- 2019-05-08 从verizon数据泄露报告看医疗行业数据安全

1、提供的爬取软件来源于：52夜泉 免费下载使用【柳遵梁专栏】从 Verizon 数据泄露报告看医疗行业数据安全柳遵梁 HIT 专家网 news 2019-05-08 编者按医疗行业进入到大数据和数据分析利用的时代，医疗数据的价值日益受到重视， 与此同时，医疗数据安全问题日益严峻。在数据管理和信息安全领域拥有二十年从业经验的资深专家美创科技创始人、总经理柳遵梁应邀在 HIT 专家网开辟专栏，为读者深入研读和剖析国际国内医疗数据安全的现状并提出应对策略建议。美国电信巨头 Verizon 每年都会发布年度数据泄露报告（DBIR）。Verizon 不仅综合了多个合作伙伴的数据分析，而且还

2、采用了严格的数据驱动方法来分析安全漏洞和 。连续发布 10 年来，DBIR 报告已经成为安全行业的重量级调查报告，值得安全从业者仔细研读。 一、医疗行业数据泄露排名持续上升， 201 7 年度高居榜首报告显示，医疗行业数据泄露威胁的行业排名持续上升，从 2014 年突飞猛进到行业第六， 到 2016 年排名再次大幅提升， 仅次于金融行业排名第二， 占比15%。到 2017 年更是高居榜首，远远甩开了第二名，占比达到 24%。这种火箭般的上升速度是极其明显的，而医疗数据价值的广泛认知和相对脆弱的防御措施是造成这一现象的两大要素。需要特别注意的是，这一结果还是在美国 HIPAA（Health In

3、surance Portability and Accountability） 和 HITECH（Health Information Technolory for Ecnonmic and Clinical Health）两规约束的情形下产生的。 二、医疗行业是唯一一个内部威胁远大于外部威胁的行业从这份报告可以看出，医疗行业是所有行业中唯一一个内部威胁大于外部威胁的行业。其中，内部威胁占比 60%，外部威胁占比 43%，这表现出很大的特殊性。作为一个参照，在行业平均攻击类型中，70%为外部威胁，30%为内部威胁。医疗行业的这种特殊性，可以认为是由以下几个方面引起的：1.医疗行业的数据单体价值

4、特别高；2.医疗行业的数据获得性比较简单；3.医疗行业数据变现特别容易。我们就数据泄露的几个主要行业做个比较：医疗、金融、 、信息服务、制造业、零售、酒店餐饮。如下图所示：由于缺乏医疗行业的独立数据，我们以全行业来看威胁构成。从全行业来看，在外部人员导致的 中， 62%都来自有组织的团伙；在内部威胁中， 25.9%都跟企业系统管理员有关，终端用户占 22.3%、医生或护士占 11.5%、开发人员占 5%。 三、医疗行业是勒索病毒威胁的主要目标勒索病毒是近几年网络攻击的主要手段之一，2017 年更是在所有恶意软件攻击中占到 39%的比例，高居榜首。而医疗行业则是勒索病毒威胁的“重灾区”，入侵医疗

5、行业的恶意软件高达 85%，属于恶意软件攻击。其中，数据库服务器成为了勒索病毒的主要攻击目标。下图为全行业的勒索病毒发展趋势图，可以看出勒索病毒攻击上升速度极为恐怖，已经成为网络安全的主要威胁。 四、医疗行业入侵动机： 财富追求是主要目标财富追求是入侵医疗行业的主要动机，高达 75的入侵是为了获得财富。动机分布：75%获得财富、13%是乐趣和好奇心、5%是为了便利、5%是 。有一个现象需要特别注意，有 47%的内部数据泄露仅仅是因为好奇心，比如医生看别人的病案。而这个好奇最终有超过 40%会演化为获得财富。 五、病案和药物成为数据泄露的核心内容不同于其他行业以 PI（个人信息）和 PFI（个人

6、财务信息）为主体的信息泄露， 医疗行业的数据泄露核心内容在 PHI（个人健康信息），即病案和药物信息。数据泄露构成占比：病案和药物 79%、个人信息 37%、支付信息 4%。不同于其他大部分行业只有海量数据才具有价值，医疗行业的单体病案数据价值就非常昂贵。 六、社交工程攻击社交工程攻击在所有攻击中的占比为 17%，其中 Email 社交工程贡献 96%。同工程攻击的主要牺牲品。其中，59 的社交工程攻击是为了获得财富，38%是 行为，也就是社交工程是和商业 的主要攻击形式。 七、发现攻击执行攻击只要几分钟，而发现有攻击 发生却可能需要几个月时间。当发现系统被入侵的时候，伤害已经造成。其中，68

7、%的数据泄露需要花费几个月甚至更长时间才能被人发现。【小结】医疗行业数据 、勒索病毒 ，几乎每月、每周、每天都有发生，数据安全的重要性不言而喻。但是究竟如何体系化、系统化进行数据安全防护建设？ 这是每个医疗行业信息安全从业者都在思索和探究的问题。本篇作为医疗行业数据安全挑战和对策系列文章的第一篇，从权威第三方 Verizon 数据泄露报告看医疗行业数据安全的现状、威胁来源、攻击目标、攻击的手段。下一篇我们将对医疗数据安全的客观现状进行分析。【作者简介】柳遵梁，杭州美创科技有限公司创始人、总经理。毕业于中国人民信息工程大学，中国（中关村）网络与信息安全产业联盟理事，中国信息协会信息安全专委会数据

8、安全工作组组长。拥有二十年数据管理和信息安全从业经验，在通信、 、医疗、金融等民生行行业积累了大量实践经验。具备长远战略眼光，准确把握技术发展趋势，持续创新，带领公司完成运维、服务、产品多次转型，均获得成功。目前公司已经完成全国布局，成为国内重要的数据安全管理综合供应商，个人著有Oracle 数据库性能优化方法论和最佳实践书籍，多次发表学术文章。 近期热门文章 CHIMA 发布医疗机构医疗大数据平台建设指南 【柳明专栏】医院信息化实施过程中的心理建设 曹晋军：从 HIT 程序员到美中宜和 CIO 【琚文胜专栏】卫生信息化人才匮乏之痛 国家卫健委推进全国基层医疗卫生机构信息化建设，标准与规范正式出台 国家药监局发文，推动药品信息化追溯体系规范化建设 【郝尚永专栏】那些年我们一起踩过的“坑”：吐槽医疗软件开发商之数据库设计 西南医院汪鹏：从医院信息管理转向数据利用的四点思考 国家卫健委启动三级公立医院绩效考核，病案首页和电子病历分级评价被纳入考核 国家卫健委部署 2019 年家庭医生签约