如今,在黑市,病歷數據的價格比信用卡數據的價格高20倍。醫療數據更為詳細,網絡犯罪份子可利用進行身份竊取與詐騙的信息也較全面。更重要的是,患者確認信息被泄漏的時間花費較長,有些時候長達一年或者更久。
信用卡被竊后,金融機構的系統算法會快速檢測到異常活動且系統通常會自動提供保護,這些相同的保護在醫療系統未必具有。
即使在醫療系統內部,很少人認識到醫療系統的脆弱性。
傳統網絡攻擊
這些攻擊的類型是所有企業機構都會面臨到的,灰色軟件、網絡釣魚、特洛伊木馬以及勒索軟件,但是對于醫療系統尤其脆弱,因為缺少內嵌的防御且相對其他行業安全的意識不是很強。這些類型的惡意軟件,攻擊網站、垃圾郵件、感染移動設備或其他,不止會暴露敏感數據還會造成代價較高的IT維護成本。
這些攻擊并不是什么新型攻擊,但造成患者數據的泄漏是真實的。網絡犯罪份子已經發展了整個灰色軟件鏈條與平臺,可客制化攻擊醫療系統。
連接的醫療設備
如今,一切設備都是可連接到網絡的從心臟監控到注射器,自動連接到電子健康信息系統且提供實時的告警。從患者與運營的角度來講,這是好的事情;但從安全的角度來講,就是潛在的夢魘。
多數這樣的設備,例如MRI設備、CT掃描以及無數的診斷設備從沒有設計任何的安全策略在其中。許多診斷系統使用現成的操作系統,例如微軟的Windows,其他設備使用專有的軟件收集數據,并不確保安全。這些設備都是可被利用的攻擊點,一旦被攻擊,黑客們就會肆無忌憚的訪問到診療數據系統的所有數據。
通過聯網的設備,可被攻陷的不僅僅是患者的數據,更甚的是整個醫療機構的診療系統以及設備的正常有效的使用。
個人與家庭健康設備
設備激增這樣的事情不僅發生在醫院。家用保健設備、移動醫療應用、可穿戴的設備等,越來越多可收集并傳送個人健康信息的途徑。不止是這樣的設備及應用潛在的會暴露個人的健康數據信息(或至少不能保護這樣的數據),而且數據與電子病例記錄與診療數據系統一旦建立連接接口后,也成為數據泄漏可能的切入點。 與醫院的診療設備一樣,多數這樣家用的保健或者健康類的應用設計更多的是具有創新性的功能,而不會從數據安全著眼。
醫療系統的數據安全,是時候應考慮規避泄漏與竊取的可能性與風險了,無論是在網絡層還是應用層,在如今移動互聯的時代。
京公網安備 11010502049343號