2020年的医疗面临什么问题

  由于Anthem和Allscripts等备受瞩目的违反相关规定的行为，消费者现在更担心他们受保护的健康A数据隐私与安全调查询问了欧洲和美国近6400名花了钱的人其数据安全的看法。调查显示，61%的受访者担心他们的医疗数据被泄露。

  他们有充分的理由对此表示担心。医疗保健行业仍然是黑客的主要目标，并且内部威胁也有很大的风险。

  医疗保健组织往往有一些特殊的属性，使其成为了攻击者的诱人目标。一个关键原因是大量的没有定期修补的不同系统。“其中一些是嵌入式系统，由于制造商创建它们的方式，这些系统无法被轻松地修补。”“如果医疗保健的IT部门选择这样做，将会给供应商支持他们的方式带来重大问题。”KnowBe4的首席布道师兼战略官Perry Carpenter说。

  医疗保健机构所做事情的关键性质也使他们容易成为攻击者的目标。健康数据在网络犯罪世界中是一种有价值的商品，这自然而然的使它成为了盗窃的目标。因为事关重大--涉及到病人的福祉--医疗保健机构也更有可能支付赎金要求。

  根据Verizon 2019年的数据泄露调查报告，勒索软件攻击已连续第二年占据了2019年医疗行业所有恶意软件事件的70%以上。另一项调查，Radware的信任因素报告数据显示，只有39%的医疗机构觉得自己对勒索软件攻击准备得非常充分或极其充分。

  没有理由相信勒索软件攻击将会在明年逐渐消失。“在我们充分强化我们的员工和系统之前，勒索软件将继续被证明是成功的，并获得更多的动力。他们将接着使用的载体是点击某个东西或下载某个东西的人。”Carpenter说。

  原因很简单：黑客认为他们的勒索软件攻击非常有可能成功，因为医院和医疗机构如果无法访问患者记录，就会危及到生命。他们会感到压力被迫立即采取行动和支付赎金，而不是经历漫长的备份恢复过程。

  “医疗保健是一项事业，并且与人们的生活息息相关。”Carpenter说。“任何一个时间里，当你的企业与我们正常的生活中最私人、最重要的部分交织在一起，并可能对其造成威胁时，你都需要立即做出一定的反应。这对部署勒索软件的网络罪犯来说很有效。”

  当医疗保健组织无法迅速恢复时，勒索软件的影响可能是毁灭性的。当电子健康记录（EHR）公司Allscripts在一月份因一次恶意软件攻击而关闭时，这一点就被戏剧性地提出来了。该攻击感染了两个数据中心，并导致许多应用程序离线，影响了数以千计的医疗保健提供商客户。

  对网络罪犯来说，医疗保健数据可能比财务数据更有价值。根据趋势科技的网络犯罪和医疗行业报告中所提到的其他威胁，被盗的医疗保险身份证在暗网上至少可以卖1美元，而医疗档案的起价为5美元。

  黑客能够正常的使用身份证和其他医疗数据中的数据来获取，如驾驶执照，根据趋势科技的报告，这些文件的售价约为170美元。一个完整的农场身份--一个由完整的PHI和死者的其他身份数据创建的身份--可以卖到1000美元。相比之下，信用卡号码在黑网上只能够卖到几便士。

  Carpenter说：“医疗记录之所以比信用卡数据更有价值，是因为它们在一个地方聚集了大量信息。”包括个人的财务信息和关键的背景数据。“身份盗窃所需的一切都在那里。”

  罪犯在如何窃取健康数据方面慢慢的变狡猾了。伪勒索软件就是一个例子。“看起来像勒索软件的恶意软件，但其实并没有做勒索软件所做的所有邪恶的事情，”Carpenter说。“在其掩盖下，它窃取医疗记录或在系统间横向移动，安装其他间谍软件或恶意软件，这些软件或恶意软件将在以后对罪犯有利。”

  根据Verizon的防止健康信息数据泄露报告，59%被调查的医疗服务提供商的数据泄露事件的行动者是内部人员。在83%的情况下，经济收益是其主要动机。

  很大一部分内部违反相关规定的行为是出于乐趣或好奇心，主要是访问他们工作职责之外的数据--比如查阅名人的个人隐私信息。间谍活动和积怨也是动机之一。“在病人留在医疗系统中的过程中，有几十个人能够得到其医疗记录，”Fairwarning公司的首席执行官Kurt Long说。“正因为如此，医疗保健提供商往往也有着松散的访问控制。普通员工可以访问大量数据，因为他们要快速获取数据来照顾他人。”

