網路犯罪和安全漏洞的危險,像一場緩慢的風暴一樣籠罩著醫療保健行業。
截至 2023 年 12 月中旬,衛生與公眾服務部(HHS)民權辦公室(OCR)已收到 541 份資料洩露通知,影響到 500 多人。其中包括洩露數百萬甚至數千萬人資訊的事件,就像今年夏天 HCA Healthcare 高調的違規事件一樣。
由於電腦系統的鎖定,一些攻擊迫使醫療保健提供商,調整工作流程或中斷服務。例如,16 家醫院 Prospect Medical Holdings 在 8 月份遭到襲擊,導致某些地點改用紙質記錄,或暫停幾個選擇性和門診程式。Ardent Health Services 在感恩節經受了勒索軟體攻擊,最終導致 30 家醫院系統主動關閉,並暫停所有使用者對其 IT 應用 app 的連線,導致非緊急暫停。
網路安全即服務公司 Critical Insight 的首席資訊保全官 Mike Hamilton 告訴 Fierce Healthcare:「很明顯,情況正在升級,戰術正在發生變化。」
除了對患者生命的威脅外,這些事件還會對提供商組織的財務健康產生持久影響。
根據 IBM 和 Ponemon Institute 7 月份的一份報告,在 2022 年,網路安全漏洞給醫療保健組織,造成每起事件平均 1010 萬美元,比 2021 年成長 9.4%,遠遠高於其他經濟部門被迫花費的支出。事實上,伊利諾伊州一家農村醫院在夏天關閉了大門,部分原因是兩年前它遭受了為期多週的勒索軟體事件,這是有史以來第一個醫院關閉明顯與網路攻擊有關的案例。
此外,這些事件使組織面臨資料洩露的訴訟。上述 HCA 資料洩露在披露後僅一週內就為該系統贏得了至少四起集體訴訟(儘管在這種情況下,大型營利性連鎖店不久後就告訴投資者,這些檔案預計不會對其業務產生「實質性影響」)。
在這種背景下,供應商高管們尋求加強他們的地位並不奇怪。諮詢公司 Guidehouse,上個月釋出的一份調查報告發現,85% 的受訪者組織計劃增加 2024 年數字和 IT 預算,將網路安全列為投資重中之重。
Guidehouse 商業健康 IT 諮詢總監 Erik Pupo 表示,大部分投資決策是對「外部威脅環境的反應 —— [許多主管者]希望從內到外投資於網路安全,而不是專門分析網路安全投資投資報酬率,對網路安全態勢有幫助的地方。」
網路安全專家表示,從不斷變化的監管環境到不斷變化的攻擊角度,醫院和衛生系統主管人希望,在進入新的一年時需要考慮很多事情,來保護他們的組織。
誰在十字線上?
專家表示,過去一年表明,網路犯罪分子非常願意打擊低點。 由於過去幾年來,突出、資源豐富的設施一直在建造圍牆,較小的供應商仍然是低垂的果實。
資料安全公司 Dasera 的聯合創始人兼執行長 Ani Chaudhuri 說:「對較小的區域醫療保健提供商的攻擊明顯增加,這些機構可能需要強有力的網路安全措施。」「這些實體通常持有高度敏感的資料,使它們成為駭客的有吸引力的目標。」
漢密爾頓說,專業診所或醫療成像設施等下行市場供應商,也是攻擊者日益上升的目標。
另一方面,他說,人們也更加關注「進入一個擁有大量附屬機構的組織的頂端,該組織的頂端正在處理十幾家或更多醫院的記錄,它成為一個一站式商店。」 與過去相比,這種類型的策略,促成了今年報告的違規行為規模更大。
相關
HHS 希望國會資助對醫院產生「財務後果」的網路安全復原力計劃
在過去的幾個月裡,對醫療保健提供商的第三方業務夥伴,和更廣泛的供應鏈的攻擊也激增。例如,在最近的一項醫療保健 IT 專業人員調查中,近三分之二的受訪者表示,他們的組織在過去兩年中面臨供應鏈攻擊,表示最終擾亂患者護理的比例,比前一年的調查增加了 70%。
