醫療記錄的價值：解密地下黑市電子醫療數據的價值

無論是在中國還是美國，互聯網醫療都已經得到了較為充足的發展，為患者的診斷和治療過程提供了很多便利，但同時，部分人可能還沒有意識到頭上懸著的達摩克利斯之劍——醫療信息安全問題。

2009年到2013年期間，遭受網路攻擊的醫療健康機構就由過去的20%增長至40%。而到了2014年，隨著數字化進程的加快，互聯網醫療、電子病歷、智慧醫療設備等的引入，受到攻擊的機構比例以及被竊取的病人數據，雙雙創下了新的記錄。據悉，像Intermountain Healthcare這樣的機構每周至少受到黑客攻擊千次以上。

那些年被黑客「光顧」的醫療機構

2014年，黑客入侵美國一家大型醫療聯合機構「社區衛生系統」（運營著美國29個州的206所醫院）的計算機網路，成功竊取450萬病人數據。

2015年2月，美國第二大醫療保險公司Anthem宣布黑客盜取了公司超過8000萬客戶的個人信息，包括了用戶家庭住址、生日、社保號和個人收入信息，此次泄露成為美國有史以來最嚴重的醫療信息泄露事件。

2015年5月，美國聯邦醫療服務商Blue Cross Blue Shield（BCBS）旗下的CareFirst保險公司宣布因為黑客攻擊，1100萬用戶信息泄露。

2015年9月，一家名為Excellus保險商被黑客入侵，近千萬用戶信息遭到泄露。

2016年6月，黑客入侵美國3家醫療保健機構（未透露姓名），並利用其遠程桌面協議漏洞成功竊取65.5萬名病人病歷，其中包含病人姓名、社保賬號、生日、地址等信息。

2017年5月，英國國民保健醫療系統（NHS）宣布其英格蘭地區和蘇格蘭地區多個醫療機構遭到了大型網路攻擊，並被勒索支付比特幣。

根據美國衛生與公民服務部（HHS）統計顯示：近3年來，影響超過500人次的醫療信息泄露事件發生次數沒有大幅度增長，但是受泄露所影響的人數呈現出「爆髮式」增長。單是2015年，因各種原因導致的醫療信息泄露事件累計影響就已經達到了驚人的1.1億，是之前五年泄露人數總和的2.7倍。

為什麼青睞醫療數據？

那麼問題來了，為何黑客們比以往更為青睞醫療數據呢？只是因為集體興趣改變了嗎？

根據Trustwave曾發布的一份醫療行業的安全報告指出，醫療機構頻繁遭受黑客攻擊的主要原因有三點：

1. 醫療記錄已經轉移到了網上，並且在病人、醫療機構之間可共享；

缺乏正確的「網路衛生」，即落實到位的保護措施（例如未實施雙因素身份驗證、未要求用戶修改自己的密碼，以及允許僱員獲取超出自己工作範圍的個人信息等），進一步加大了網路威脅面。

2. 物聯網設備和雲服務的使用；

物聯網設備在提供便利的同時也加大了網路攻擊面，由於缺乏安全生產意識，物聯網設備可謂是為攻擊者實施入侵敞開了大門。通過Shodan搜索引擎的檢測結果顯示，絕大多數的醫療設備和網路都是可以公開訪問的，很容易遭受攻擊。

3. 醫療保險數據的價值越來越高；

安全公司 PhishLabs 的威脅情報總監Don Jackson發現，以往黑客們愛好的信用卡信息盜竊正在降溫，市場開始飽和，這是因為有些信用卡對不上用戶個人信息，沒什麼價值。

而醫療數據則不一樣，我們去醫院看醫生的時候，往往會透露社保帳號、個人財務信息等等關鍵信息，黑客們通過這些信息的拼湊，就可以勾畫出一幅完整的個人信息圖譜來。在黑市中，這些信息如果能夠讓不法分子侵入到個人銀行帳號，那麼這些信息賣出個幾百美元也很正常。

地下黑市中的醫療數據

在一個地方收集的信息越多，對黑客來說它就會變成越有價值的目標。醫療數據成功吸引黑客的目光後，隨之而來的就是越來越多的網路犯罪分子開始傾向於在地下黑市銷售竊取到的電子醫療數據。

電子健康記錄（EHR）中包含患者在醫療過程中使用過的個人資料，具體涉及以下數據：出生日期、醫療保險ID、社會保障號碼以及財務信息等，這些信息一般可以通過特定的HER管理軟體進行訪問。據悉，這些數據的在於其信息所特有的性質：與信用卡信息不同，HER中提供的個人信息（例如患者的社會保障號碼、出生日期以及病歷內容等）都是獨一無二，不能輕易進行更改的，因此，這些數據在地下市場的保質期和潛在價值都會隨著增加。

