在勒索方面,医院应该付钱吗?

在勒索方面,医院应该付钱吗?

勒索软件今年已成为美国医疗行业的主要威胁。洛杉矶的好莱坞长老会医院、华盛顿的MedStar Health以及其他医疗保健系统都受到了高度关注,这些攻击只是冰山一角。HIMSS Analytics和Healthcare IT News最近调查的半数以上的医院表示,在过去一年中,它们曾遭到勒索软件攻击。另有25%的人不确定是否发生过此类袭击。

目前尚不清楚有多少医院向网络罪犯支付了赎金,以解密他们的数据和/或解锁他们的系统。好莱坞长老会(Hollywood Presbyterian)宣布,在10天内无法使用EHR后,该公司已支付1.7万美元取回数据。据报道,肯塔基州亨德森的卫理公会医院也支付了17000美元。MedStar的系统至少有一部分瘫痪了近一周,但该组织没有说明是否支付了赎金。

当被问及如果黑客加密了他们医院的病人数据,他们是否会支付赎金时,HIMSS分析调查中大约一半的医疗保健主管表示不会。44%的人表示不确定,只有5%的人表示愿意付钱。

但专家表示,勒索软件攻击的指数级增长表明,一些受害者正屈服于黑客的要求。”这一增长与攻击之所以成功是因为组织愿意付费有关。“只要这种情况持续下去,它们将继续上升,”位于西弗吉尼亚州查尔斯顿的WVMI Quality Insights的IT运营/隐私主管Nathan Gibson说。

总部位于德克萨斯州奥斯汀的IT安全公司CynergisTek的首席执行官麦克米伦(Mac McMillan)说,勒索软件事件今年激增的另一个原因是,有关攻击和医院易受攻击的宣传“助长了坏人的胆子”。此外,他说,“这些人被抓的风险非常低”,而且有可能获得巨大的回报。

[相关报道:你被勒索软件击中了。现在怎么办?]

麦克米兰也认为,对于医院或医疗系统来说,1.7万美元并不是一笔巨款,它可以用来重新获得数据,保护患者和声誉。”但你付的钱越多,就越能激励黑客这么做你最不想做的事就是刺激他们的行为。”同时,吉布森观察到,如果他们支付赎金,也不能保证组织会收回他们的数据。

另一方面,麦克米兰指出,“如果你不是被锁在系统外或无法访问数据的人,那么说‘我们不给罪犯付钱’很容易。最后,你要努力不付赎金。而要做到这一点,最好的办法就是做好应对事件的准备,迅速恢复。”

勒索软件有两种基本形式。一种是防止用户登录系统,另一种是加密数据;有些攻击涉及这两种恶意软件。

麦克米兰说,加密软件版本是两个版本中更危险的如果一家医院受到恶意软件的攻击,而恶意软件锁定了系统,那么如果它有良好的恢复程序和一个供人们用来重建环境的备用站点,它就可以生存下来。但一旦您的数据被加密,您就无法再访问您的数据,而且如果您无法快速恢复,也无法从备份中重新组合和提供数据,那么从备份中恢复将非常复杂。”

数据备份是抵御勒索软件攻击的关键。但是一些医院和医生根本不备份他们的数据。这种安全意识的缺失让麦克米兰感到困惑。”他认为,在这些组织中,安全性仍然不被视为“关键的业务功能”,这是可能的。

即使一家医院或一个医生小组确实备份了它的数据,它也可能只在夜间备份。因此,吉布森指出,如果发生勒索软件攻击,该组织使用其数据备份继续操作,数据库将丢失自前一天晚上以来输入系统的所有内容。这比什么都没有好得多,但它仍然会让临床医生焦头烂额。

许多医院对镜像服务器上的数据进行近实时备份。万一一台服务器宕机,另一台服务器就可以填补这个空缺。”但是,如果你有接近实时的备份,这些备份将很容易受到攻击,因为它们是在线的,并且在网络上(对恶意软件)可用,”吉布森指出。

[另请参阅CSO:如何审查和测试备份程序以确保数据恢复]

麦克米兰也认为这是一个挑战。”你要确保你有良好的访问控制和这两个系统之间的良好分离,这样,如果恶意软件在第一个系统中爆发,你就可以很快切断它和备份之间的连接,”他说。

两位专家都认为,添加第二个备份系统可以帮助企业在遭遇勒索软件攻击时恢复。吉布森建议使用一个大部分时间处于离线状态的备份系统,并“每隔一段时间”对主系统进行备份。他还将对冗余服务器进行分段,以便安全控制能够发现“可能影响备份的恶意活动”

McMillan观察到,“云备份可能是有利的,因为云供应商通常会在多个位置备份数据。一旦你知道有什么东西被感染了,你就可以切断它,并确保不是所有的备份都同时被感染。此外,云供应商有很好的恶意软件检测器和过滤器,因此即使它没有在您的环境中被捕获,他们也可能在它感染备份之前捕获它。”

【相关报道:勒索软件攻击中不支付的4个原因】

然而,Gibson反驳道,许多医疗机构仍然对将敏感的患者数据放到云中持谨慎态度。他说,另一种选择是在一个单独的非云系统中分割在线备份,该系统使用的协议是恶意软件不试图利用的。

“很多勒索软件都在寻找网络共享和直接访问的系统,”他说如果您有使用不同协议的备份,则恶意软件可能无法访问该协议。”

医疗保健机构还可以通过使用先进的恶意软件探测器来保护自己,当发生入侵时,这些探测器可以迅速向安全人员报告。麦克米兰指出,较旧的杀毒软件会搜索具有已知特征的恶意软件;但是新形式的恶意软件,包括勒索软件,缺乏这些签名。所以先进的探测器搜索异常而不仅仅是信号。

他指出:“它可以将附件、电子邮件或其他传递机制隔离开来,并将其放在隔离区,以便检查。”最先进的探测器会在外围拦截未知的代码片段,并将其发送到云端进行分析。如果无害的话,它会送回去让它通过。”

吉布森同意,每个组织都应该有一个“过滤电子邮件和互联网流量的网关服务器”。在安全区域打开附件搜索恶意软件的唯一问题是,在某些情况下,勒索软件在与发送它的服务器联系之前不会被执行。因此,它可能坐在那里什么也不做,直到一个组织允许它进入它的网络。

吉布森说,为了防范勒索软件和其他恶意软件,每个医疗机构都应该评估自己的安全漏洞。”有一个安全风险评估和即时反应计划来应对这些类型的威胁是很重要的HIPAA需要进行风险分析,因此许多控制和防御措施应该已经到位。然后,只需持续不断地进行安全风险评估,以应对新的威胁并加强安全控制。”

这个故事,“医院应该支付当它涉及到勒索?”最初是由出版

首席信息官。