2019-05-12 14:49:3230837人阅读
研究人员发现,恶意软件可以向CT扫描结果中注入假的癌症特征或删除已存在的癌症特征。
当前,信息系统已成为医院各部门业务开展的必备工具,是实现医院现代化运营的重要手段。但若信息安全出现问题,小则影响医院业务开展甚至停摆,大则影响社会安定。
医院信息安全主要包括设备安全、网络安全、数据安全及行为安全。如中心机房服务器、存储器、交换机等设备安全,医院内部网络及互联网接入安全,各科室终端安全(如开机密码保护、文档资料、USB接入等安全)信息系统中患者病历数据、个人隐私安全等,甚至包括个人的科研成果、项目文档、银行及支付账户安全等。
最近,来自以色列本•古里安大学网络安全研究中心的两位研究人员正在展示的一种恶意软件不仅可以改变CT扫描结果,还可以通过这种方法来设法欺骗专业人员对于癌症存在的判断,并可能导致误诊。
由于解读CT扫描和MRI图像是件非常专业且复杂的事情,所以现在对它们的分析在某种程度上都是依赖专业的放射科医生和肺癌筛查软件完成的。一旦利用了软件,则黑客就有了可乘之机。
一项涉及70项改良CT肺部扫描的盲法研究证明,放射科医生和肺癌筛查软件一直把CT扫描结果中存在节点确认为癌细胞,但事实是:这些节点和癌细胞没有半点关系。
恶意软件能够以惊人的准确度改变这些图像的结果(注入假的癌症特征或删除已存在的癌症特征),虽然这些软件可能会进行一些检查和备份以确保诊断正确,但单靠此类软件仍是弊大于利。
这次的研究结果表明,误诊除了有恶意软件本身的问题外,还存在一个令人担忧的问题,即医院如何保护数据免受诸如此类恶意软件的攻击。
威胁信息安全的主要方式包括病毒、木马及人为的特定攻击等。攻击者通过篡改网页源代码、利用系统漏洞加入木马程序等,对用户进行攻击,盗取用户重要数据,迫使用户满足其提出的要求。
严格授权管理
根据医院信息系统权限分配管理办法,用户提出需求,须严格控制其身份认证及授权,区分不同级别的用户,定期提醒其修改密码,且密码须为字母加数字组合,甚至可采用不易破解的动态密码技术,对用户实行身份和操作的合法性认证,如有条件的医院,可考虑使用CA。
有报告指出:医疗行业是唯一的内部人员对组织造成最大威胁的行业。58%的数据泄露事件涉及内部人员,而外部参与者造成的事件不到一半。
在暗网上,完整的医疗记录(如患者姓名,出生日期,社会安全号码和医疗信息)每份可以卖50美元,而社保号码只需15美元。被盗信用卡的售价仅为1美元至3美元。医疗记录可能被用于各种各样的恶意目的,从医疗保健欺、身份盗窃到开辟新的信贷额度,敲诈勒索和敲诈勒索等。
那么应该采取哪些保障措施来最大限度的降低接触外部或内部威胁因子的风险?医疗服务提供者可以采取3项基本措施来增强其安全态势:
员工安全意识培训:推动组织中的文化变革,将安全实践纳入日常运营,并确保实施这些变革所需的财务资源。
数据加密——未加密设备的被盗或错位继续导致医疗保健市场中的数据泄露。
使用多重身份验证(MFA)补充密码:由于MFA需要多种识别方法,因此它是防止未经授权的用户访问敏感数据并在网络中横向移动的最佳方法之一。
实施最低访问权限和特权:考虑到医疗保健行业中特权访问滥用的比例很高,通过采用零信任安全方法来限制访问和特权是至关重要的。这需要建立细致的、基于角色的访问控制,以限制横向移动,以及对应用程序和基础设施的即时特权。
定期自查检测
定期对医院信息系统的安全状况进行自查,对网络系统进行全面安全检测。检测的内容包括:服务器、存储设备、网络设备及操作系统等是否存在安全漏洞,根据安全需要对系统进行安全修复和加固,比如升级、漏扫等。
数据安全备份
医院数据中心存放着大量数据,正所谓"硬件有价,数据无价",为保证数据安全,可进行三种方式的数据备份:一是租用"云空间",将数据备份至"云端",甚至可将医院核心业务服务端转移至"云端",但须掌握"云"安全知识;二是建设异地容灾系统,即在外地租用空间,通过光纤或互联网专线传输,定时(或实时)进行数据备份;三是利用数据库技术每天定时自动备份数据库文件到指定位置。
提供对外合作
明确一家安全服务机构,当医院遇到突发的安全事件时,安全服务机构能够提供应急响应服务,并立即配合医院信息中心人员进行处理。
参考:https://www.youtube.com/watch?v=_mkRAArj-x0
作者:Luvywang,原文链接 https://www.4hou.com/business/17235.html