2015年安騰(Anthem)和Premera這兩家醫療保險公司，泄露了多達數百萬份的醫療記錄，這次泄露事件也使得公眾開始意識到安全在醫療機構中的重要性。2016年相較于2015年，則針對醫療機構的大規模數據泄露事件明顯少了不少。但令人遺憾的是，這并不說明醫療機構的安全問題已經得到了解決。事實上，在去年各行各業都遭受了不同程度的勒索軟件攻擊，而醫療機構則成了這種威脅的重災區。這與近年來連接互聯網的醫療設備和健身跟蹤器的不斷激增有關，同時也表明了醫療保健的未來將會面對更多的挑戰。

勒索軟件只是冰山一角

近年來勒索軟件的攻擊可以說是愈演愈烈，而勒索的贖金也水漲船高。因此，勒索軟件的成功勒索往往意味著被勒索的企業或個人，需要支付高額的贖金甚至面臨被‘撕票’的巨大風險。那么我們就真的拿勒索軟件沒辦法了嗎？事實上，勒索軟件是一種可以通過針對端點和網絡的最低安全實踐來減輕的威脅。在發現第一個勒索軟件的變體之后，安全專家往往不會將其視為嚴重的威脅，因為此時的勒索攻擊可以很容易的被阻止，即便惡意文件被執行了也不會有太大的問題：受害者只需將提前備份的數據恢復，就可以輕松的擺脫贖金勒索。

但事實上，許多個人或企業可能并沒有按規則去很好的執行那些安全防護措施。例如：一些企業可能并沒有按計劃，進行定期的數據備份。用于檢測惡意郵件，文件，鏈接或流量的安全產品，可能配置不當或缺與完善。備份策略可能未正確實施，導致備份文件也受到勒索軟件的攻擊等。對于用戶而言可能會因為某些安全措施過于繁瑣，而直接禁用這些安全產品。

無論是什么原因，最終造成的結果將是，受影響的企業可能需要支付高額的贖金來交換他們的數據。而對于醫療保健行業來說，數據往往關乎著人們的生死攸關問題，因此勒索軟件也更青睞于這些數據，并以此來敲詐更為高昂的贖金。

風險評估和補救的重要性

在此前的有篇文章中，我們已經就風險評估在醫療保健中的重要性進行了相關的討論和說明。通過定期分類資產和傳輸方式，可以幫助你確定可能的漏洞和風險。當你考慮到這些風險的可能性和潛在成本時，你可以提前做好你的防護預案，來最大程度的幫助你減少或避免損失。

　　針對勒索攻擊，我們可以參照以下對信息資產進行風險評估：

什么資產有被勒索軟件加密的風險？

勒索軟件是通過什么傳輸方式進入你的網絡的？

該威脅是通過什么方法來接收命令，并加密你的文件的？

受到這種威脅的可能性有多大？

成功攻擊將會造成多大的潛在貨幣損失？

不幸的是幾乎所有可被在互聯網訪問的數據或或系統，都屬于可能被加密的風險資產。勒索軟件的攻擊，往往會通過分發包含惡意文件或鏈接的網絡釣魚郵件來實施。攻擊者一般還會結合社會工程學的手段，來欺騙目標點擊或下載郵件中的鏈接或惡意文件。因此在這種情況下，電子郵件將會是主要的傳輸方式，而社會工程學將是決定成敗的關鍵因素。惡意軟件通常需要向外發出請求指令，并通過特定的控制通道來接收指令，許多勒索軟件的變體都會通過諸如HTTP或HTTPS的通用協議，來進行命令的傳輸和接收。而具體的貨幣損失也因組織而異，但對于所有行業和企業規模來說，都有被攻擊的可能性。

你可以通過采取以下措施，來盡可能的降低風險和減少損失。例如：

定期執行備份和驗證，以在受影響時進行數據的及時恢復。

網絡隔離，以限制惡意軟件在你系統上的活動。

過濾垃圾和網絡釣魚電子郵件，降低惡意軟件到達用戶的風險。

提高自身安全意識，降低惡意軟件被執行的可能性。

鼓勵用戶主動將可疑電子郵件或文件提交給IT或安全人員，以提高郵件過濾的有效性。

在網關，網絡和端點等關鍵部位部署使用防病毒軟件，可以及時的幫助我們發現和阻止惡意軟件進入你的網絡。做好初始的防御計劃，可以讓我們減少損失。

防火墻和入侵防御軟件可以幫助我們，識別未知或不需要的網絡流量。此外，還可以幫助我們減少各種其他類型的攻擊行為。全面的風險評估和提高組織的整體安全狀況，可以大大降低所有類型安全漏洞的頻率和嚴重程度。

