的廣告頁面】
上圖顯示,黑客正在出售“制造的”的新身份,該身份是通過被盜的個人資訊,包括社會保障号碼、出生日期、教育記錄、就業記錄、醫療保險、汽車保險以及不再使用的個人護照(通常是已死亡人員)等建立而成。一般情況下,這些“制造的”新身份可以賣到1000美元的高價。
犯罪分子利用電子醫療記錄的方式
除了銷售這些構成HER的單個資訊外,攻擊者還可以收集這些資訊來建立新的産物,提供新的産品和服務,包括:
1. 藥物采購
購買包含處方資訊的HER資料可以幫助網絡犯罪分子通過醫療保險提供者使用的郵購計劃來采購處方藥物。之後,這些藥物就會被放在黑市上出售來擷取巨額利潤。通過擷取的醫療ID,網絡犯罪分子可以建立或更新他們購買的個人資料中的檔案位址,然後使用原始賬戶持有人存儲的信用卡資訊将藥物發送到家中,處方藥的銷售在黑市中頗受歡迎。
據Surescripts介紹,在2014年至2015年期間,支援電子處方的線上軟體已增加了7.5倍。一些國家或地區(如紐約)還制定了所有處方藥物必須通過電子處方軟體來處理的任務。去年,已經有超過77%的醫療機構實作了處方數字化。
【2016年9月19日,Valhalla網站上出售美國禁毒署管制藥物的頁面】
上圖顯示,在Valhalla市場上可以購買一些美國禁毒署管制的藥物,如抗焦慮藥Xanax和Klonopin等。
【Vahalla上出售Ambien藥物的廣告頁面】
上圖是關于Ambien的廣告頁面。據悉,Ambien是一種受控藥物,通常被用于幫助睡眠障礙者入眠。不過現在,Ambien正在被許多使用者濫用,據美國藥物濫用和心理健康管理局(SAMHSA)的報告顯示,2006年-2011年期間,約開出了3800萬關于Ambien的處方藥單,美國現在有50萬人正在濫用該受控藥物。
2. 身份盜竊
2014年,Ponemon研究所的一項研究顯示,醫療身份欺詐的受害者人數為50萬人左右。而到了2015年,這一數字上升到了22%,其中還沒有增加Anthem的違規事件。在解決欺詐問題上,信用卡違規行為造成的财務損失每張卡僅為50美元,而在醫療衛生行業,65%的身份盜用受害者需要花費1.35萬美元來解決資料洩漏帶來的損失,其費用涵蓋債權人和法律顧問的服務費用等。信用卡可以輕易地取消或更換,但是醫療健康資料(如社會保障号碼、出生日期等)是永久性的,這些資料将永久存在,而犯罪分子也可以将這些資料重複用于各種目的,無懼時限。
據消費者金融保護局介紹,信用報告中收集的賬戶大約有一半是由于其他人盜用身份造成的醫療債務。單一的債務催收賬戶就會導緻信用評分下降50至100分。
信用局會等待180天才會将你的醫療債務添加到信用報告中,但與信用卡犯罪不同,醫療身份盜用可能需要3個多月的時間才會報告犯罪行為,而且30%的人永遠不知道自己是受害者。
當受害者的醫療ID被另一個人用于接受醫療服務時,其HER資料也會被修改——有時會影響到關鍵資訊,如患者的血型、已知過敏清單等。檢測醫療身份盜用并不像檢測信用卡犯罪那麼容易,結果,約有20%的受害者經曆了錯誤診斷,或是由于HER資訊被使用和更改而延遲治療時間。
3. 醫療保險
【Alphabay上出售加州州立醫療保險卡的廣告頁面】
上圖顯示,黑客正在出售包含社會保障号碼、出生日期以及醫療保險ID等可以用來擷取醫療保險的個人資訊。
4. 出生證明
【2016年9月15日AlphaBay上釋出的出售出生證明的廣告】
利用從醫療記錄中擷取的資料,黑客還可以單獨出售其中的出生日期等資料,來建立一個真實出生證明的副本。根據上圖所示,一個出生證明的售價為500美元。
5. 欺詐性報稅表
【Valhalla上提供欺詐性報稅服務的廣告頁面】
過去兩年,犯罪分子使用被盜資訊實施稅務欺詐的數量正在急速增加。是以,Turbo Tax(美國報稅軟體)不得不暫停國家稅務的申報工作,轉而調查越來越多的稅務詐騙案件。上圖顯示,供應商以每個報稅單15美元的價格為買家提供25份所得稅報稅表。
緩解方案
近年來,雖然醫療衛生行業的網絡安全防護水準有了較大提升,但依然不足以化解日益精進的安全威脅。為此,我們建議IT團隊可以采用下面5個步驟化解危機:
1. 確定系統安全,及時修複漏洞
定期全面檢查機構現行辦公系統和應用,及時發現并修複漏洞,避免漏洞被黑客利用造成機密洩露。要確定辦公作業系統盡可能使用正版,并定期更新,安裝更新檔程式,此外,資料庫系統需要經常排查潛在風險,依據評估預測,積極做好系統更新。
需要特别注意的是,微軟已經停止對Windows XP的服務支援,并在2015年7月也已經停止對Windows 2003伺服器的安全更新。而醫療行業往往部署了大批量的XP桌面和Windows 2003系統,進一步使IT團隊面對未修補漏洞的新威脅。為此,使用者需要及時更換陳舊裝置或系統,或是采用更完善的檢測機制,及時發現并控制潛在威脅。
2. 全方位保護患者入口網站、資料中心、電子病曆系統
無論資料存儲是在内部、雲端,或是在虛拟化和實體機共存的混合環境都必須受到保護。使用者可以市場上較為可靠的雲計算和資料中心安全解決方案,保護應用程式和資料、防止業務中斷,同時滿足合規性要求。此外,對于醫療行業特需的EHR軟體,其供應商也需要專注于加強其資料安全性,并定期監控可能會影響運作其程式的裝置的漏洞。
3. 保護終端上的醫療資訊
在現階段,網絡中可能存有病患資料的位置非常廣泛,這包括移動儲存設備、筆記本電腦、多個虛拟桌面或PC終端。終端越多,風險面就會越大,這也是資料外洩事件頻頻發生在醫衛行業的頭号原因。是以,醫療機關的網絡安全防護措施必須覆寫所有終端。
4. 加強安全意識教育訓練
近年來的一系列企業洩密事件的發生,根本原因還在于安全意識的嚴重缺失,加強安全意識的教育訓練刻不容緩。醫療機構及其第三方服務支援企業需要定期進行安全意識的宣導,強化員工對資訊安全的認知,引導員工積極執行企業保密制度。
5. 加強對資料庫的通路控制
需要明确資料庫管理和使用職責分工,最小化資料庫帳号使用權限,防止權利濫用。同時,要加強密碼管理,使用雙因素身份驗證、高強度密碼,删除系統預設帳号密碼等。
原文釋出時間為:2017年9月20日
本文作者:小二郎
本文來自雲栖社群合作夥伴嘶吼,了解相關資訊可以關注嘶吼網站。.
<a href="http://www.4hou.com/info/news/7710.html" target="_blank">原文連結</a>