Зростаюча війна кібербезпеки в галузі охорони здоров'я

Автор: Lewis Jackson
Дата Створення: 12 Травень 2021
Дата Оновлення: 23 Червень 2024
Anonim
Зростаюча війна кібербезпеки в галузі охорони здоров'я - Технологія
Зростаюча війна кібербезпеки в галузі охорони здоров'я - Технологія

Зміст


Джерело: Scanrail / Dreamstime.com

Винос:

Медичній галузі необхідно посилити та розширити свої заходи безпеки, щоб подолати ці зростаючі загрози.

Оглядаючи 2016 рік з точки зору кібербезпеки, ми виявляємо дві певні тенденції:

  • Зростання розповсюдженого програмного забезпечення набуло значної міри в 1 мільярд доларів
  • Конкретне націлювання на медичні організації з боку хакерів для отримання інформації про здоров'я пацієнтів для отримання прибутку

Зловмисні напади на організації охорони здоров’я

Остаточний приклад обох тенденцій відбувся в лютому 2016 року під час широко розрекламованої нападу на викуп на Голівудський пресвітеріанський медичний центр в Південній Каліфорнії. Атаку розпочали у звичайному класичному стилі, клацнувши посиланням у вбудованому працівником лікарні. Ця проста дія дозволила зловмисному програмному забезпеченню проникнути в мережу і почати процес її шифрування через численні силосні дані. Незабаром пізніше ІТ-персонал був змушений вимкнути мережу, а співробітники лікарні обмежилися використанням ручки та паперу для основного медичного обліку. Сотні пацієнтів були перенаправлені до інших сусідніх лікарень, а більшість медичних процедур було скасовано. Деякі відділення медичної служби у лікарні повністю закрили. Після висловлення своєї думки та після довгих переговорів адміністратори лікарні поступилися та сплатили викуп у розмірі 17 тисяч доларів.


Хоча цей інцидент вкрав багато заголовків, це лише одна подія в зростаючій тенденції. Протягом цього місяця лікарні від Хендерсона, Кентуккі до Нойса, Німеччина зазнавали подібних атак. Така закономірність атак тривала впродовж решти року. Протягом останнього кварталу 2016 року в медичному центрі Кека УСК повідомлялося про напади вибухових засобів на дві їхні лікарні, а також на шість окремих сайтів Центру хребта Нью-Джерсі.

За підрахунками, 88 відсотків нападів викупових програм протягом другого кварталу 2016 року були спрямовані на організації охорони здоров’я. Така загроза стосується того, що Джоселін Самуельс, директор Управління з питань цивільних прав HHS, сказав:

"Однією з найбільших загроз конфіденційності інформації про здоров'я є серйозний компроміс цілісності та доступності даних, спричинених шкідливими кібератаками на електронні медичні інформаційні системи, наприклад, через викупне програмне забезпечення."

На щастя, збитки, отримані в більшості цих атак на викуп, обмежуються лише тимчасовим простоєм та ослабленим іміджем громадськості. На жаль, існує більша стурбованість, про яку повинна турбувати галузь охорони здоров'я.


Хакер DarkOverLord

Влітку 2016 року особиста інформація про здоров'я понад 655 000 людей була порушена під час трійки атак хакера, який працює під назвою "The DarkOverLord", колишнього експерта з вишукуваного програмного забезпечення, який вирішив переслідувати високі ставки гра в крадіжках захищених медичних записів інформації або ІСН. Хакер отримав доступ до всіх трьох компаній через постачальника SaaS, на який вони підписалися. Найбільший з трьох нападів був стягнутий проти великої медичної клініки в Атланті, штат Джорджія, що призвело до конфіскації 397 000 записів пацієнтів, включаючи первинне та вторинне медичне страхування та поліси. Друге порушення призвело до придбання 210 000 записів, які включали номери соціального страхування. Ці порушення були виявлені, коли The DarkOverLord зв’язався з усіма трьома організаціями, щоб попередити їх про порушення, зроблені скріншоти із зображеннями зразків даних, розміщених на сайті під назвою RealDealMarket. Цей недобросовісний сайт розміщений у темній мережі та є загальним порталом, який використовуються кіберзлочинцями для продажу, придбання та обміну всього, включаючи викрадені кредитні картки, записи про стан здоров'я пацієнтів та навіть наркотики. DarkOverLord погрожував усім трьом організаціям наміром продати викрадені дані найвищому учаснику торгів, якщо кожна з них не заплатила 1 долар за викрадений запис як плату. Наразі не було офіційного оновлення щодо того, чи сплачували компанії збори за вимагання.