網路安全合規公司 Schellman 的客戶收購主管 Mike Parisi 告訴 Fierce Healthcare:「確保第三方供應商遵守強大的網路安全標準,不再是一種好用或選中的做法;保護敏感的患者資料、保持操作連續性,並防止網路威脅浪潮的上升是一項基本義務。」「醫院必須主動與供應商合作,實施嚴格的網路安全協議,定期進行審計,並培養持續改進的文化。」
除了堅持資料安全的合同條款外,Chaudhuri 還提倡定期進行聯合網路演習,並在醫院及其合作夥伴之間共享威脅情報。
他說:「關於潛在漏洞和威脅,與商業夥伴的透明度和公開溝通非常重要。」
攻擊向量
幾位專家表示,網路攻擊者更經常利用軟體漏洞作為進入點。
漢密爾頓說:「根據我們的資料洩露報告分析,網路釣魚作為首選的初始向量訪問,已經讓位於漏洞利用。」「因此,重點是快速修補你的漏洞,獲取你的更新 —— 當供應商推出更新時,這是一場競賽。」
擴充物聯網安全公司 Phosphorus 的首席策略官 Sonu Shankar 告訴 Fierce Healthcare,帶有連線裝置的「基本安全衛生」應該是醫療保健主管團隊的首要網路安全重點領域之一。他警告說,由於傳統的網路安全方法優先監控和控制網路流量,現在使用中的醫療裝置,仍然使用預設密碼執行「非常常見」。
Shankar 說:「人們沒有太多意識到這是一個問題。」「這裡的第一步是真正準確地清點醫院環境中、臨床環境中的所有相關事物,這些東西可能會被各種網路犯罪目標所佔用。」
另一方面,「[攻擊者]方面越來越意識到,對於 Windows 膝上型電腦等傳統 IT 裝置,你可以在 Windows 工作站上佈署高階解決方案,例如 CrowdStrike。 但對於你環境中的大量連線裝置,你無法做到這一點;你只是無法將端點代理佈署到這些裝置中,」他說。
儘管以裝置為重點的攻擊是未來攻擊的「可能」策略,但 Chaudhuri 還沒有準備好開始淡化網路釣魚的威脅。他預計,今年可能會有針對性地嘗試利用人為錯誤,而且,像其他策略一樣,甚至可能受到新技術的支援。
他說:「醫療保健部門必須為增加的人工智慧驅動的網路攻擊做好準備,這些攻擊比傳統威脅更先進,適應性更強。」「這些攻擊包括高度個性化的網路釣魚電子郵件、自動利用 IT 系統漏洞,和逃避檢測的自適應性惡意軟體。此外,人工智慧驅動的攻擊,可以模仿正常的網路行為,繞過異常檢測系統。」
考慮到許多衛生系統的財務狀況緊張,以及越來越多的威脅行為者 —— 最引人注目的是那些敵視美國的外國支援的威脅行為者 —— 專家表示,醫院需要考慮「何時」而不是「如果」。
相關
報告發現,供應鏈、針對醫療保健團體的電子郵件攻擊經常威脅患者護理
Chaudhuri說,包括網路分割和實時威脅檢測在內的「多層」安全策略對限制損害「非常重要」。
安全公司 Binary Defense 的反情報團隊負責人 Jake Aurand 指出,僅僅制訂事件應對計劃是不夠的。
他說:「公司需要對攻擊進行逼真的模擬,以確保參與其中的每個人都知道該怎麼做,這允許對事件做出快速反應,而不是人們不瞭解他們在這個過程中的角色。」
Aurand 繼續說,當網路事件確實發生時,「對病人坦誠相待也會大有所作為。」 「越早向他們通報事件,他們就能越快地嘗試保護自己,並留意針對他們的攻擊,如網路釣魚電子郵件、勒索和欺詐性保險賬單。」
不斷上升的聯邦和州監管
圍繞醫療保健資料安全的新行業要求已經開始了。
Epstein Becker Green 律師事務所成員 Alaap Shah(沒有特別談論任何實體)告訴 Fierce Healthcare,由於國家最近加強安全的努力,關鍵政策和監管執法工作「可能會出現」。
