深潜

WannaCry为医院提供的4课'的全球勒索软件攻击

网络攻击是常绿的,永远是未知的。高级管理人员的倡导和补丁管理可以帮助提供商更好地为下一次攻击做好准备。

上周的 国际WannaCry勒索软件攻击 揭露了医疗行业许多人已经知道但很少公开讨论的内容:医院极易受到网络攻击。

这次攻击对美国影响不大,但冻结了英国许多医院的计算机,迫使一些医院暂停服务或将患者拒之门外。 HHS表示,有证据表明袭击发生在美国,但未提供任何细节。 福布斯》最近报道 骇客袭击了一家美国医院的一台放射设备,但没有理由怀疑它损害了患者的安全。

虽然可能需要一些时间来评估WannaCry攻击的总体影响 至少112个国家,美国医院应该注意新型的勒索软件攻击,并开始将补丁程序管理纳入其日常工作中。

医疗咨询公司MyConsultQ的首席执行官Robecca Quammen博士最近对Healthcare Dive表示:“我们正面临前所未有的安全挑战。” “明智的做法是立即开始投资于入侵测试和快速修复测试中检测到的所有问题。这不再是满足法规(HIPAA风险评估)要求的练习。这是您应对攻击的第一道防线被视为迫在眉睫。”

以下是网络攻击的四大收获:

1.修补,更新和备份-现在

安全软件公司赛门铁克的健康IT官David Finn说,对医疗保健利益相关者来说,最大的教训之一就是使补丁管理保持最新状态。他补充说,应该对机器进行分层,关键系统可能需要更及时的补丁-可能在30天内。

托管安全公司ControlScan的健康IT安全专家Kurt Osburn在一封电子邮件中对Healthcare Dive表示,数据备份也很关键,维护高级管理人员的动力应来自高层管理人员。

他说:“我评估过的大多数组织都有备份,但是许多组织没有定期测试以查看是否可以还原他们的备份。” “拥有可恢复的备份可能意味着重大业务中断和简单还原之间的区别。”

当然,最好的办法是从一开始就防止各种攻击进入系统。

IT安全公司Imprivata的联合创始人兼首席技术官戴维·丁(David Ting)对Healthcare Dive表示:“尽管医院无法100%抵御网络攻击,但用户培训和更新的基础设施对于保持系统正常运行和确保患者安全至关重要。” 。

该事件已经促使一些机构重新考虑和更改操作。兰迪·迈尔斯(Randy Myers),首席信息官 Rehoboth McKinley基督教保健服务 (RMCHCS)告诉Healthcare Dive,提供商一直在努力围绕其网络创建“硬壳”以保护其内部系统。首先,提供商正在限制和减少远程工作者(例如,建筑商和编码人员)对其系统的访问。 RMCHCS还教育用户不要接受外部附件,也不要单击可疑电子邮件。

HHS本周发布了其医疗保健网络安全指南的第三次更新。 “对医疗机构的国际网络威胁”包括希望从联邦调查局下属的非营利组织接收医疗情报的医疗系统信息,并再次建议组织“要求进行扫描以评估运营和业务网络是否存在外部漏洞和配置错误。”

Osburn认为,仅防病毒软件是不够的,组织需要下一代解决方案来“提供检测和响应功能,以提供现在所需的增量保护”。 在最近的博客文章中写道.

他写道:“事实是,恶意软件已变得更加复杂和自动化,而大多数企业所依赖的恶意软件防护却未与时俱进。” “这些传统的基于签名的防病毒技术根本无法识别当今正在四处传播的各种威胁。”

由于WannaCry事件之后主要的信息是保持补丁程序管理最新,因此Quammen提供了一些后续步骤和医疗保健提供者应考虑的预防措施:

  • 即使您的组织没有特定实例,也要做好启动事件响应的准备;
  • 活动期间,听取可靠来源的事实;
  • 制定沟通计划以提醒组织注意某些行动-即,不要打开电子邮件,不要聘请技术支持来提供可能出于安全原因而被拒绝的访问权限,并在整个使用过程中谨慎处理技术事件;
  • 了解在此事件之后将进行“模仿”活动;和
  • 进行事后检查,以查看组织中的事实/活动并制定继续活动的计划(如果不受到影响,则可能会松一口气,然后继续进行正常操作)。

2.可能需要进行文化变革-从头开始

传统上,网络安全一直在医院高管的首要任务中处于低位。这不是故意的;提供者社区中没有人主动希望泄漏患者数据。但是,严峻的运营利润率和旧技术(可能会花费大量资金进行升级)为网络攻击创造了不幸的温床,因为健康数据对患者来说是更敏感的数据之一,而对黑客来说则是最有利可图的。