  医疗机构中不同系统的数量也是因素之一。这不仅包括计费和注册部门，还包括了专门用于妇产科、肿瘤学、诊断和其他的临床系统，Long说。

  “从窃取病人数据到用于身份盗窃或医疗身份盗窃的欺诈计划，都能够得到财务上的回报。这慢慢的变成了了该行业的一个常规部分了，”Long说。“人们正在为自己或朋友或家人改变账单，或进行阿片类药物的转移或处方转移。他们能够获取处方并出售它们以获取利润。”

  “当你从总体上看阿片类药物的危机时，这就是对医疗保健环境的直接解释，在医疗保健环境中，医护人员正坐在系统中阿片类药物的金矿上面，”Long说。“这是阿片类药物整体危机的最新数据。医护人员认识到了它们的价值，他们可能会沉迷于它们，或者利用他们获得的处方来获得经济利益。”

  Long指出，内部人士从窃取的患者数据中获利的一个公开例子就是Memorial医疗系统的案例。去年，该公司支付了550万美元的HIPAA和解金，以了结一项内部违反相关规定的行为，即两名员工访问了超过11.5万名患者的PHI。这一违反相关规定的行为导致Memorial医疗系统彻底改变了其隐私和安全姿态，以帮助防范未来的内部人员和其他威胁。

  网络钓鱼是攻击者获取系统入口最常用的手段。它可用于安装勒索软件、加密脚本、间谍软件以及窃取数据的代码。

  一些人认为医疗保健更容易受到网络钓鱼的攻击，但多个方面数据显示的情况并非如此。KnowBe4的一项研究表明，在遭受钓鱼攻击方面，医疗保健行业与大多数别的行业不相上下。一家拥有250到1000名员工的医疗机构，在没有接受过安全意识培训的情况下，遭受网络钓鱼攻击的几率为27.85%，而所有行业的平均几率为27%。

  Carpenter说：“（你很有可能会认为）利他主义、迫在眉睫的生死状况有几率会使人们做好心理上的准备，去点击一些让（医疗工作者）更容易受一定的影响的东西，但调查数字并没有证明这一点。”

  当谈到网络钓鱼的敏感性时，规模很重要。KnowBe4的多个方面数据显示，员工在1，000人以上的医疗机构中，平均有25.6%的人可能会被诈骗。“在拥有1000多名员工的组织中，我们正真看到他们中的大多数人接受了更多一点的培训，并会在更高的复杂程度上运作，因为他们必建立不同的系统来遵守严格的法规，”Carpenter说。

  秘密劫持系统以开采密码货币是所有行业中日益严重的问题。医疗保健中所使用的系统是加密挖矿（cryptojacking）非常着迷的目标，因为保持它们的运行至关重要。该系统运行的时间越长，犯罪分子就越有可能获得密码货币。“在医院环境中，即使怀疑有人在加密挖矿，他们也可能不会急于拔掉机器的插头，”Carpenter说。“受病毒感染的机器运行的时间越长，对罪犯的好处就越大。”

  这还是在假设医疗保健提供者能够检测到加密挖矿操作的情况下。加密挖矿代码不会损害系统，但是会消耗大量的计算能力。只有当系统和生产力变慢时才有机会识别到它。一些加密挖矿者会限制他们的代码以降低检测风险。而许多医疗保健组织也没有IT或安全人员来识别和修复这种密码货币攻击。

  医疗设施的安全多年来就一直是医疗保健领域的热点问题，众所周知，许多网络或互联网连接的医疗设施非常容易受到攻击。问题的关键是，许多医疗设施的设计并没有考虑到网络安全问题。在可能的情况下，修补通常只提供边缘保护。

  根据从2019年初开始的Irdeto全球互联行业网络安全调查，82%的医疗机构表示，他们在过去的12个月里经历过针对物联网设备的网络攻击。这些袭击的平均财务影响为346205美元。这些攻击最常见的影响是操作停机（47%），其次是客户数据泄露（42%）和终端用户的安全性泄露（31%）。

  在制造商开始制造更安全的设备之前，医疗保健领域易受攻击的医疗设备和其他连接设备将继续是一个威胁。虽然问题很普遍，但更新、更安全的型号要取代旧型号还需要很多年。

  更好地修补和更新关键系统。“事实上，那些旧的未修补系统常常是作为关键设备嵌入的，这导致了勒索软件的更大威胁，”Carpenter说。这可能会很困难，因为修补过程可能会中断关键系统或削弱供应商支持系统的能力。

