2022 年，全球醫療機構平均每周遭受 1.463 次網絡攻擊（比 2021 年增加 74%）。在所有這些事件中，勒索軟件在財務和患者安全方面都是迄今為止最具破壞性的。

本文介紹了您需要了解的有關針對醫療保健提供者的勒索軟件攻擊的所有信息。我們分析了最新的統計數據，準確解釋了為什么有這么多罪犯攻擊醫院，并為醫療保健組織提供了保護自己免受勒索軟件攻擊的最佳方法。

醫療保健勒索軟件統計

以下統計數據突出了勒索軟件威脅在醫療保健行業的嚴重性：

• 2022 年，24 家美國醫療保健組織成為成功勒索軟件攻擊的目標。這些事件共影響了 289 家醫院。
• 2022 年，醫療保健行業的組織在大約 61% 的勒索軟件事件中支付了贖金，是所有行業中最高的。
• 雖然醫療保健行業在滿足黑客要求的意愿方面位居榜首，但該行業在贖金金額方面卻墊底。2022 年醫院支付的平均贖金約為 197,000 美元，是所有行業中最低的。
• 2022 年第三季度，醫療保健提供商是勒索軟件攻擊最有針對性的行業。當時，42 個組織中就有一個成為攻擊目標。
• 在 2022 年的某個時候，美國約有 66% 的醫院成為勒索軟件攻擊的目標（比 2021 年增加了近 50%）。
• 2022 年，醫療保健提供者的勒索軟件后平均恢復時間為一周。平均補救成本（將服務和系統完全恢復到事故前狀態的價格）為 185 萬美元。
• 雖然平均修復價格為 185 萬美元，但備受矚目的勒索軟件攻擊成本要高得多。例如，總部位于達拉斯的 Tenet Healthcare 報告稱，2022 年 4 月由于勒索軟件造成約 1 億美元的損失。同樣，總部位于圣地亞哥的 Scripps Health 表示，2022 年 5 月和 6 月的攻擊使該組織損失了 1.13 億美元。
• 近 22% 的醫療保健組織認為勒索軟件導致 2022 年患者死亡率上升。
• 超過 36% 的機構報告說，由于勒索軟件攻擊的中斷，嚴重的醫療并發癥有所增加。
• 四分之三的針對醫院的勒索軟件攻擊導致運營中斷（電子健康記錄失效、手術取消、住院時間延長、手術延誤、救護車改道等）。

為什么醫院成為勒索軟件的目標？

這就是為什么醫院是勒索軟件攻擊最常見的目標之一：

• 有價值的數據：醫療機構存儲大量敏感數據（醫療記錄、財務信息、PII 等）。這些數據是身份盜用的金礦，這使得醫院數據庫成為犯罪分子有利可圖的目標。
• 數據的重要性：無法訪問數據通常會對患者護理造成嚴重后果。醫院更有可能支付贖金，因為泄露的數據對于治療患者至關重要（即確定某人過敏或血型的記錄）。
• 容易受到破壞：醫療保健提供商比其他行業的組織更容易受到破壞。例如，2022 年 10 月對CommonSpirit Health的一次攻擊迫使全國 140 多家醫院關閉所有數字健康記錄。一些醫院甚至在襲擊發生一個月后仍未完全恢復系統。
• 網絡安全乏善可陳：超過 40% 的美國醫院在網絡安全上的支出不到其IT 預算的 6% 。此外，大多數安全團隊人手不足，許多設施依賴過時的遺留軟件，這很容易成為經驗豐富的黑客的目標。
• 設備數量龐大：一家醫院擁有數以萬計的醫療物聯網 (IoMT) 設備，黑客可以利用它們來破壞網絡。這個攻擊面非常難以防御。此外，當攻擊發生時，通常很難識別感染源并阻止惡意軟件移動到其他系統。
• 容易出現人為錯誤：醫院依賴大量員工，這些員工通常工作時間長，在高壓環境中運作，并與各種各樣的人交流。這種情況使醫生和護士容易受到網絡釣魚或CEO 欺詐等社會工程學攻擊。

如何防止醫療保健中的勒索軟件攻擊

雖然您無法阻止犯罪分子嘗試攻擊，但組織可以通過多種方式提高勒索軟件的彈性。讓我們看看醫療保健提供者用來降低勒索軟件攻擊成功可能性的最有效方法。

建立員工意識

醫院工作人員是抵御勒索軟件攻擊的第一道也是最脆弱的防線。為所有員工提供定期和強制性的安全意識培訓，以確保每個人都了解他們在防止勒索軟件方面的作用。所有團隊成員都必須知道如何：

• 識別電子郵件、社交媒體消息和電話中的網絡釣魚攻擊跡象。
• 安全地下載和安裝應用程序。
• 識別惡意附件和鏈接。
• 創建獨特的強密碼。
• 確保他們的憑據安全。
• 向安保人員報告可疑事件。
• 安全地使用自帶設備 (BYOD)硬件。
• 使用最新的補丁和安全更新使所有應用程序和操作系統保持最新狀態。