改善网络安全的一个关键方面是引起最高管理层的注意,并说服他们将其置于更高的优先地位。罗伯特·洛德(Robert Lord),联合创始人兼首席执行官 基于巴尔的摩 网络安全 firm​ 变形虫 最近,他们在此类工作上的支出有所增加,并认为网络安全将随着医疗保健提供商的战略重点而上升。

但是,将网络安全作为战略重点只是第一步。除了为此类优先事项进行预算之外,使CIO能够在桌面上发表更大的声音是医院管理人员需要解决的下一层。尽管此类对话可能很艰难,但比网络攻击事件后的任何对话都容易。  

当要做出网络安全决策时,高管们尤其会关注底线。加州大学长期网络安全中心主任史蒂夫·韦伯(Steve Weber)对组织在这方面的支出可能存在分歧,但重点应放在美元数字上,而不是在提供多少安全性上。伯克利告诉《医疗潜水》杂志。

韦伯说:“我觉得人们已经意识到了这些漏洞,但是没有一条解决这些漏洞的捷径,因为更换这些东西的成本很高。”

但是,WannaCry攻击应该向医院管理人员表明,网络安全工作需要时间,但从长远来看却是有益的-尤其是为了避免因黑客事件而不得不决定是否让患者离开医疗机构。

洛德对医疗潜水公司说:“与网络安全和隐私保护有关的医疗保健受到了严重的保护。”除了历史上缺乏网络安全准备外,“系统上也缺乏投资,董事会和高层管理人员的支持”。尽管企业可以期待着针对勒索软件的另一次网络攻击,但恶意软件正在不断发展。

3.医疗保健行业是使用IT的新手

说实话,大多数医疗保健提供者都是数字环境概念的新手。其他行业有更长的时间来弄清楚如何确保其系统安全。

不久之前,联邦政府制定了有意义的使用计划,该计划导致提供者-踢和尖叫-采用EHR。此外,诸如EHR实施之类的技术推广成本很高,并且可能需要很长时间。

等到花光钱并打开交换机的电源时,就该考虑安全升级了,这涉及人员时间和人工成本。对于在系统维护之前打开运行状况IT工具之后可能想要呼吸的任何管理员来说,此过程听起来都很累。

卫生系统还必须确保其遵守患者隐私和HIPAA等法律。该法律的严格规定旨在确保患者数据保密 Weber说,这为组织寻求外部软件提供更多保护的组织创造了障碍。

他说:“由于隐私问题,在经济的其他部分常识有所不同,”他说,增加互操作性也是成功实现EHR的关键,但只会带来更多的漏洞。

他说:``基本上,这基本上是安全规则-当我们使事情变得更便利时,我们使它们更具风险。''

4.勒索软件并不新鲜,但是这种攻击更加可怕

去年,好莱坞长老会医疗中心和马里兰州的MedStar医院系统遭到破坏后,勒索软件攻击在医疗保健领域浮出水面。据说两者都花了几天时间恢复到笔和纸上,而系统却被锁定。 

根据一个 Protenus 2016年分析,包括勒索软件在内的所有种类的黑客攻击,占所有医疗保健数据泄露事件的26.8%。在研究的120起黑客事件中,有30起涉及勒索软件,另外10起涉及涉及访问数据的其他勒索形式。 Protenus的最新报告发现,与去年同期相比,3月份因一次违规而受到影响的医疗记录数量激增。

关于 150万患者记录受到影响 3月,发生了39起不同的违规事件。在这些事件中,有28%归因于黑客入侵,尽管Protenus指出,HHS数据缺乏详细信息,使得很难查明黑客入侵的不同类型。

网络安全专家仍在评估WannaCry对全球造成的破坏,但是应该强调攻击的一些关键要素。前所未有的全球规模无疑使WannaCry攻击变得令人恐惧-特别是考虑到该事件不仅侵害了医院,而且侵害了各种企业。但是,也使攻击令人不安的是,该恶意软件的行为不同于传统的勒索软件攻击。 

勒索软件可以劫持医院系统并要求付款,以将系统的控制权返回给医疗保健提供者。通常,这些攻击是通过网络钓鱼电子邮件来执行的。就WannaCry而言, 恶意软件充当蠕虫通过系统漏洞自动传播到整个计算机。

赛门铁克的Finn总结了另一个重要的收获。他说:``对我们所有人来说,总会有另外一次攻击。''他补充道,永远不会知道攻击是什么。因此,与系统保持最新并通过非正式网络或共享设施共享信息以促进对不良行为者的教育和认识非常重要。

跟随 推特

跟随 推特

提起下: 卫生IT