醫療健身器材

隨著物聯網的不斷深入和普及，醫療和健身設備也緊跟步伐，越來越多的醫療和健身設備也都連接到了網絡。而大部分這些設備都存放著用戶較為敏感的隱私數據，但其安全性卻往往被人們所忽視。正如我們所看到的，沒有堅實安全基礎的保護將會導致嚴重的后果。

醫院網絡中的醫療設備

我們都只知道醫院所使用的醫療設備，通常都非常的龐大且價格昂貴。這些設備都喜歡運行在（例如Windows XP Embedded）的操作系統上，且都是些早已過時的操作系統。這些設備通常都可以非常方便地訪問醫院網絡的其他分支，其中保留了許多不同類型的敏感信息，例如用于計費的財務信息，用于保險的身份信息，以及由病人訪問產生的健康相關信息等。

這些數據對于攻擊者而言，是一筆利潤豐厚的買賣 –這些醫療數據在黑市上通常可以以，高于信用卡或借記卡十倍的價格出售。醫院的醫療設備往往會使用與臺式機類似的操作系統，因此你可以使用臺式機相同的技術手段，來保護這些系統。而對于那些使用嚴重過時操作系統的設備，則應該給予更多的額外保護。最好的做法就是將所有設備與網絡隔離，但仍需要注意防范移動介質傳播的風險。

家中的醫療設備和跟蹤器

家庭使用的醫療設備和健身跟蹤器相比醫院的設備則小了不少，這樣做是為了方便更好地佩戴或植入。它們大多使用的是，基于Linux的操作系統。這些設備通常會與互聯網進行連接，或是與移動設備或計算機進行實時的數據同步。

這些設備雖然不會收集和存儲用戶的支付卡信息，但是這些設備上存儲的一些其他信息，可能會幫助攻擊者來竊取或修改受害者的支付卡信息。例如email地址，用戶名和密碼，GPS數據，以及家庭或工作地址等。此外這些設備一般都會記錄用戶的重要健康數據，一旦被攻擊者惡意的利用及修改，則可能造成嚴重（甚至致命）的醫療問題。

對于個人的醫療設備而言，我們要做的是保證設備不被利用來傷害用戶或泄露他們的隱私數據。而對于類似于胰島素泵或心臟起搏器，這類直接關乎到人們生命安全的重要醫療器材，作為制造商應當在設計階段就進行嚴格的安全把關。

醫療器械的保護

以下是針對醫療設備制造商提出的安全建議：

隱私設計 - 了解隱私設計的七大原則。

數據加密 - 對通過電子郵件，網絡或IM發送的數據或與同步計算機時，應當對這些數據進行強力的加密保護。

增加數據存儲選項 - 讓用戶能夠本地存儲跟蹤信息，而不僅僅在云端。

驗證訪問賬戶 - 在允許數據進行共享，修改或植入之前，進行嚴格的身份驗證，并盡可能的為用戶提供多因素身份驗證。

設置故障安全狀態 - 發生錯誤和故障，設備必須默認將對關鍵功能的訪問設置為維護狀態，以保證在發生問題時不會危及用戶。

保證代碼安全性 - 避免合法代碼被未經身份驗證的惡意代碼所利用。

為漏洞做準備- 建立并公開發布負責任的漏洞報告披露政策。

為數據泄露做準備 - 創建事件響應計劃，以便在數據泄露的情況下，可以做出快速的反應。

為政府審查做準備 - 美國食品和藥物管理局(FDA)和聯邦貿易委員會（FTC），正在密切關注醫療器械領域。因此做好以上的事情可以幫助制造商們，避免一些法律問題和巨額的罰單。在可預見的未來，醫療保健行業的安全性可能會成為大眾關注的焦點。盡管目前仍存在著諸多的問題，但我相信在不久的將來，醫療保健行業勢必會成為其他行業的典范，并融入進我們生活的方方面面。