Community Health Systems数据外泄事件启示
最近针对Community Health Systems的一起数据外泄事件充分暴露了联网医疗设备所面临的实实在在的现实风险,事件据称是中国黑客所为,造成约450万病人的敏感医疗信息被窃。 还记得Heartbleed漏洞吗? Heartbleed的漏洞存在于OpenSSL,出现于今年早些时候。这一漏洞曾一度对超过60%的互联网造成影响,并在理论上能让网络攻击者在客户端到服务器连接过程中窃取一定数量的信息。这可能是第一起发生在现实生活中并造成广泛影响的互联网事件:网络犯罪分子或国家行为者几乎利用了整个网络资源来谋取私利。尤其需要指出的,网络攻击者还开发出了一种漏洞利用程序,能让他们使用Heartbleed漏洞来窃取Community Health Systems网站的登录凭证。 哪些人因此而受到影响?这一切又是如何发生的? 这一事件中的450万名受害者都在过去5年里接受了Community Health Systems医生的医疗服务,不幸中的万幸,他们的医疗和支付信息并未因此而泄露;但最让人担心的是,他们的社会安全号(SSN)全部遭到泄露。除了社会安全号以外,一起被盗的还有病人的姓名、地址和出生日期,甚至还有受害人的雇主或担保人以及电话号码。 由于本次事件中的攻击者很可能是一些高级持续性威胁行为者,因此人们还抱有一丝侥幸。他们的目标很有可能并不是消费者的社会安全号。事实上,来自Crowdstrike和其他安全公司的专家们都表示这些攻击者可能只是在寻找与医疗系统相关的知识产权,使中国能够将其运用在对本国老龄化人口的照料上。 在本次 “APT 18″黑客小组(也叫做”Dynamite Panda”)的攻击行动中,最终以失败而告终。因为要处理数量如此庞大的敏感信息并不是一件容易的事情。 更大的问题 近年来医疗保健数据外泄情况时有发生,但有关方面依然没有尽快改进的打算。原因如下: 每当谈到医疗设备的安全问题时,人们总会异想天开,甚至有一些可怕的想法:比如,使用笔记本电脑入侵胰岛素泵和心脏起搏器,以达到伤害和谋杀病人的目的。但幸运的是,就近期我从Black Hat大会了解到的情况来说,所有患病需嵌入式和/或联网医疗设备治疗的病人被人用笔记本电脑杀害的可能性微乎其微。事实上,Rapid7医疗设备安全专家Jay Radcliffe表示所有联网医疗设备对于病人的疗效巨大,且几乎不会造成什么损伤。 似乎眼下这个问题对病人的影响更加全方位,且数量上呈现上升趋势。这些问题更多地与医生和医院,甚至医疗设备的存放、共享以及访问权限有关。Radcliffe在与我们的一次讨论会中指出,如果说联网医疗设备会对病人安全造成影响的话,那最大的可能是由于黑客入侵或意外事件导致医疗记录遭到篡改或更改,从而使病人得到错误的治疗。 近年来医疗保健数据外泄时有发生,但有关方面依然没有尽快改进的打算。 在本周早些时候,心脏病专家兼作家Sandeep Jauhar博士在NPR(美国国家公共广播)的《Fresh Air》节目中接受了Terry Gross的访谈,他表示美国医疗保健体系之所以落后于其他国家,大部分原因在于美国缺乏信息共享机制。因此,要改进美国医疗保健系统并同时遵守《平价医疗法》的话,还有很多工作需要做:将更多的医疗设备进行联网;医疗保健服务提供商之间进行更多沟通;更多远程访问数据;以及较有可能实现的,更多地共享敏感医疗信息。从他的话中透出了这样的意思:采用更加先进医疗保健体系的国家已经开始进行此类的数据共享,只是数据泄露问题依然存在。 这并不是说美国医疗保健体系毫无希望。《健康保险流通与责任法案》(HIPAA)的颁布旨在部分保护消费者医疗保健信息的安全与隐私。但问题是医院和医疗设备制造商都需遵守各自的相关规定,以符合《健康保险流通与责任法案》要求。尽管如此,数据外泄情况依然不可避免,因为没有一个安全计划是完美的。每个人-无论如何努力-都最终无法避免个人数据被窃的结果。 如果受到影响会有什么后果,怎样才知道自己是否受到了影响? Community