  在某些情况下，或许也没有可用于已知漏洞的修补程序。Carpenter建议应该在供应商没有或不能修补或更新系统的情况下向他们施压。“与供应商保持积极的关系，询问为什么这些系统不能或没有更新，并保持一个行业的压力。”

  培训员工。根据KnowBe4的研究，医疗保健行业在培训员工识别网络钓鱼方面低于中等水准。许多医疗保健机构的规模很小，不到1000名员工，这可能是一个因素。Carpenter说：“这不仅仅是要告诉他们应该做什么。”你需要创建一个行为模拟程序，来训练他们不要点击网络钓鱼链接。

  这个程序意味着需要发送模拟钓鱼邮件。点击链接的员工应该会立即收到关于他们做了什么以及他们该怎么样做正确事情的反馈。这样的项目会产生巨大的影响。

  如果长时间坚持使用，培训就会起作用。KnowBe4的研究显示，在拥有250至999名员工的医疗机构中，经过一年的网络钓鱼培训和测试后，其对网络钓鱼的敏感度可从27.85%降至1.65%。

  小心有关员工的信息。网络钓鱼攻击越个性化，成功的可能性就越大。在鱼叉式网络钓鱼攻击中，攻击者会试图尽可能多地了解目标个人。Carpenter说：“如果不在办公的地方的回复给出了要联系的人的名字，攻击者就能够最终靠使用这些名字和关系链来建立信任。”。

  增强你防御和应对威胁的能力。“我（对医疗安全）最担心的事情是，医护人员缺乏在发现事故后进行适当调查的能力，缺乏对事故进行记录和评估危害的能力，缺乏与执法部门或法律部门合作以进行充分取证的能力。他们也缺乏可以有效的进行补救的员工，没办法保证这样的一种情况再也不会发生了，”Long说。他的建议是：“通过员工或合作伙伴关系来获得正确的专业相关知识。”他补充说，安全性需要成为董事会和管理层的优先事项。“确定安全优先级后的第一步是确保您有一个具有适用经验的敬业的CISO。”

  规模较小的医疗保健提供商可能没资源雇佣CISO，但他们仍然需要第一先考虑安全性，Long说。“他们在大多数情况下要在获得一流的安全专业相关知识方面更具创造性。这可能是通过合作或管理安全服务实现的，但没有人能够代替他们自己站出来说，我的病人应该得到安全保障，我必须致力于合作或让合适的安全人员进入到这里。”

  声明：本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人，不代表电子发烧友网立场。文章及其配图仅供工程师学习之用，如有内容侵权或者其他违规问题，请联系本站处理。举报投诉

  大数据自身特点以及存储环境等都为隐私倸护带来了不小的挑战。首先，介绍了

  随着现代医学的持续不断的发展，在“互联网+”、人工智能等新技术带动下，人工智能

  立法工作规划》中明确的立法项目之一，由市场监管总局、药监局起草。 雷锋网《医健AI掘金志》消息，12月22日，主持召开国务院常务会议

  8月27日，科技巨头亚马逊发布了名为“Halo”的智能手环，大多数都用在健康和健身追踪。同时，亚马逊还推出了与之配合的手机App及订阅服务。这是亚马逊旗下第一款可穿戴设备，标志着亚马逊向

  的计算机视觉、自然语言处理（NLP）等技术已经历了多次迭代，相应的市场规模也不断扩大。

  ，对于中国企业来说在逆风飞翔，包括华为、中芯国际等多家中国企业被美国政府禁购令压制、微信

  ，从环境到生活，覆盖范围极大。包括：微针；光催化；虚拟患者；空间计算；数字

  产品用户对产品持比较满意态度。比较满意用户比重达58%，非常满意用户比重为22%，合计占总用户比重达80%。

  健康领域交易量与第一季度相比增长近 6%，交易金额创历史上最新的记录，达到了 180.96 亿美元。而在所有的投资事件中，早期投资占比仍处于下降趋势。

  中游影像设备是产业链主体，总体向更清晰、更快速、更安全、更便携、更智能五大趋势共进发展，因此使其半导体含量继续增加。据报告数据显示，预计

  全球网络安全和杀毒品牌卡巴斯基(Kaspersky)的研究人员警告称，到

  迎来了一个良好的开端，其每日活跃的独立钱包数量用户群比去年同期增长了82%。 TRON在

  据报道，随着Netflix等流媒体服务的崛起，美国传统有线电视服务商正遭受巨大冲击。一份新的分析师报告描绘了有线