我们都越来越了解在线身份盗用。
在没有听说某大型企业遭受某种形式的数据泄露的情况下,日子过得不多。除非涉及到大量的客户数据,否则我们并不总是会听到这种严重性。同样,我们以平等的隐私对待我们的医疗记录。它们包含敏感的个人信息,可能会用不当的手对我们进行攻击。
我们很早就认识并理解了有关病历的隐私需求,而且幸运的是,我们的医生和护士宣誓要坚持这一点。隐私。在过去的纸张驱动的世界中,未经授权就可以通过徒手或内部工作来访问医疗记录。
但是现在,全球医疗行业已经实现了数字化,我们的记录也是如此。数字化医疗记录具有巨大的优势,但是将您的个人数据放在值得的起点上吗?
医疗身份盗用
毫无疑问,医疗身份盗用正在发生越来越多的人转向病历。为什么?好吧,其中一个充满了与我们都珍视的东西有关的最个人信息:我们的生活。
您的病历保存了您所有个人信息的全部 ,地址,出生日期,社会保险号(或同等编号),并在某些情况下包含帐单信息以及信用卡或借记卡详细信息。显然,这使病历非常有价值–比您的银行帐户详细信息更有价值(嗯,这取决于您帐户中的零!)。
黑客访问病历的便捷性使他们甚至可以目标更具吸引力。尽管已有多年的知识,医疗记录将在某个时候被数字化,但许多医疗机构却无法应对网络犯罪的全方位威胁。因此,不足为奇的是,美国医疗机构报告潜在攻击的百分比从2009年的20%上升到2013年的40%。仅在2015年,我们就发现五个独立的医疗机构的官方报告有1.088亿个人记录被泄露;每个组织都报告其网络服务器已被破坏:
注意:上表显示了受数百万影响的个人。
我们应该期待什么?
除了您的病史的明显问题落入未知之手外,另一个幽灵也隐约可见。医疗硬件方面的最新进展简直是不可思议的,但是它们与它们的前身有一个显着的区别:它们的联网状态。现在,许多设备已连接到医院网络,从而使黑客有机会直接访问某些设备。
在标题为“ 2016年预测:网络安全向预防性发展"的令人震惊的报告中,我们请参阅有关预测2016年医疗设备开始受勒索软件影响的预测。
风险来自对网络安全的基本了解。 2012年,时任Essentia Health信息安全主管(现为Protoviti副总监)的Scott Erven负责评估中西部大型医疗保健机构链的安全性。在提出的问题清单中,很明显,医疗机构仍在使用硬编码的网络密码,例如“ admin"或“ 1234",这证实了早期的报告和ICS-ALERT-13-164-01,研究人员Billy Rios和Terry McCorkle Cylance的作者报道了大约300种仍在使用硬编码密码的医疗设备。
这些基本的身份验证步骤造成了巨大的安全问题,这些问题很容易避免,或者至少会使攻击者难做。最好的情况下,我们会看到勒索行为有所增加。
最坏的情况下,人们会死亡。
MEDJACK
TrapX(基于欺骗的网络安全公司)已确定对医疗设施的广泛攻击,主要针对医院医疗设备。 TrapX在三家独立的医院中发现“广泛损害了包括X射线设备,图片存档和通信系统(PACS)和血气分析仪(BGA)在内的各种医疗设备。"
不是MEDJACK攻击向量的限制。 TrapX认为(需要注册):
“还有许多其他设备可以作为MEDJACK的目标。其中包括诊断设备(PET扫描仪,CT扫描仪,MRI机器等),治疗设备(输液泵,医用激光和LASIK外科手术机器)以及生命支持设备(心脏-肺部机器,医用呼吸机,体外膜氧合机和
该报告继续说明,被利用的许多医疗设备都是封闭系统设备,运行的操作系统过时,这在任何医院的医疗机构中都存在着巨大的漏洞。网络。在大多数情况下,使用和部署这些设备的医务人员无法访问内部工作原理,这意味着他们完全依赖制造商来安装最新的和弹性防盗墙–目前,
它也不限于少数医院。由于全球有各种各样的制造商向医疗机构提供各种设备,因此很难准确指出下一个漏洞的暴露位置。
例如,当FDA发布建议制造商为加强医疗设备的安全性,美国国土安全部(DHS)透露,他们正在对24起可疑的网络安全漏洞案件进行调查,其中包括“ Hospira Inc.的输液泵以及Medtronic Inc.和St Jude Medical Inc.的可植入心脏设备"。
DHS调查仍在继续。
病历销售
虽然不像劫持的医疗器械那样危及生命,但私人病历却越来越多地出售给数据中心,采矿公司,有时还会加上邮政编码,以使数据更有用,因此也就更有价值。
但是,一旦数据离开医疗机构,就会增加您的信息陷入恶意的可能性。 ds。早在2013年8月,多达11个卫生机构已经开始或已经在进行数据收集政策审查,包括数据销售过程如何进行以及数据挖掘公司应承担什么责任。
您能阻止吗?
不幸的是,就医疗服务提供者直接持有的数字化医疗记录而言,我们对此无能为力
您的提供商会保留您的数据,即使您请求复制(可能会比较昂贵),您的提供商也极不可能立即删除您的记录。谁知道什么时候您会被送往急诊室,才发现他们没有与您的青霉素过敏有关的医学信息。
一项积极的措施是使用DataLossDB.org建立警报系统,这是一个全面的网站,提供详细信息尽可能多的数据泄露。另一种缓解策略可能包括监视您的信用报告-但这通常会产生月费。尽管如此,您肯定会注意到您的评分是否下降了,并且可能在它变得不可挽回之前就抓住了它。如果发现任何特别有害的事件并及时发现,可以发出欺诈警报,阻止任何新的信用请求或以您的名义开立的帐户持续90天。
很难像以前那样主动拥有医疗记录安全性,就像拥有银行业务详细信息一样,但这并不意味着您必须高枕无忧。
担心医疗欺诈吗?您的病历被盗了吗?或您有哪些安全措施?在下面让我们知道!
图片来源:尼蒙(Nimon)通过Shutterstock手持听诊器,医疗记录(Pixabay),心脏(Pixabay)握持心脏,Freerange股票(Freerange Stock)手套握手<
