在 Digital Health 的专栏中,Davey Winder 探讨了医疗保健中的数据安全是否正确发挥作用。

我一次又一次地看到警告,医疗保健是网络犯罪行为者的主要目标,甚至是“主要目标”。勒索软件攻击背后的有组织犯罪分子都承诺在 Covid 大流行期间不会以医疗保健为目标,并且通过他们的行动证明这些都是空话。在医疗保健成为目标并确认攻击成功的地方,涉及整个池塘的组织的情况似乎比国内的要多得多。

不过,这远不是我心目中唯一的数据安全二分法。事实上,虽然信息专员办公室报告了一个 破坏 3,557 次数据泄露 在截至 3 月 31 日的两年内,在整个英国卫生部门,大多数是在 NHS 内,我在进行此类交易的在线犯罪论坛中几乎看不到这些数据的证据。

情报报告显示英国地下市场的医疗保健数据相对较少

这让我想知道,鉴于我确实看到有大量泄露的美国医疗保健数据出售的证据,NHS 在数据安全方面的投资是否得到了回报?撰写有关网络安全的文章意味着我可以访问大量威胁情报,而且我看到的大多数报告以及通过威胁情报提要数据库获得的见解几乎没有什么相反的建议。

以最近的一份非常冗长的报告为例,该报告探讨了犯罪论坛上出售的数据激增,其中包括全球医疗保健和制药威胁领域。在这份报告的最后 50 页中,只有一个已确认的供出售的英国健康数据示例在 2021 年 5 月被引用,涉及 4,000 份医疗记录(扫描的临床记录和身份证件),总价仅为 500 美元(375 英镑。)

我问后面的人 那份报告 这是否反映了英国医疗保健与其他国家(例如美国)相比,其泄露的医疗保健数据被反复引用的更好的安全结果?

Rapid7 公司 IntSights 的威胁情报咨询主管 Paul Prudhomme 告诉我:“从安全角度来看,英国医疗保健行业的表现并不比任何其他国家好。”

“报告中几乎没有英国的例子,仅仅是因为我们现有的客户警报语料库中的少数英国例子对于说明我需要在论文中提出的具体观点没有那么有用。”

换句话说,这只是可用数据样本、编辑选择和随机变化的问题。

但这肯定不能解释在多个情报来源中出现的被泄露的英国医疗保健数据的明显的、相对的、稀缺性吗?显然,我很欣赏 ICO 数据泄露报告包括个人错误、文件删除和处理不当以及犯罪渗透,但二分法困境拒绝离开我的本性。

解开被盗数据的二分法困境

我试图解决这个令人头疼的问题的下一个停靠港是威胁情报公司 KELA 的首席执行官 David Carmiel。他告诉我,是的,KELA 去年曾看到英国医疗数据在暗网上被交易或泄露的例子,但“我们无法与其他国家的医疗数据进行比较评估规模,因为我们没有进行深入研究进入这个话题”。

也就是说,卡米尔告诉我,KELA 已经看到超过 200,000 份与 nhs.uk 相关的凭据通过第三方违规行为以及在此期间发布给犯罪来源的转储汇编中暴露出来。但是,他也确实表示,“乍一看,没有很多有价值的英国医疗保健数据”。

另一家威胁情报专家 Cyjax 的首席执行官 Kevin McMahon 指出了一个显而易见的问题,因为当我们闻到一个故事时,像我这样的记者经常忽视它。

“并非所有被盗数据都在地下论坛上公开交易,”麦克马洪说。

“在可能的情况下,私人销售是首选,因为它可以最大限度地提高数据的价值并最大限度地降低威胁行为者的风险,因此分析泄密市场并不能真正为英国的风险提供一个很好的衡量标准。”

另外,当然,NHS 不支付赎金,威胁行为者也知道这一点,这使得妥协 GP 手术或医院的价值远低于美国的选择。 众所周知,资金已经易手.因此,美国提供了一块更大的磁铁来吸引犯罪分子的注意力。

“他们的营利性医疗系统意味着有更多的公司参与医疗保健,”麦克马洪说。

“拥有庞大的供应网络,可以为威胁行为者提供更多机会。”

Cyjax 首席信息安全官 Ian Thornton-Trump 说,也可能有地缘政治推理在起作用,因为我们的公共卫生系统被视为更接近国家利益。

“对 NHS 的另一次类似 WannaCry 的攻击可能会导致北约第 5 条的回应,”他告诉我。

那篇文章基本上指出,对任何单个北约盟国的攻击都被视为对所有盟国的攻击。

移动数据安全成功指标的指针

最后,我从纯粹的威胁情报专家转向了由医生领导的健康 IT 和网络安全监管风险管理咨询公司寻求答案。

我认识 The AbedGraham Group 网络安全咨询服务主管 Saif F Abed 博士已有多年。如果有人能给我带来一些结论性观点,那就是他。

在犯罪交易圈内,英国医疗数据泄露比其他国家少的观点并不让 Abed 博士感到惊讶,事实上,他告诉我,这“完全符合我在一段时间内试图解释公共部门​​医疗保健网络犯罪的性质的方式” .

他与 Cyjax 提出了相同的观点,因为与大西洋彼岸的私营部门的商业模式相比,公共部门医疗保健数据的商业模式并不是特别有价值,因为其效用相当有限。

“我认为管理员凭据更有价值,”他说。

“因为他们现在支持选择的攻击尝试:勒索软件。”

Abed 博士建议,这在某种程度上改变了“数据安全成功指标”的指针,即健康和生命科学供应链因拒绝服务类型攻击而中断的频率。他认为,如果没有像 NHS 这样复杂的系统的完全透明度,这个指标几乎不可能衡量。

然而,Abed 博士确信的一件事是,自从 WannaCry 改变游戏规则以来,NHS,特别是在英格兰,已经在其人员、流程和技术方面进行了大量投资。

事实上,它是最早将医疗保健视为国家关键基础设施的系统之一。

“这使我们比我们的欧洲邻国更具弹性,”Abed 博士说。

“至少在考虑可比的医疗保健系统时是这样。”

Abed 博士总结说,持续的成功将“需要根据威胁对单一关键业务指标的影响,细致入微地关注情境化威胁:患者安全”。