Community Health Systems数据外泄事件启示

最近针对Community Health Systems的一起数据外泄事件充分暴露了联网医疗设备所面临的实实在在的现实风险,事件据称是中国黑客所为,造成约450万病人的敏感医疗信息被窃。 还记得Heartbleed漏洞吗? Heartbleed的漏洞存在于OpenSSL,出现于今年早些时候。这一漏洞曾一度对超过60%的互联网造成影响,并在理论上能让网络攻击者在客户端到服务器连接过程中窃取一定数量的信息。这可能是第一起发生在现实生活中并造成广泛影响的互联网事件:网络犯罪分子或国家行为者几乎利用了整个网络资源来谋取私利。尤其需要指出的,网络攻击者还开发出了一种漏洞利用程序,能让他们使用Heartbleed漏洞来窃取Community Health Systems网站的登录凭证。 哪些人因此而受到影响?这一切又是如何发生的? 这一事件中的450万名受害者都在过去5年里接受了Community Health Systems医生的医疗服务,不幸中的万幸,他们的医疗和支付信息并未因此而泄露;但最让人担心的是,他们的社会安全号(SSN)全部遭到泄露。除了社会安全号以外,一起被盗的还有病人的姓名、地址和出生日期,甚至还有受害人的雇主或担保人以及电话号码。 由于本次事件中的攻击者很可能是一些高级持续性威胁行为者,因此人们还抱有一丝侥幸。他们的目标很有可能并不是消费者的社会安全号。事实上,来自Crowdstrike和其他安全公司的专家们都表示这些攻击者可能只是在寻找与医疗系统相关的知识产权,使中国能够将其运用在对本国老龄化人口的照料上。 在本次 “APT 18″黑客小组(也叫做”Dynamite Panda”)的攻击行动中,最终以失败而告终。因为要处理数量如此庞大的敏感信息并不是一件容易的事情。 更大的问题 近年来医疗保健数据外泄情况时有发生,但有关方面依然没有尽快改进的打算。原因如下: 每当谈到医疗设备的安全问题时,人们总会异想天开,甚至有一些可怕的想法:比如,使用笔记本电脑入侵胰岛素泵和心脏起搏器,以达到伤害和谋杀病人的目的。但幸运的是,就近期我从Black Hat大会了解到的情况来说,所有患病需嵌入式和/或联网医疗设备治疗的病人被人用笔记本电脑杀害的可能性微乎其微。事实上,Rapid7医疗设备安全专家Jay Radcliffe表示所有联网医疗设备对于病人的疗效巨大,且几乎不会造成什么损伤。 似乎眼下这个问题对病人的影响更加全方位,且数量上呈现上升趋势。这些问题更多地与医生和医院,甚至医疗设备的存放、共享以及访问权限有关。Radcliffe在与我们的一次讨论会中指出,如果说联网医疗设备会对病人安全造成影响的话,那最大的可能是由于黑客入侵或意外事件导致医疗记录遭到篡改或更改,从而使病人得到错误的治疗。 近年来医疗保健数据外泄时有发生,但有关方面依然没有尽快改进的打算。 在本周早些时候,心脏病专家兼作家Sandeep Jauhar博士在NPR(美国国家公共广播)的《Fresh Air》节目中接受了Terry Gross的访谈,他表示美国医疗保健体系之所以落后于其他国家,大部分原因在于美国缺乏信息共享机制。因此,要改进美国医疗保健系统并同时遵守《平价医疗法》的话,还有很多工作需要做:将更多的医疗设备进行联网;医疗保健服务提供商之间进行更多沟通;更多远程访问数据;以及较有可能实现的,更多地共享敏感医疗信息。从他的话中透出了这样的意思:采用更加先进医疗保健体系的国家已经开始进行此类的数据共享,只是数据泄露问题依然存在。 这并不是说美国医疗保健体系毫无希望。《健康保险流通与责任法案》(HIPAA)的颁布旨在部分保护消费者医疗保健信息的安全与隐私。但问题是医院和医疗设备制造商都需遵守各自的相关规定,以符合《健康保险流通与责任法案》要求。尽管如此,数据外泄情况依然不可避免,因为没有一个安全计划是完美的。每个人-无论如何努力-都最终无法避免个人数据被窃的结果。 如果受到影响会有什么后果,怎样才知道自己是否受到了影响? Community

最近针对Community Health Systems的一起数据外泄事件充分暴露了联网医疗设备所面临的实实在在的现实风险,事件据称是中国黑客所为,造成约450万病人的敏感医疗信息被窃。

还记得Heartbleed漏洞吗?

