网络独家

为什么健康数据成为黑市的宠儿
作者:乔恩·辛格

在向医疗保健行业发出的一份公开警报中，联邦调查局警告称，针对系统和医疗设备的网络入侵风险正在增加。警报指的是由于HITECH法案，越来越多的医疗设备正在连接到互联网，正在向电子病历转移。不幸的是，这些攻击不太可能减缓，因为网络罪犯已经将医疗保健行业视为一个新的蜜罐，他们将继续把精力集中在患者健康记录中有利可图的数据上。

似乎每天我们醒来，就有一家医疗保健公司发现数据泄露。甚至在震惊消退之前，又有1000或10000份医疗记录被盗。我们似乎迷失在“泡沫、冲洗、重复”的黑客循环中。

的原因吗?医疗记录现在在黑市上创造了更高的经济回报，网络罪犯以每份部分电子病历50美元左右的价格出售这些信息。将其与因社会安全号码或信用卡号码被盗而收到的一美元进行比较，你就会明白为什么这个问题正在升级。

FBI还指出，根据来自SANS、Ponemon和EMC²/RSA的开源报告，医疗保健行业在技术上还没有准备好对抗网络犯罪分子的基本网络入侵战术、技术和程序，更不用说对抗更高级的持续威胁了。根据警报，医疗保健行业“对网络入侵的抵御能力不如金融和零售行业，因此网络入侵增加的可能性是可能的。”

事实上，网络窃贼将继续增加对医疗保健系统(包括医疗设备)的攻击和入侵，因为联邦政府强制要求从纸质到电子病历的过渡。在此之前，如果一个小偷想从一家医院窃取5万份医疗记录，那将需要付出巨大的努力。想象一下，走进一家医疗机构，进入一间很可能被锁上的档案室，装上多辆装有成堆文件夹和文件的移动推车，然后把这些数据从前门推出去，经过医院员工、病人和保安，然后把它们一堆一堆地装进卡车的后面，没有人抬起眉毛。
快进到今天:如果同一个人可以进入一台具有受保护健康信息(PHI)的计算机系统，他们就可以像将数据下载到本地计算机或将其发送到数百或数千英里外的另一台计算机一样快地窃取这些文件。他们甚至不需要在同一个国家，更不用说在同一个州或地区。但事实往往并非如此。

如果这不是有利可图的生意，网络窃贼也不会这么做。是的，商业，因为这就是他们对待这些被盗数据的方式。如果你上网，就像从你最喜欢的电子商务商店买东西一样。你把偷来的数据放进购物车，然后结账。信不信由你，许多这样的网站都有一个评级系统，一个评论区，通常比大多数合法的购物网站有更好的客户支持系统。

除了支付指数级增长之外，PHI和EHR数据迅速成为网络犯罪分子最喜欢的目标还有其他原因。考虑以下几点:

1.医疗记录通常包括多个数据点——姓名、出生日期、社会安全号码、医疗保单号码和账单信息——所有这些都可以用于同样详尽的盈利活动列表。

2.有了这些集体信息，窃贼可以进一步进行身份盗窃，开设多个信用额度或伪造身份证。

3.收集到的信息还可以用来提交欺诈性的保险索赔，并获得处方药，这些处方药可以转售获利。

4.电子病历盗窃也更难被发现。信用卡欺诈通常在几天(如果不是几小时)内出现，并很快被关闭，与之不同的是，医疗数据盗窃可能会在数月甚至数年内不被发现。

5.金融数据也有一个有限的生命周期，因为一旦发现欺诈行为，信用卡或账户被取消并重新发行，它就变得毫无价值。医疗记录的保质期要长得多，因为社会安全号码不能轻易取消，而医疗和处方记录是永久性的。

显然，医疗记录是网络罪犯的理想目标。大多数医疗服务提供者根本没有准备好面对数字时代的这种2.0坏人。阻止这些数据窃贼需要持续监控、现代化的IT基础设施和多层安全性，所有这些都需要人力和技术资源，而大多数医疗保健组织并不具备这些资源。

医疗保健组织不应该创建和管理自己的环境来保护这种高度监管和高度针对性的资源，而应该寻求更有能力防止数据盗窃，并拥有合适的软件工具、人员和基础设施来完成这项工作的托管服务提供商。专门为医疗保健市场构建的工作场所即服务解决方案等新技术使托管服务提供商更容易在遵守HIPAA的同时增强其医疗保健客户的EHR和PHI的安全性。

让医疗保健专注于患者，让托管服务提供商专注于保护数据。

- Jon Senger是msp的HIT和安全顾问，也是微软的首席技术官Vertiscale他是一家为医疗保健市场开发工作空间即服务技术的公司。