例如,很大一部分内部人违规行为都是出于好奇心,主要是在他们的工作职责之外访问数据 – 例如查找名人的PHI。间谍活动和解决怨恨也是动机。Fairwarning首席执行官Kurt Long表示:“在患者入住医疗系统的过程中,有数十人可以获得医疗记录。“因此,医疗服务提供者往往会有宽松的访问控制。一般工作人员可以访问大量数据,因为他们需要快速获取数据以关注特定的患者。”
医疗机构中不同系统的数量也是一个因素。Long说,这不仅包括账单和注册,还包括专门用于妇产科,肿瘤科,诊断和其他临床系统的系统。
“用钱可以办成很多事情,从盗窃病人数据到身份盗窃或实施医疗身份盗窃欺诈计划。这几乎成为了该行业黑产中常规操作,“Long说。“有人为自己或朋友更改账单,或者修改鸦片类药物或处方药。他们捕获处方并将其出售以谋取利润。“
Long说:“当你总体考察鸦片类药物危机时,它已经变成为医疗机构工作者 利用职权开局鸦片类药物处方来获取利益的的常见情形。“这是阿片类药物总体危机中的最新数据点,医疗保健工作者认识到他们的价值,他们可能会沉迷于这些或使用他们获得经济利益。“
去年,Memorial Healthcare Systems公司支付了550万美元的HIPAA协议,以解决两名员工访问超过115,000名患者的PHI的内部人员违规问题。这一违规行为导致Memorial完全改变了其隐私和安全态势,以防范未来内部人士和其他威胁。
4.网络钓鱼
网络钓鱼是攻击者进入系统最常用的手段。它可以用来安装勒索软件,密码脚本,间谍软件或代码来窃取数据。
有些人认为医疗保健更容易受到网络钓鱼企图的影响,但数据显示的情况却不太一样。KnowBe4的一项研究表明,医疗保健与大多数其他行业在被网络钓鱼攻击方面一样。拥有250至1,000名员工并且未接受安全意识培训的医疗机构,有27.85%的机会成为网络钓鱼企业的受害者,而所有行业平均为27%。
Carpenter说:“从利他主义的角度来看,医疗工作者经常接触涉及患者生命安全的情况,可能更容易去点击钓鱼邮件,但从调查结果来看,似乎也并非如此。”
在应对网络钓鱼的敏感问题时,网络规模至关重要。根据KnowBe4的数据显示,拥有1,000名或以上员工的医疗机构有25.6%可能被盗用。“有1000多名员工的组织中,我们发现他们中的大多数人已经接受了相关的培训,并且在更高层次上运作,因为他们必须制定不同的系统来遵守严格的规定。”Carpenter说。
5.Cryptojacking
秘密劫持系统以窃取加密货币是所有行业都面临的难题。由于医疗机构的特殊属性,其使用的系统是非常有吸引力的目标,因为保持它们运行至关重要。系统运行时间越长,犯罪分子就越能够挖掘加密货币。“在医院环境下,即便怀疑被劫持,他们也不可能立即关闭系统,”卡彭特说。“机器运转的时间越长,它对罪犯的益处就越大。”
假设医疗保健提供者可以检测Cryptojacking。挖矿代码不会损害系统,但会消耗大量的计算能力。识别它的最可能方式是系统和生产力变慢。一些cryptojackers会减少系统占用资源,以减少检测风险。许多医疗机构没有IT或安全人员来识别和应对这种挖矿攻击。
减少医疗保健安全威胁的建议
及时修补和更新关键系统
Carpenter说:“事实摆在那里,那些老旧的、未打补丁的系统作为关键设备嵌入,本身会导致重大漏洞,恶意软件势必会尽量利用。但更新系统也并不容易,因为修补过程可能会破坏关键系统或损害供应商支持系统的能力。
在某些情况下,没有可用于已知漏洞的修补程序。Carpenter建议在供应商没有或不能修补或更新系统的情况下向供应商施压。“对供应商采取积极的态度,并问为什么这些系统不能或没有得到更新,并保持作为一个行业的压力。”
培训员工
根据KnowBe4的研究,医疗保健服务的平均值低于培训员工识别网络钓鱼企图的平均值。许多医疗保健机构都很小 (少于1000名员工),这可能是一个因素。“这不仅仅是告诉他们什么正确的事情该做,而是培养一种安全意识,能够分辨并意识到不去点击钓鱼链接。”卡彭特说。
该计划意味着发送模拟网络钓鱼电子邮件。点击链接的员工应该立即获得反馈,要了解他们做了什么以及他们将来如何做正确事情,这样的培训计划可以产生巨大的影响。
KnowBe4的研究表明,250到999名员工的医疗机构在一年的网络钓鱼训练和测试后,其网络钓鱼敏感度可从27.85%下降到1.65%。
小心有关员工的信息