具體來說,他指出了《加州消費者保護法》關於進行風險評估的規則;紐約上個月提出的要求醫院網路安全水準的規則;以及華盛頓的《我的健康我的資料法》,該法案於 4 月簽署成為法律。
Shah說,其他發展也將從聯邦實體中流出,來自 HIPAA 下的 HHS 和 OCR,以及聯邦貿易委員會根據健康違規通知規則。 此外,網路安全和基礎設施安全局(CISA)和國家標準與技術研究所將繼續遵循其任務,共享威脅資訊和其他技術援助。
到目前為止,HHS 已經發布了一份概念檔案,概述了其今後加強醫療保健行業網路安全地位的計劃。 該部門表示,它計劃引入一系列自願的網路安全目標;前期投資和激勵措施;以及醫療保險、醫療補助和 HIPAA 的新網路安全要求,如果國會簽署,可能會帶來付款打擊和更大的民事罰款。
美國醫院協會迅速批評了該路線圖,該協會將強制性網路安全要求和經濟處罰描述為醫院與攻擊者的艱苦戰鬥中「適得其反」的措施。
這樣的迴應對漢密爾頓來說並不奇怪,他預測,強加新的要求對財政上「搖搖欲墜」的醫療保健部門「實際上沒有任何好處」(除非他們與補助金齊頭並進)。
漢密爾頓在閱讀茶葉時表示,即將到來的監管和政策工作更有可能側重於復原力,而不是預防性控制。 他指出了 CISA 的「盾牌就緒」活動,「我們現在不是試圖防止一個糟糕的結果,而是認為這是一個可預見的事件,目標是在 10 次計數之前打完拳後從墊子上下來。」
至於州級活動,漢密爾頓指出,擬議的法規與聯邦機構優先考慮的法規「幾乎相同」。 他說,區別在於,一個意識形態更穩定的國家每四年進行一次重大政策改革的風險較小。
他說:「如果聯邦政府的功能失調,以至於每次有新的選舉時,監管風都會以另一種方式吹,各州將開始接受這一點,以便他們能夠穩定下來。」
相關
另一方面,漢密爾頓表示,與隱私有關的州法規不太可能成為該行業的長期因素。 他指出,當聯邦立法者未能採取行動時,所有 50 個州都出現了繁重的資料洩露報告法規的「拼湊」。 他說,即使是「功能失調的國會」也希望透過國家隱私法規,避免重複這一錯誤。
至於這些隱私法規中將包含的內容,漢密爾頓表示,國會可能會尋求從受訴訟的衛生部門「承擔一些壓力」。
具體來說,他說,在許多州法規中包含的受保護記錄違反後,此類國家法規可能會優先剝奪私人訴訟權,允許立即提起集體訴訟。他說:「與其僅僅因為我的記錄被盜,而立即發生集體訴訟,不如說你必須表示,該記錄中存在一些詐欺行為。」
漢密爾頓預測,根據 Shields Ready 運動,以及 HHS 和證券交易委員會最近的其他指導,未來的聯邦監管重點似乎集中在治理、行政參與和疏忽上。他說,後者的主張「將越來越豐富」,作為一種執法機制,比需要預防措施的新法規更有可能帶來積極的變化。
他說:「未能解決可預見的風險是疏忽,這種可預見性標準實際上體現在法律學說中。」「我們將看到更多[執法]的例子,其中醫院沒有接受[衛生行業網路安全實踐]中給他們的建議,以及 HHS 關於治理的其他一些指導。他們希望高管參與風險治理。他們必須把指紋放在這些決定上 —— 不只是把你的頭埋在沙子裡,不要擔心它 —— 如果他們做不到,那就是疏忽。」
但這種更大的行政問責制的執法方法,會導致更少的網路安全事件嗎?
漢密爾頓承認,即使有一個風險治理委員會,來聽取和考慮其 IT 和安全團隊的建議,醫療保健主管層仍然可以自由權衡成本,並接受其組織的網路安全風險。
相反,他和醫院遊說團就還需要什麼,來推動整個行業的行為改變達成一致。
「再說一遍,如果他們能負擔得起,對嗎? 這仍然是醫療保健部門的問題,」他說。「聯邦政府需要更好地拿出贈款,因為衛生部門正在受到傷害。」
0 comments:
張貼留言