從 Verizon 數據泄露報告看醫療行業數據安全
2019-05-27 09:45 原創 作者: 柳遵梁 編輯:
美國電信巨頭 Verizon 每年都會發布年度數據泄露報告(DBIR)。Verizon 不僅綜合了多個合作夥伴的數據分析,而且還採用了嚴格的數據驅動方法來分析安全漏洞和事件。連續發布10年來,DBIR 報告已經成為安全行業的重量級調查報告,值得安全從業者仔細研讀。
一、醫療行業數據泄露排名持續上升,2017年度高居榜首
報告显示,醫療行業數據泄露威脅的行業排名持續上升,從2014年突飛猛進到行業第六,到2016年排名再次大幅提升,僅次於金融行業排名第二,佔比15%。到2017年更是高居榜首,遠遠甩開了第二名,佔比達到24%。這種火箭般的上升速度是極其明顯的,而醫療數據價值的廣泛認知和相對脆弱的防禦措施是造成這一現象的兩大要素
需要特別注意的是,這一結果還是在美國HIPAA(Health Insurance Portability and Accountability)和HITECH(Health Information Technolory for Ecnonmic and Clinical Health)兩大法規約束的情形下產生的。
二、醫療行業是唯一一個內部威脅遠大於外部威脅的行業
從這份報告可以看出,醫療行業是所有行業中唯一一個內部威脅大於外部威脅的行業。其中,內部威脅佔比60%,外部威脅佔比43%,這表現出很大的特殊性。作為一個參照,在行業平均攻擊類型中,70%為外部威脅,30%為內部威脅。醫療行業的這種特殊性,可以認為是由以下幾個方面引起的:
1、醫療行業的數據單體價值特別高;
2、醫療行業的數據獲得性比較簡單;
3、醫療行業數據變現特別容易。
我們就數據泄露的幾個主要行業做個比較:醫療、金融、政府、信息服務、製造業、零售、酒店餐飲。如下圖所示:
由於缺乏醫療行業的獨立數據,我們以全行業來看威脅構成。從全行業來看,在外部人員導致的泄漏事件中,62%都來自有組織的犯罪團伙;在內部威脅中,25.9%都跟企業系統管理員有關,終端用戶佔22.3%、醫生或護士佔11.5%、開發人員佔5%。
三、醫療行業是勒索病毒威脅的主要目標
勒索病毒是近幾年網絡攻擊的主要手段之一,2017年更是在所有惡意軟件攻擊中佔到39%的比例,高居榜首。而醫療行業則是勒索病毒威脅的“重災區”,入侵醫療行業的惡意軟件高達85%,屬於惡意軟件攻擊。其中,數據庫服務器成為了勒索病毒的主要攻擊目標。下圖為全行業的勒索病毒發展趨勢圖,可以看出勒索病毒攻擊上升速度極為恐怖,已經成為網絡安全的主要威脅。
四、醫療行業入侵動機:財富追求是主要目標
財富追求是入侵醫療行業的主要動機,高達75%的入侵是為了獲得財富。動機分佈:75%獲得財富、13%是樂趣和好奇心、5%是為了便利、5%是間諜。有一個現象需要特別注意,有47%的內部數據泄露僅僅是因為好奇心,比如醫生看別人的病案。而這個好奇最終有超過40%會演化為獲得財富。
五、病案和藥物成為數據泄露的核心內容
不同於其他行業以PI(個人信息)和PFI(個人財務信息)為主體的信息泄露,醫療行業的數據泄露核心內容在PHI(個人健康信息),即病案和藥物信息。數據泄露構成佔比:病案和藥物79%、個人信息 37%、支付信息 4%。不同於其他大部分行業只有海量數據才具有價值,醫療行業的單體病案數據價值就非常昂貴。
六、社交工程攻擊
社交工程攻擊在所有攻擊中的佔比為17%,其中Email社交工程貢獻96%。同時,78%的人員會重複遭受社交工程攻擊。
政府、醫療、教育、專業服務和金融是社交工程攻擊的主要犧牲品。其中,59%的社交工程攻擊是為了獲得財富,38%是間諜行為,也就是社交工程是政府間諜和商業間諜的主要攻擊形式。
七、發現攻擊
執行攻擊只要幾分鐘,而發現有攻擊事件發生卻可能需要幾個月時間。當發現系統被入侵的時候,傷害已經造成。其中,68%的數據泄露需要花費幾個月甚至更長時間才能被人發現。
小 結
醫療行業數據泄漏事件、勒索病毒事件,幾乎每月、每周、每天都有發生,數據安全的重要性不言而喻。但是究竟如何體系化、系統化進行數據安全防護建設?這是每個醫療行業信息安全從業者都在思索和探究的問題。本篇作為醫療行業數據安全挑戰和對策系列文章的第一篇,從權威第三方Verizon數據泄露報告看醫療行業數據安全的現狀、威脅來源、攻擊目標、攻擊的手段。下一篇我們將對醫療數據安全的客觀現狀進行分析。
網站內容來源http://safe.it168.com/網站內容來源http://safe.it168.com/
【精選推薦文章】
自行創業 缺乏曝光? 下一步”網站設計“幫您第一時間規劃公司的門面形象
網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司,幫您輕鬆架站!
評比前十大台北網頁設計、台北網站設計公司知名案例作品心得分享
台北網頁設計公司這麼多,該如何挑選?? 網頁設計報價省錢懶人包”嚨底家”