北大医疗班：医药行业2020年威胁之内部威胁根据

　　由于 Anthem 和 Allscripts 等备受瞩目的违规行为，消费者现在更担心他们受保护的健康信息 (Protected Health Information, PHI) 会被泄露。不久前的 2019 年 RSA 数据隐私与安全调查询问了欧洲和美国近 6400 名消费者对其数据安全的看法。调查显示，61% 的受访者担心自己的医疗数据会被泄露。

　　他们有充分的理由感到担心。医疗保健行业仍然是黑客的主要目标，同时也存在很大的风险威胁会来自内部。

　　为什么医疗保健行业会成为黑客攻击的目标?

　　医疗保健相关的组织机构往往具备一些属性，让它们成为了对攻击者来说有吸引力的目标。一个关键原因是有很多不同的系统没有定期打补丁。KnowBe4 的首席宣传官兼战略官 Perry Carpenter 表示：其中一些是嵌入式系统，由于制造商创建它们的方式，不能轻易打补丁。如果医疗 IT 部门想要这样做，那将对供应商支持他们的方式造成重大问题。

　　医疗保健行业所做工作的关键性质使它们成为了攻击者的目标。在网络犯罪领域，健康数据是一种有价值的商品，这使得它成为了盗窃的目标。由于事关病人的健康，医疗机构更有可能为勒索软件支付赎金。

　　全国医药、医疗器械行业董事长精品班认为以下是2020年里医疗行业将会面对的安全威胁：内部威胁根据 Verizon 保护健康信息数据泄露报告，被调查的医疗服务供应商中，59% 的威胁行为者是内部人士。83% 的情况下其动机与经济利益相关。

　　很大一部分的内部泄露动机是出于乐趣或好奇心，访问他们工作职责之外的数据——例如，查询名人的 PHI。间谍活动和复仇也是动机之一。Fairwarning 的首席执行官 Kurt Long 表示：在病人住院期间，有数十人可以查阅医疗记录，正因为如此，医疗服务供应商往往会设置宽松的准入控制。普通员工可以接触到大量数据，因为为了照料病人，他们需要快速获取数据。

　　医疗组织机构中不同系统的数量也是一个因素。Long 表示这不仅包括付费和注册，还包括专门用于妇产科、肿瘤学、诊断和其他临床系统的系统。

　　任何东西都可能用来交易，从用于身份盗窃的病人数据或医疗身份盗窃欺诈计划。这已经成为了这个行业的常态。人们在为自己、朋友、家人谋取钱财，或者(他们正在)转向阿片类药物或处方药物。他们获取处方，然后出售以获取利润。

　　当你从整体上看待阿片类药物危机时，可以说医疗工作者正坐在系统中处方阿片类药物带来的金矿上。这是阿片类药物危机的最新证明。医疗工作者认识到它们的价值，他们可能会对它们上瘾，或者为了经济利益而使用他们的权利(开处方)。

　　Long 指出，内部人士从窃取病人数据中获利的一个公开例子来自 Memorial Healthcare Systems。2018年，为了了结一起内部违规案件，该公司支付了 550 万美元的 HIPAA 和解金。在这起案件中，两名员工访问了 11 万 5 千多名患者的 PHI。那次入侵事件彻底改变了 Memorial 对隐私和安全的态度，以防范未来来自内部人士和其他各方的威胁。

　　相关课程：全国医药、医疗器械行业董事长精品班

　　课程报名：李主任 13911249815