危及医疗行业的新恶意软件出现,没病也能给你整出病来
Ben-Gurion大学网络安全中心的一组研究人员开发了一种能够改变医学扫描结果的新恶意软件。该恶意软件可以影响CAT和MRI扫描仪,能够将假癌症肿瘤添加到医疗结果中,欺骗医生,并可能在医疗机中造成严重问题。
1.新恶意软件工作原理
在实验室进行的测试中,恶意软件改变了70张图像,导致三位放射科医生相信患者患有癌症。不仅如此,该恶意软件还能够骗过自动筛选系统。
该恶意软件不仅能够为MRI和CAT扫描仪拍摄的肺部图像添加肿瘤,还可以从实际有肿瘤的图像中清除肿瘤,不让患者接受必要的治疗。
在实验过程中,研究人员只使用了肺部图像,但研究人员表示可以对恶意软件进行调整,然后伪造其它疾病,如脑肿瘤、血栓、骨折甚至脊椎问题。
根据研究人员的说法,导致这种攻击的原因是这些图像缺乏数字签名和加密。如果不对这些图像采取一些安全措施,那么很难发现这些图片是否进行了任何修改。
开发此恶意软件的目的是为了表明规避应用于医疗设备的安全措施是多么容易。从理论上讲,恶意软件可以用来造假政治领导人的健康状况、破坏研究、实施保险欺诈甚至进行恐怖袭击。
2.医疗保健:脆弱的行业
随着数字革命的日益推进,医疗保健行业似乎越来越容易受到网络安全问题的影响。根据Ponemon Institute的一项研究,医疗行业是数据泄露成本最高的行业:每条记录408美元,几乎是其它行业平均水平的三倍。更重要的是,77%的美国医疗保健组织都经历过某种安全漏洞。
国内也不例外。2018年1月24日,江西省妇幼保健院遭遇勒索病毒,“打响”新年第一场“信息保卫战”。2月6日,上海某公立医院信息系统被拉黑,黑客勒索价值2亿元以太币!2月24日,湖南省儿童医院服务器疑似中了某种勒索病毒,所有数据文件被强行加密,导致系统瘫痪,患者一度无法正常就医。
那么,为什么这些医疗机构如此脆弱?部分原因是医院的记录中包含大量个人信息。这当然对于网络犯罪分子非常有价值,因为网络犯罪分子可以出于各种原因使用它,例如进行有针对性的攻击或者只是将其出售给出价最高者。
更重要的是,医院经常使用相对过时的计算机以及过时的保护系统。
过去几年,医疗机构遭受的攻击太多了,例如去年新加坡150万名患者的个人数据泄露;WannaCry攻击NHS,使NHS损失近1亿英镑(11,582万欧元)。
3.可以做些什么来防止这种攻击?
幸运的是,这种恶意软件是在实验室环境中开发的,因此从未用于真正的攻击。然而,它揭示的安全漏洞太过真实。因此,医院加强信息加密政策以防止网络犯罪分子获取敏感文件势在必行。
及时修补和更新关键系统
研究人员表示事实摆在那里,那些老旧的、未打补丁的系统作为关键设备嵌入,本身会导致重大漏洞,恶意软件势必会尽量利用。但更新系统也并不容易,因为修补过程可能会破坏关键系统或损害供应商支持系统的能力。
在某些情况下,没有可用于已知漏洞的修补程序。研究人员建议在供应商没有或不能修补或更新系统的情况下向供应商施压。对供应商采取积极的态度,并问为什么这些系统不能或没有得到更新。
培训员工
根据KnowBe4的研究,医疗保健服务的平均值低于培训员工识别网络钓鱼企图的平均值。许多医疗保健机构都很小 (少于1000名员工),这可能是一个因素。这不仅仅是告诉他们什么正确的事情该做,而是培养一种安全意识,能够分辨并意识到不去点击钓鱼链接。
该计划意味着发送模拟网络钓鱼电子邮件。点击链接的员工应该立即获得反馈,要了解他们做了什么以及他们将来如何做正确事情,这样的培训计划可以产生巨大的影响。
小心有关员工的信息
网络钓鱼攻击越个性化,它的成功机会就越大。在鱼叉式网络钓鱼攻击中,攻击者试图尽可能多地了解目标个人。如果在办公室之外的场合不小心透露了相关的员工信息,攻击者可以通过使用这些名称和关系链来建立信任。
增强抵御和应对威胁的能力
大部分医疗机构在事故发生之后,缺乏适当调查的能力,记录事件和评估伤害的能力,也缺乏安全补救的人员,以免再次发生这种情况。