Heartbleed的漏洞存在于OpenSSL,出现于今年早些时候。这一漏洞曾一度对超过60%的互联网造成影响,并在理论上能让网络攻击者在客户端到服务器连接过程中窃取一定数量的信息。这可能是第一起发生在现实生活中并造成广泛影响的互联网事件:网络犯罪分子或国家行为者几乎利用了整个网络资源来谋取私利。尤其需要指出的,网络攻击者还开发出了一种漏洞利用程序,能让他们使用Heartbleed漏洞来窃取Community Health Systems网站的登录凭证

哪些人因此而受到影响?这一切又是如何发生的?

这一事件中的450万名受害者都在过去5年里接受了Community Health Systems医生的医疗服务,不幸中的万幸,他们的医疗和支付信息并未因此而泄露;但最让人担心的是,他们的社会安全号(SSN)全部遭到泄露。除了社会安全号以外,一起被盗的还有病人的姓名、地址和出生日期,甚至还有受害人的雇主或担保人以及电话号码。

由于本次事件中的攻击者很可能是一些高级持续性威胁行为者,因此人们还抱有一丝侥幸。他们的目标很有可能并不是消费者的社会安全号。事实上,来自Crowdstrike和其他安全公司的专家们都表示这些攻击者可能只是在寻找与医疗系统相关的知识产权,使中国能够将其运用在对本国老龄化人口的照料上。

在本次 “APT 18″黑客小组(也叫做”Dynamite Panda”)的攻击行动中,最终以失败而告终。因为要处理数量如此庞大的敏感信息并不是一件容易的事情。

更大的问题

近年来医疗保健数据外泄情况时有发生,但有关方面依然没有尽快改进的打算。原因如下:

每当谈到医疗设备的安全问题时,人们总会异想天开,甚至有一些可怕的想法:比如,使用笔记本电脑入侵胰岛素泵和心脏起搏器,以达到伤害和谋杀病人的目的。但幸运的是,就近期我从Black Hat大会了解到的情况来说,所有患病需嵌入式和/或联网医疗设备治疗的病人被人用笔记本电脑杀害的可能性微乎其微。事实上,Rapid7医疗设备安全专家Jay Radcliffe表示所有联网医疗设备对于病人的疗效巨大,且几乎不会造成什么损伤。

似乎眼下这个问题对病人的影响更加全方位,且数量上呈现上升趋势。这些问题更多地与医生和医院,甚至医疗设备的存放、共享以及访问权限有关。Radcliffe在与我们的一次讨论会中指出,如果说联网医疗设备会对病人安全造成影响的话,那最大的可能是由于黑客入侵或意外事件导致医疗记录遭到篡改或更改,从而使病人得到错误的治疗。

近年来医疗保健数据外泄时有发生,但有关方面依然没有尽快改进的打算。

在本周早些时候,心脏病专家兼作家Sandeep Jauhar博士在NPR(美国国家公共广播)的《Fresh Air》节目中接受了Terry Gross的访谈,他表示美国医疗保健体系之所以落后于其他国家,大部分原因在于美国缺乏信息共享机制。因此,要改进美国医疗保健系统并同时遵守《平价医疗法》的话,还有很多工作需要做:将更多的医疗设备进行联网;医疗保健服务提供商之间进行更多沟通;更多远程访问数据;以及较有可能实现的,更多地共享敏感医疗信息。从他的话中透出了这样的意思:采用更加先进医疗保健体系的国家已经开始进行此类的数据共享,只是数据泄露问题依然存在。

这并不是说美国医疗保健体系毫无希望。《健康保险流通与责任法案》(HIPAA)的颁布旨在部分保护消费者医疗保健信息的安全与隐私。但问题是医院和医疗设备制造商都需遵守各自的相关规定,以符合《健康保险流通与责任法案》要求。尽管如此,数据外泄情况依然不可避免,因为没有一个安全计划是完美的。每个人-无论如何努力-都最终无法避免个人数据被窃的结果。

如果受到影响会有什么后果,怎样才知道自己是否受到了影响?