醫院工作人員的角色和職責不同，因此員工面臨不同程度的威脅。在威脅建模期間考慮這些差異，并針對特定職位定制培訓計劃。

提升整體網絡安全

高水平的網絡安全有助于醫院在威脅升級之前檢測并遏制威脅。大多數勒索軟件攻擊在初次感染后需要幾天甚至幾周的時間才能執行，因此您的團隊有充足的機會在惡意軟件到達數據之前檢測到可疑活動。

醫療保健提供者應專注于改善：

• 端點安全：保護醫院工作人員用來完成工作的設備（筆記本電腦、智能手機、個人電腦、物聯網醫療設備等）是必須的，因為大多數勒索軟件攻擊都是從這個攻擊媒介開始的。端點安全還有助于檢測可疑的用戶行為，例如內部威脅。
• 嚴格的訪問控制：保護醫院工作人員訪問敏感數據的方式。強制使用難以猜測的密碼，設置多因素身份驗證，并依賴零信任安全（授予工作人員訪問履行職責所需的最少必要數據）。
• 網絡安全：勒索軟件黑客的目標是破壞網絡，然后在 IT 系統之間橫向移動以獲取有價值的數據。通過使用防火墻、反惡意軟件和反病毒程序、實時監控和入侵檢測系統 (IDSes)提高網絡安全性，使這一過程盡可能困難。
• 數據加密：對所有敏感數據使用靜態加密。這種預防措施并不能阻止黑客竊取和擾亂文件，但即使犯罪分子獲得了有價值的東西，您也可以防止數據泄露。
• 保護電子郵件通信：電子郵件安全對于防止網絡釣魚和其他類似的社會工程攻擊至關重要。將您的電子郵件服務器設置為識別包含具有可疑擴展名（例如.vbs和.scr）的文件的郵件，并自動標記可能的垃圾郵件發送者的地址。

細分您的網絡

將網絡分割成多個子網以防止橫向移動并在關鍵系統和文件周圍建立一堵“墻”。這樣，即使勒索軟件發動攻擊，您也可以最大限度地減少所謂的爆炸半徑并將威脅包含在特定網段內。

每個子網都應該有獨立的安全控制、訪問策略和防火墻。這些預防措施使黑客和惡意軟件難以侵入每個網段，從而為安全人員提供更多時間和機會來識別和隔離威脅。

執行定期數據備份

最新的數據備份不能防止勒索軟件攻擊，但可以確保醫院：

• 總有辦法恢復受損數據。
• 無需支付贖金即可取回其數據。
• 在發生攻擊時快速重新開始患者護理。

確保醫院定期備份所有有價值的數據。每天多次備份文件并至少使用兩次備份（保持一個實例離線）。確保團隊還定期測試備份以確保沒有意外的數據損壞。作為額外的預防措施，請考慮使用不可變備份。這種類型的備份可以防止任何形式的編輯（包括加密），因此黑客即使到達備份存儲也無法對文件進行加密。

制定應急響應計劃

您需要一個全面的事件響應計劃，以防黑客設法突破您的網絡防御。以下是分步反勒索軟件計劃的粗略概述：

• 將受感染的系統和設備與網絡的其余部分隔離開來。
• 確定哪種類型的勒索軟件感染了系統（如果可能）。
• 向當局報告攻擊并查看他們是否擁有解密密鑰。
• 確定攻擊者設法加密了哪些數據。
• 搜索數據泄露跡象（未經授權復制、傳輸或檢索未加密數據）。
• 從可用的最新備份恢復數據，將文件傳輸到未受影響的子網，并重新開始患者護理。
• 卸載受感染設備上的所有內容并重新安裝其操作系統。請記住在清理內存時讓設備保持離線狀態。
• 執行深入的 IT 取證并搜索后門的跡象。
• 改進您的安全策略以確保相同的攻擊不會再次發生。

您的災難恢復計劃越深入，您處理實際攻擊的能力就越好。請記住，響應團隊需要明確的步驟來快速響應威脅，因此還要準備一個簡短版本的計劃，工作人員將在危機時期使用。一旦制定了計劃，就該測試它是否存在缺陷了。偶爾運行滲透測試以模擬現實生活中注入勒索軟件的嘗試，并查看您的團隊如何響應真實的攻擊模擬。

執行定期漏洞評估

漏洞評估檢查您的系統、設備和員工是否存在可利用的弱點。這些類型的測試檢查醫院是否存在可能導致勒索軟件攻擊的缺陷，包括：

• 系統配置錯誤。
• 員工行為問題（在不同設備上使用相同的密碼、解鎖 PC、通過個人電子郵件與患者互動、使用影子 IT設備等）。
• 帳戶權限和身份驗證機制的問題。
• 未打補丁的防火墻、應用程序和操作系統。
• 數據庫錯誤（例如那些允許SQL 注入的錯誤，這是另一種流行的勒索軟件傳播方法）。
• IT 系統中的技術債務、過時的權限和其他責任。

定期掃描漏洞有助于確保每位員工在安全方面保持警惕，并確保 IT（硬件和軟件）盡可能準備好應對勒索軟件攻擊。

對醫療保健提供商的勒索軟件攻擊無處不在

如果您在醫療機構工作，那么您遲早會遇到勒索軟件攻擊。嘗試最終是否成功主要取決于您的準備程度，因此請結合員工培訓和強大的網絡安全策略來應對勒索軟件的威脅。