Зростає напад на медичні компанії

Ці напади є лише невеликою репрезентацією багатьох порушень, які відбулися за останні пару років у галузі охорони здоров'я. Насправді, 80 відсотків керівників галузі, опитаних KPMG, сказали, що їхні інформаційні технології були порушені у 2015 році. Як приклад збільшення кількості націлених атак, провідна дослідницька організація з безпеки безпеки Інститут Понемону оцінює, що злочинні напади на інформаційні системи охорони здоров'я зросли на 125 відсотків між 2010 та 2015 роками. Насправді, п'ять із восьми найбільших порушень охорони здоров’я з 2010 року відбулися лише у 2015 році, залучаючи понад 100 мільйонів медичних записів пацієнтів. Загалом у галузевих цінах ці напади сягають 6,2 мільярдів доларів на рік.

Дослідження, проведене IBM X-Force, ілюструє цю тривожну тенденцію в їхніх результатах шляхом наступного порівняння:

Ні помилок, ні стресу - покроковий посібник зі створення програмного забезпечення, що змінює життя, не руйнуючи ваше життя

Ви не можете покращити свої навички програмування, коли ніхто не піклується про якість програмного забезпечення.

П'ять найкращих галузей 2015 року за кібератаки:

  1. Охорона здоров'я
  2. Виробництво
  3. Фінансові послуги
  4. Уряд
  5. Перевезення

П'ять найкращих галузей у 2014 році щодо кібератак:

  1. Фінансові послуги
  2. Інформація / комунікація
  3. Виробництво
  4. Роздрібна торгівля
  5. Енергетика / комунальні послуги

І якщо всього цього було недостатньо, дослідження, проведене Асоціацією корпоративних радників, показує, що 97 відсотків адвокатів корпоративного медичного обслуговування вважають, що їх організації піддаються більшому ризику кібератаки, ніж інші галузі. Деякі з інших результатів опитування включають:

  • 70 відсотків опитаних працюють над розробкою експертизи безпеки даних для задоволення цієї потреби.
  • 84 відсотки кажуть, що їх покликали оцінити, чи стосується інциденту з безпекою зобов'язання звітності. Після цього більшість із них попросили розробити відповідну внутрішню політику та процедури.
  • Третина заявила, що плани їх організацій застаріли для боротьби з останніми видами кіберзагроз або організаційними змінами.
  • 40 відсотків повідомили, що у їхніх організацій чи клієнтів є занадто загальні плани та відсутні специфічні рекомендації та тестування.

Причини, на які спрямована галузь охорони здоров'я

Не дивно, що хакери реалізували прибутковий потенціал галузі охорони здоров'я. Особиста інформація має високе значення долара на чорному ринку. В іншому звіті Інституту InfoSec, номери медичних ідентифікаторів Medicare досягли набагато вищу ціну на чорному ринку та темній мережі, ніж цифри соціального страхування у 2015 році. Величезною шкодою електронних медичних записів є те, що, на відміну від кредитних карток, медичні дані не можуть бути просто скасовано та перевидано. Це може пояснити, чому медичні записи пацієнтів отримують до десяти разів більше, ніж номери кредитних карток.

Більше того, лікарні та лікувально-профілактичні клініки вимагають 100% доступності даних та часу роботи в мережі. На жаль, багатьом організаціям охорони здоров’я не вистачає досвідчених фахівців з кібербезпеки щодо персоналу. Ще більш складним є те, що типовий офіс охорони здоров'я використовує так багато типів некерованих обчислювальних пристроїв.

Хоча керівники галузі, юридичні радники, навіть американський конгрес та інші уряди зараз визнають серйозність проблеми, для боротьби з експоненційною кількістю цих нападів потрібно багато роботи. Сподіваємось, 2017 рік виявляється кращим роком для безпеки ІТ.