• 深度
  • 行業
  • 行業
  • 互動
極客熱點 > 廠商 > 正文

從Verizon數據泄露報告看醫療行業數據安全

美國電信巨頭Verizon每年都會發布年度數據泄露報告(DBIR)。Verizon不僅綜合了多個合作伙伴的數據分析,而且還采用了嚴格的數據驅動方法來分析安全漏洞和事件。連續發布10年來,DBIR報告已經成為安全行業的重量級調查報告,值得安全從業者仔細研讀。

一、醫療行業數據泄露排名持續上升,2017年度高居榜首

報告顯示,醫療行業數據泄露威脅的行業排名持續上升,從2014年突飛猛進到行業第六,到2016年排名再次大幅提升,僅次于金融行業排名第二,占比15%。到2017年更是高居榜首,遠遠甩開了第二名,占比達到24%。這種火箭般的上升速度是極其明顯的,而醫療數據價值的廣泛認知和相對脆弱的防御措施是造成這一現象的兩大要素。

需要特別注意的是,這一結果還是在美國HIPAA(Health Insurance Portability and Accountability)和HITECH(Health Information Technolory for Ecnonmic and Clinical Health)兩大法規約束的情形下產生的。

二、醫療行業是唯一一個內部威脅遠大于外部威脅的行業

從這份報告可以看出,醫療行業是所有行業中唯一一個內部威脅大于外部威脅的行業。其中,內部威脅占比60%,外部威脅占比43%,這表現出很大的特殊性。作為一個參照,在行業平均攻擊類型中,70%為外部威脅,30%為內部威脅。醫療行業的這種特殊性,可以認為是由以下幾個方面引起的:1.醫療行業的數據單體價值特別高;2.醫療行業的數據獲得性比較簡單;3.醫療行業數據變現特別容易。

我們就數據泄露的幾個主要行業做個比較:醫療、金融、政府、信息服務、制造業、零售、酒店餐飲。如下圖所示:

從Verizon數據泄露報告看醫療行業數據安全

由于缺乏醫療行業的獨立數據,我們以全行業來看威脅構成。從全行業來看,在外部人員導致的泄漏事件中,62%都來自有組織的犯罪團伙;在內部威脅中,25.9%都跟企業系統管理員有關,終端用戶占22.3%、醫生或護士占11.5%、開發人員占5%。

從Verizon數據泄露報告看醫療行業數據安全

三、醫療行業是勒索病毒威脅的主要目標

勒索病毒是近幾年網絡攻擊的主要手段之一,2017年更是在所有惡意軟件攻擊中占到39%的比例,高居榜首。而醫療行業則是勒索病毒威脅的“重災區”,入侵醫療行業的惡意軟件高達85%,屬于惡意軟件攻擊。其中,數據庫服務器成為了勒索病毒的主要攻擊目標。下圖為全行業的勒索病毒發展趨勢圖,可以看出勒索病毒攻擊上升速度極為恐怖,已經成為網絡安全的主要威脅。

四、醫療行業入侵動機:財富追求是主要目標

財富追求是入侵醫療行業的主要動機,高達75%的入侵是為了獲得財富。動機分布:75%獲得財富、13%是樂趣和好奇心、5%是為了便利、5%是間諜。有一個現象需要特別注意,有47%的內部數據泄露僅僅是因為好奇心,比如醫生看別人的病案。而這個好奇最終有超過40%會演化為獲得財富。

從Verizon數據泄露報告看醫療行業數據安全

五、病案和藥物成為數據泄露的核心內容

不同于其他行業以PI(個人信息)和PFI(個人財務信息)為主體的信息泄露,醫療行業的數據泄露核心內容在PHI(個人健康信息),即病案和藥物信息。數據泄露構成占比:病案和藥物79%、個人信息 37%、支付信息 4%。不同于其他大部分行業只有海量數據才具有價值,醫療行業的單體病案數據價值就非常昂貴。

從Verizon數據泄露報告看醫療行業數據安全

六、社交工程攻擊

社交工程攻擊在所有攻擊中的占比為17%,其中Email社交工程貢獻96%。同時,78%的人員會重復遭受社交工程攻擊。

政府、醫療、教育、專業服務和金融是社交工程攻擊的主要犧牲品。其中,59%的社交工程攻擊是為了獲得財富,38%是間諜行為,也就是社交工程是政府間諜和商業間諜的主要攻擊形式。

從Verizon數據泄露報告看醫療行業數據安全

七、發現攻擊

執行攻擊只要幾分鐘,而發現有攻擊事件發生卻可能需要幾個月時間。當發現系統被入侵的時候,傷害已經造成。其中,68%的數據泄露需要花費幾個月甚至更長時間才能被人發現。

【小結】

醫療行業數據泄漏事件、勒索病毒事件,幾乎每月、每周、每天都有發生,數據安全的重要性不言而喻。但是究竟如何體系化、系統化進行數據安全防護建設?這是每個醫療行業信息安全從業者都在思索和探究的問題。本篇作為醫療行業數據安全挑戰和對策系列文章的第一篇,從權威第三方Verizon數據泄露報告看醫療行業數據安全的現狀、威脅來源、攻擊目標、攻擊的手段。下一篇我們將對醫療數據安全的客觀現狀進行分析。

  (本文作者:美創科技 柳遵梁)

【作者簡介】

柳遵梁,杭州美創科技有限公司創始人、總經理。畢業于中國人民解放軍信息工程大學,中國(中關村)網絡與信息安全產業聯盟理事,中國信息協會信息安全專委會數據安全工作組組長。擁有二十年數據管理和信息安全從業經驗,在通信、社保、醫療、金融等民生行行業積累了大量實踐經驗。具備長遠戰略眼光,準確把握技術發展趨勢,持續創新,帶領公司完成運維、服務、產品多次轉型,均獲得成功。目前公司已經完成全國布局,成為國內重要的數據安全管理綜合供應商,個人著有《Oracle數據庫性能優化方法論和最佳實踐》書籍,多次發表學術文章。

+加載更多