Community Health Systems目前正在向那些在本次攻击中信息遭泄的受害者们发送通知。那么如果收到邮件的话该怎么办呢?我们建议您立即登记信用监控服务,Community Health Systems将向所有受害者免费提供这一服务。你所收到的通知邮件内将含有如何登记操作的详细内容。

除此之外,如果你想自己来监督你的信用报告,以确保无人利用社会安全号取出你的信用额度的话,Community Health Systems的通知页面内还列有一些联系方式,有更多问题可以直接联系他们。最后,联邦贸易委员会专门设立了一个网站,指导人们如何来应对身份遭窃的情况。如果你曾担心过自己的身份遭窃的话,可以从这个网站开始着手调查。

Community Health Systems#数据外泄事件导致450万个社会安全号遭到泄露。你作为一名受害者该如何应对。

避免与新闻相关的网络钓鱼

不管你喜欢与否,互联网带给我们了一些实惠的同时,也有一些不好的东西也随之而来。当然,互联网本身并没有什么危害性,但网络犯罪分子以及大量的网络骗子(通常被称为网络钓鱼者)则会利用互联网对用户造成威胁。这些网络犯罪分子制作模仿真正公司和品牌官网的虚假网站,随后向你发送含有虚假URL的邮件诱使你登录,随后窃取账号与密码,甚至是一些资金账户凭证。 其实防止此类威胁并不太难:你只需安装一款正版的保护软件并有意识地保持警觉,了解虚假网站与真正网站之间的差别,因为假的永远只是假的。我们发表了众多(http://t.cn/RvIw51R)有关世界杯恶意软件的博文(http://t.cn/RPgWL9Z),但对于虚假网站我们谈论的并不多。让我们现在就开始吧。 你只需要知道一件事情:网络骗子总是热衷于利用热门的话题来行骗。了解近期热门话题的最佳方式是阅读和观看新闻,因为所有的网络骗子也会做同样的事。让我们来看一些近期发生的案例。 世界杯 由于世界杯足球赛的举办,我们email的收件箱里充满了各种连接到虚假网站(比赛预测、门票、小贴士以及各种抽奖)的垃圾邮件,这些邮件旨在吸引全世界各地的球迷。网络攻击者们无一例外地热衷于在一些重要体育赛事和世界杯足球赛举办期间实施诈骗。而网络骗子们则不遗余力地骗取不义之财,但不幸的是,他们总是会有所收获。 卡巴斯基安全保护软件主动地工作:在网络骗子激活虚假内容前即能阻止恶意域名 有时他们的行骗手段更为高明:在巴西世界杯举办期间,网络钓鱼者制作了大量几乎能以假乱真的虚假网站,即使上网经验丰富的用户也难辨真伪。他们的花招层出不穷,比如在注册域名上提到一些当地流行的品牌,包括:银行和商店等。此外,网络钓鱼者还设法获得一些像Comodo、EssentialSSL、Starfield、Register.com和其他合法公司授予的特有SSL证书(http://www.kaspersky.com/blog/digital-certificates-https/)。甚至一些谨小慎微的用户也会被这些网站所蒙骗,直至落入犯罪分子的陷阱。 这里有个例子是冒用Cielo品牌(一家巴西Visa代理商所拥有)的虚假网站: 网络犯罪分子会利用所有人们信任的品牌。这个例子中虚假网站使用了万事达卡商标: 这里有一页还用了巴西著名电视主持人Rodrigo Faro的头像: 那么如何才能辨别诸如此类的虚假网站和域名呢?事实上远没有那么简单,尤其是当你根本不知道原始网页和域名到底”长得什么样”。因此使用专业软件保护你免于访问虚假网络资源就显得十分必要,如果还能像全新卡巴斯基安全软件(https://www.kaspersky.com/multi-device-security)那样在网络骗子激活其恶意内容之前就主动阻止虚假域名,那更是再好不过了。 尽管网络钓鱼者即聪明又狡猾,但总能找出他们的陷阱所在。 大型政治和社会事件 一旦有政治、社会活动甚至军事行动发生,各种各样的网站和博客如同雨后春笋般地出现在社交网络上,他们的目的惊人的一致,那就是为团体、政党、团队或甚至个人筹款。但没有人知道谁最后得到这笔资金,最糟糕的是在你捐献之后根本无法得知所捐款的最终去向。此类情况下唯一的办法就是不要向任何人捐款,除非你认识这个人和/或能够确定你的捐款送到了正确的地方或个人。地震、洪水和其他灾难性事件都能吸引到大量的网络骗子。不幸的是,他们所骗到的钱是不可能送到真正需要的人手中。因此最好的主意就是Google一下邮件内的URL或邮件中提到的姓名,看看到底是不是一个骗局。 在向任何人捐款之前,阅读新闻并反复核查相关内容,同时安装一款信任的保护软件十分有必要,这将极大减少那些想从你那儿骗取不义之财的网络钓鱼者和骗子。

提示