【地下黑市各種醫療數據售價清單】

案例分析

【2016年8月AlphaBay上銷售醫療保險卡的廣告頁面】

Alphabay供應商正在銷售醫療保險卡，該卡可用於接受醫療護理以及通過郵寄訂單訂購處方葯。上圖顯示了一個威脅行為者正在銷售竊取的醫療保險ID卡，每張ID卡低至1美元。

【2016年11月4日AplhaBay上銷售具有完整醫療記錄的廣告頁面】

上圖顯示，一名黑客正在銷售包含美國公民「完整記錄」的醫療數據，其中具有特定的醫療數據和醫療保險信息，售價以每人99美分起，如果需要大量購入，還可以享受折扣。

【AlphaBay上銷售醫療保險ID的廣告頁面】

上圖顯示，黑客正在AlphaBay上銷售綜合醫療檔案，其中包含患者姓名、社會保障號碼、地址、上次訪問日期、下次預約時間、後續治療日程、出生日期以及醫療保險ID號碼等。每個患者的信息條目5美元起售。

【2016年11月4日AlphaBay上銷售英國公民醫療保險ID和駕駛執照的廣告頁面】

上圖顯示，黑客正在銷售英國公民的醫療保險ID和對應的駕駛執照信息，以及公民全名、地址和電子郵件等。每10條記錄的售價為20.43美元，一條記錄售價為3.34美元。

【AlphaBay上出售紐約公民駕駛執照的廣告頁面】

上圖顯示，黑客正在出售政府識別文件，例如紐約市公民的駕駛執照，此外，黑客還出售其他多種官方政府識別文件，如護照以及出生證明等。其中，駕駛執照的售價為170美元起。

【AlphaBay上使用被盜數據銷售新身份的廣告頁面】

上圖顯示，黑客正在出售「製造的」的新身份，該身份是通過被盜的個人信息，包括社會保障號碼、出生日期、教育記錄、就業記錄、醫療保險、汽車保險以及不再使用的個人護照（通常是已死亡人員）等創建而成。一般情況下，這些「製造的」新身份可以賣到1000美元的高價。

犯罪分子利用電子醫療記錄的方式

除了銷售這些構成HER的單個信息外，攻擊者還可以收集這些信息來創建新的產物，提供新的產品和服務，包括：

利用社保卡和駕駛執照等不可更改的個人信息，來創建假身份；利用處方信息來採購藥物；利用醫療保險ID提供的醫療保險號碼和社會保障號碼來創建欺詐性報稅表；利用盜取的病歷和個人數據（如出生日期）創建出生證明；

1. 藥物採購

購買包含處方信息的HER資料可以幫助網路犯罪分子通過醫療保險提供者使用的郵購計劃來採購處方藥物。之後，這些藥物就會被放在黑市上出售來獲取巨額利潤。通過獲取的醫療ID，網路犯罪分子可以創建或更新他們購買的個人資料中的文件地址，然後使用原始賬戶持有人存儲的信用卡信息將藥物發送到家中，處方葯的銷售在黑市中頗受歡迎。

據Surescripts介紹，在2014年至2015年期間，支持電子處方的在線軟體已增加了7.5倍。一些國家或地區（如紐約）還制定了所有處方藥物必須通過電子處方軟體來處理的任務。去年，已經有超過77％的醫療機構實現了處方數字化。

【2016年9月19日，Valhalla網站上出售美國禁毒署管製藥物的頁面】

上圖顯示，在Valhalla市場上可以購買一些美國禁毒署管制的藥物，如抗焦慮葯Xanax和Klonopin等。

【Vahalla上出售Ambien藥物的廣告頁面】

上圖是關於Ambien的廣告頁面。據悉，Ambien是一種受控藥物，通常被用於幫助睡眠障礙者入眠。不過現在，Ambien正在被許多用戶濫用，據美國藥物濫用和心理健康管理局（SAMHSA）的報告顯示，2006年-2011年期間，約開出了3800萬關於Ambien的處方藥單，美國現在有50萬人正在濫用該受控藥物。

2. 身份盜竊

2014年，Ponemon研究所的一項研究顯示，醫療身份欺詐的受害者人數為50萬人左右。而到了2015年，這一數字上升到了22％，其中還沒有增加Anthem的違規事件。在解決欺詐問題上，信用卡違規行為造成的財務損失每張卡僅為50美元，而在醫療衛生行業，65%的身份盜用受害者需要花費1.35萬美元來解決數據泄漏帶來的損失，其費用涵蓋債權人和法律顧問的服務費用等。信用卡可以輕易地取消或更換，但是醫療健康數據（如社會保障號碼、出生日期等）是永久性的，這些數據將永久存在，而犯罪分子也可以將這些數據重複用於各種目的，無懼時限。

