随着黑客不断采用各种恶意软件工具,医疗行业正在抵御一波勒索软件攻击。最近的一项调查发现,在过去的四年中成功打击了172次针对医疗保健系统的网络攻击。
除医院和诊所外,医疗保健行业还包括牙科服务提供者,老年护理提供者,医疗检测,实验室,健康保险,医疗用品等。尽管74%的攻击针对医院和诊所,但该行业的任何部门都可能成为勒索软件攻击的牺牲品。只要它能够保存有价值的患者数据或能够产生收益,黑客就将设法破坏该系统的这一部分。
自2016年以来,已经在1,446个各种医疗组织(包括医院,诊所等)上记录了172起个人攻击。总体费用估计为1.57亿美元,但实际数字可能更高,因为很少有机构报告付款或最终费用。
根据攻击的大小和目标,赎金的价值千差万别,从最低的1600美元到最高的1400万美元。而且,这还不包括停机时间的成本,停机时间可能远远超过付款本身,尤其是因为要完全修复大型医院的基础架构可能需要几个月的时间。
自2016年以来,有关黑客需求的最佳估计总计约为1,648万美元,但缺乏透明度会影响公共数据。收集过去四年中所有已知的付款只会产生640,000美元。
美国的大多数医疗保健行业都是私人的,并非所有机构都报告有入侵或攻击。此外,只有安全事件影响到至少500人(这是任意行),美国卫生服务部才共享数据。Comparitech 调查收集了来自官方政府来源的数据,并汇总在一个地方。
医疗数据安全存在哪些风险?
- 数据管控风险
虽然医疗组织正在逐渐增强数据安全意识,但关于数据管控尚未建立统一管理机制,制度的完善相对滞后,同时“互联网+”等新兴业态的不断涌现,并渗透至医疗领域的各个环节,客观上导致原本相对封闭的使用环境被逐渐打破。
- 外部攻击风险
医疗行业数据价值高,很容易引发来自互联网的攻击行为,漏洞如果无法及时修复,自然会为外部攻击提供了途径,黑客能够非常精准地获取数据,继而进行精确诈骗,因此必须采取有效措施应对外部攻击风险。
- 数据交换风险
为了规避数据交换风险,需要建立科学的对外数据交换标准,提高数据安全要求,同时强化对病患敏感数据的脱敏处理能力。
- 数据泄露风险
内部人员的权限管控制度如不完善,非权限人员便可随意访问病患隐私信息,数据泄露风险很大;加之内部人员监管手段不足,引发取证难等更多问题。
保护数据安全,从HTTPS加密开始
如何保障平台数据安全也成为了各级单位不可忽视的一个问题,当今互联网环境下,各类数据泄露事件频发,对国家和个人造成的影响都是巨大的,信息安全是实现平台安全的第一道防线,必须要为平台加上一把“安全锁”——SSL证书。
网络安全威胁可能会从各个渠道渗透到医疗系统中,任何一个疏忽都可能导致前功尽弃,因此数安时代GDCA建议医疗机构建立全面的网络安全防护,在服务器、网络、终端等多个渠道提升网络威胁防御能力,防护患者入口网站、电子病历系统、医疗终端等各个节点,防止数据外泄,第一步就是要实现HTTPS加密。
我们都知道在HTTP页面中,用户的各项数据都是明文出现在互联网中,一旦数据在传输过程中被人截获,就会被泄露,更有甚者,还会遭到恶意篡改。数安时代GDCA建议各医疗机构尽快将网站、APP等迁移到HTTPS加密,在数据传输层就对数据进行全方位保护,避免数据被泄露或篡改,同时也树立权威的官方形象。
HTTPS加密在医疗平台的作用:
身份验证:通过验证HTTPS中的SSL证书信息,确认网站的真实身份,增强用户识别正确医院网站信息,避免用户点击了假冒医院网站而上当受骗。
数据加密传输:通过SSL加密层,对传输的数据进行加密和解密,确保数据在传输过程中的安全,保障数据的机密性和完整性。
保障病人隐私信息:经过SSL层加密后,用户的个人住址、联系电话、病历内容等都经过严密的加密,第三方无法进行窃取,保障了用户隐私信息的安全,同时也增强用户对平台的信任感。
促进全国HTTPS加密进程:全国推行HTTPS加密已成趋势,医疗信息平台应该走在最前沿,率先推进HTTPS的进程,保护广大民众的医疗信息安全,更维护好医疗系统机密数据不被第三方窃取。
