醫療unit 42

醫療網路安全性

醫療企業的網路事件回應和防護

由於醫療業在網路罪犯中以目標眾多而聞名,因此醫療網路安全愈來愈受到關注。這是因為病患記錄、研究數據和智慧財產可以在暗網上帶來最高收益。

雖然遭竊的財務數據通常有最短的使用期限,不過個人醫療資訊 (PHI) 則永久留存。受害者可以在遭入侵後獲得新的信用卡,但是不可以改變自己的血型或病史。僅這個事實就足以提高 PHI 對網路竊賊的價值,他們可以劫持資訊要脅贖金,或者在資訊遭竊後一段很長的時間售予第三方。

這並不表示網路罪犯忽視從醫療企業竊取資金的機會。醫療佔美國經濟的近五分之一,每天都有大量資金在多方和醫療企業 (付款人、提供者、供應商和病患) 之間以電子方式轉移。只要連結中出現一個薄弱環節,就可以為威脅行動者創造攻擊的機會。


就網路事件來說,醫療的態勢最嚴峻

  • 在 Unit 42 處理的所有事件回應事務中,醫療公司和企業佔 16%,領先於其他所有產業類別。
  • 勒索軟體是專門針對醫療企業的攻擊方法,在我們遭遇的所有勒索軟體事件中,佔五分之一以上。
  • 公司電子郵件入侵 (BEC) 威脅行動者以這個產業為目標,主要是為了竊取資金。在我們回應的 BEC 事件中,醫療佔 15%。
  • 主要是由於醫療對雲端解決方案的依賴程度愈來愈高,在我們涉及敏感數據無意洩露的客戶業務中,這個產業佔 15%。
請參閱 Unit 42 事件回應和數據洩露報告,深入了解醫療網路攻擊增加的情況

醫療面臨獨特的網路安全挑戰

1

進入雲端會帶來風險。

從計費到遠距病患護理選項、線上病患入口網站等,醫療業一直在朝向雲端解決方案轉型。雖然這些解決方案提供效率和可擴充性,不過也增加與網路犯罪有關的風險,而且也增加與可能暴露大量敏感數據的無意洩露事件有關的風險。

2

IoT 安全是新興問題。

醫療設備的互聯程度愈來愈高,網路罪犯的攻擊範圍因此擴大,他們可以存取敏感數據或甚至可以中斷進行中的病患護理。由於 IoT 裝置激增,加上威脅行動者破解這些裝置的工具和技術更加精密,醫療企業必須保護比以往更多的設備,而且風險從未如此之高。適當管理醫療業的網路安全需要具備經驗和獨特專業知識的合作夥伴,立即深入了解 Unit 42

3

中斷和停機成本可能很驚人,並且會對病患帶來嚴重風險。

有鑑於業務性質,醫院、醫療實務和其他醫療企業最不可能承受基本系統和網路中斷運作。由於這些企業愈來愈仰賴電子數據交換,系統停機不僅會導致高額成本,也會導致存取關鍵病患健康資訊和保持救命服務順利進行的延遲。

4

監管機構在持續關注。

健康保險可攜性和責任法案 (HIPAA) 賦予醫療企業更多的責任,藉以保護醫療企業接收、使用或維護之個人的電子個人健康資訊。HIPAA 的安全規則需要適當的管理、實體和技術防護措施,藉以確保電子受保護醫療資訊的機密性、完整性和安全性。如果醫療企業失去本身數據的控制權,這些企業必須通知受影響的個人、聯邦政府和 (在某些情況下) 媒體。

5

疫情導致風險增加。

雖然這些合作夥伴集中時間、注意力和資源來回應 COVID-19,不過隨著威脅行動者試圖入侵急診室,醫療企業發現網路安全攻擊有所增加。自從疫情開始以來,使用 COVID-19 做為誘因的網路釣魚電子郵件和惡意軟體散佈顯著增加。同時,情報機構報告指出,駭客正在使用惡意軟體和複雜的網路釣魚電子郵件試圖取得疫苗研究和醫療供應鏈資訊。

檢閱此案例研究,深入了解大型醫療企業在遭受惡意軟體攻擊後如何處理並在 Unit 42 虛擬資訊安全長的協助下復原。

針對醫療企業的 Unit 42 解決方案網路安全

1

執行健康保險可攜性和責任法案 (HIPAA) 評估。

Unit 42 應用 HIPAA 指南和要求來評估企業的整體安全狀況,考量用於保護企業以及資產的人員、程序和技術。我們了解網路安全形勢、對應 PHI 和其他敏感數據所在的位置,以及這些數據的儲存和傳輸方式。我們也檢閱現有文件並根據醫療產業標準提出建議,進行相關各方訪談,藉以深入了解整個企業的網路安全基礎結構、營運、能力、程序和整體實務。我們的 HIPAA 評估包括用於補救已識別的弱點或安全漏洞的詳細建議,以及詳細說明如何解決已識別的弱點所依據的策略實作路線圖,其中包括感知的工作量和估計成本。

2

針對與醫療有關的威脅進行深入的網路風險評估。

Unit 42 提供針對性評估和技術網路安全服務,藉以測試和評估網路安全狀況和整體網路彈性,並驗證安全控制是否以最佳和有效的方式執行。其中包括滲透測試 (我們模擬實際的攻擊以評估對策的強度並識別隱藏的弱點)、Web 和行動應用程式測試、對您目前設定的針對性安全評估、網路釣魚練習,以及基於醫療業特有的威脅涵蓋自訂場景的桌面演習。

3

為醫療建立適用的網路防禦狀況。

防護從啟動防護措施和實作持續監控功能開始,藉以確保關鍵基礎結構服務的交付。範例包括識別管理和存取控制、對員工進行網路風險意識訓練以及實作資訊保護過程和程序。這涉及監控網路安全性的發展和事件,藉以驗證防護措施的成效。

4

在網路安全事件發生時適時回應。

Unit 42 事件回應團隊隨時準備好協助醫療企業調查、根除勒索軟體攻擊、公司電子郵件入侵、數據的無意洩露和其他類型的事件並從中復原。我們的任務是立即阻止攻擊、驅逐入侵者、復原系統並儘快復原營運,同時根據 HIPAA 義務運用數據分析解決方案調查 PHI 暴露程度。