據消費者金融保護局介紹，信用報告中收集的賬戶大約有一半是由於其他人盜用身份造成的醫療債務。單一的債務催收賬戶就會導致信用評分下降50至100分。

信用局會等待180天才會將你的醫療債務添加到信用報告中，但與信用卡犯罪不同，醫療身份盜用可能需要3個多月的時間才會報告犯罪行為，而且30%的人永遠不知道自己是受害者。

當受害者的醫療ID被另一個人用於接受醫療服務時，其HER數據也會被修改——有時會影響到關鍵信息，如患者的血型、已知過敏列表等。檢測醫療身份盜用並不像檢測信用卡犯罪那麼容易，結果，約有20%的受害者經歷了錯誤診斷，或是由於HER信息被使用和更改而延遲治療時間。

3. 醫療保險

【Alphabay上出售加州州立醫療保險卡的廣告頁面】

上圖顯示，黑客正在出售包含社會保障號碼、出生日期以及醫療保險ID等可以用來獲取醫療保險的個人信息。

4. 出生證明

【2016年9月15日AlphaBay上發布的出售出生證明的廣告】

利用從醫療記錄中獲取的數據，黑客還可以單獨出售其中的出生日期等數據，來創建一個真實出生證明的副本。根據上圖所示，一個出生證明的售價為500美元。

5. 欺詐性報稅表

【Valhalla上提供欺詐性報稅服務的廣告頁面】

過去兩年，犯罪分子使用被盜信息實施稅務欺詐的數量正在急速增加。因此，Turbo Tax（美國報稅軟體）不得不暫停國家稅務的申報工作，轉而調查越來越多的稅務詐騙案件。上圖顯示，供應商以每個報稅單15美元的價格為買家提供25份所得稅報稅表。

緩解方案

近年來，雖然醫療衛生行業的網路安全防護水平有了較大提升，但依然不足以化解日益精進的安全威脅。為此，我們建議IT團隊可以採用下面5個步驟化解危機：

1. 確保系統安全，及時修復漏洞

定期全面檢查機構現行辦公系統和應用，及時發現並修復漏洞，避免漏洞被黑客利用造成機密泄露。要確保辦公操作系統儘可能使用正版，並定期更新，安裝補丁程序，此外，資料庫系統需要經常排查潛在風險，依據評估預測，積極做好系統升級。

需要特別注意的是，微軟已經停止對Windows XP的服務支持，並在2015年7月也已經停止對Windows 2003伺服器的安全更新。而醫療行業往往部署了大批量的XP桌面和Windows 2003系統，進一步使IT團隊面對未修補漏洞的新威脅。為此，用戶需要及時更換陳舊設備或系統，或是採用更完善的檢測機制，及時發現並控制潛在威脅。

2. 全方位保護患者入口網站、數據中心、電子病歷系統

無論數據存儲是在內部、雲端，或是在虛擬化和物理機共存的混合環境都必須受到保護。用戶可以市場上較為可靠的雲計算和數據中心安全解決方案，保護應用程序和數據、防止業務中斷，同時滿足合規性要求。此外，對於醫療行業特需的EHR軟體，其供應商也需要專註於加強其數據安全性，並定期監控可能會影響運行其程序的設備的漏洞。

3. 保護終端上的醫療信息

在現階段，網路中可能存有病患數據的位置非常廣泛，這包括移動存儲設備、筆記本電腦、多個虛擬桌面或PC終端。終端越多，風險面就會越大，這也是數據外泄事件頻頻發生在醫衛行業的頭號原因。所以，醫療單位的網路安全防護措施必須覆蓋所有終端。

4. 加強安全意識培訓

近年來的一系列企業泄密事件的發生，根本原因還在於安全意識的嚴重缺失，加強安全意識的培訓刻不容緩。醫療機構及其第三方服務支持企業需要定期進行安全意識的宣導，強化員工對信息安全的認知，引導員工積極執行企業保密制度。

5. 加強對資料庫的訪問控制

需要明確資料庫管理和使用職責分工，最小化資料庫帳號使用許可權，防止權利濫用。同時，要加強口令管理，使用雙因素身份驗證、高強度密碼，刪除系統默認帳號密碼等。

本文翻譯自：https://documents.trendmicro.com/assets/wp/wp-cybercrime-and-other-threats-faced-by-the-healthcare-industry.pdf，如若轉載，請註明原文地址： http://www.4hou.com/info/news/7710.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：