8月
2016
黑暗霸王恐吓数据安全
李·德奥里奥著
郑重声明
第二十八卷第八页
在过去的几年里,医疗保健行业面临着大量的数据泄露。许多案件涉及包含未加密数据的笔记本电脑被盗,以及不必要地暴露患者信息的疏忽行为。出于某种原因,它们似乎都是正确的。“这是加密的问题,笨蛋。”这句话成了人们的口头禅,因为许多观察人士对这样一个相当简单的做法为何会被如此忽视感到挠头。
今年,情况发生了变化。首先是勒索软件现象,患者信息被绑架并扣为人质,直到犯罪者的要求得到满足,或者受害者找到了拯救其财产的方法。现在,一名名为“黑暗霸王”的黑客将勒索软件模式推向了新的高度。这位主谋者的犯罪行为傲慢到连辛普森(OJ Simpson)也会点头表示赞同,他把勒索软件的概念扩展到了医疗机构之外。
在最近的一次攻击中,黑客的目标是一家软件开发商(据信是PilotFish Technology)。最麻烦的是,The Dark Overlord声称已经访问了所有供应商客户的电子病历数据。PilotFish的客户包括犹他州健康信息网络。黑客声称掌握了源代码、软件签名密钥和Health Level 7标准的客户许可数据库,这一进展令许多专家感到震惊。
Armor Defense首席安全官杰夫•席林(Jeff Schilling)表示:“黑暗霸王似乎正在采取下一步合乎逻辑的行动,让网络威胁行为者继续成功地利用勒索软件和受保护的健康信息泄露。”
越来越多的医疗保健实体存在漏洞,这为黑客提供了诱人的目标,他们希望扩大攻击范围,超越该行业迄今为止已经习惯的攻击范围。席林说:“许多医疗保健(软件即服务)供应商都是小型初创公司,它们有出色的想法,但没有能力或员工来保护自己的开发过程和实验室。”“这些公司应该知道,一旦他们在云端安装了服务器,他们就面临着风险,他们不能把安全问题推迟到下一轮融资之后。”
保护患者数据的战斗似乎只会扩大,随着黑客的范围扩大,医疗保健的防御变得捉襟见肘。砸钱解决这个问题可以在一定程度上起作用,但要防止医疗记录落入坏人之手,还需要不同行业参与者的聪明才智和合作。
