2022 年，全球医疗机构平均每周遭受 1.463 次网络攻击（比 2021 年增加 74%）。在所有这些事件中，勒索软件在财务和患者安全方面都是迄今为止最具破坏性的。

本文介绍了您需要了解的有关针对医疗保健提供者的勒索软件攻击的所有信息。我们分析了最新的统计数据，准确解释了为什么有这么多罪犯攻击医院，并为医疗保健组织提供了保护自己免受勒索软件攻击的最佳方法。

医疗保健勒索软件统计

以下统计数据突出了勒索软件威胁在医疗保健行业的严重性：

• 2022 年，24 家美国医疗保健组织成为成功勒索软件攻击的目标。这些事件共影响了 289 家医院。
• 2022 年，医疗保健行业的组织在大约 61% 的勒索软件事件中支付了赎金，是所有行业中最高的。
• 虽然医疗保健行业在满足黑客要求的意愿方面位居榜首，但该行业在赎金金额方面却垫底。2022 年医院支付的平均赎金约为 197,000 美元，是所有行业中最低的。
• 2022 年第三季度，医疗保健提供商是勒索软件攻击最有针对性的行业。当时，42 个组织中就有一个成为攻击目标。
• 在 2022 年的某个时候，美国约有 66% 的医院成为勒索软件攻击的目标（比 2021 年增加了近 50%）。
• 2022 年，医疗保健提供者的勒索软件后平均恢复时间为一周。平均补救成本（将服务和系统完全恢复到事故前状态的价格）为 185 万美元。
• 虽然平均修复价格为 185 万美元，但备受瞩目的勒索软件攻击成本要高得多。例如，总部位于达拉斯的 Tenet Healthcare 报告称，2022 年 4 月由于勒索软件造成约 1 亿美元的损失。同样，总部位于圣地亚哥的 Scripps Health 表示，2022 年 5 月和 6 月的攻击使该组织损失了 1.13 亿美元。
• 近 22% 的医疗保健组织认为勒索软件导致 2022 年患者死亡率上升。
• 超过 36% 的机构报告说，由于勒索软件攻击的中断，严重的医疗并发症有所增加。
• 四分之三的针对医院的勒索软件攻击导致运营中断（电子健康记录失效、手术取消、住院时间延长、手术延误、救护车改道等）。

为什么医院成为勒索软件的目标？

这就是为什么医院是勒索软件攻击最常见的目标之一：

• 有价值的数据：医疗机构存储大量敏感数据（医疗记录、财务信息、PII 等）。这些数据是身份盗用的金矿，这使得医院数据库成为犯罪分子有利可图的目标。
• 数据的重要性：无法访问数据通常会对患者护理造成严重后果。医院更有可能支付赎金，因为泄露的数据对于治疗患者至关重要（即确定某人过敏或血型的记录）。
• 容易受到破坏：医疗保健提供商比其他行业的组织更容易受到破坏。例如，2022 年 10 月对CommonSpirit Health的一次攻击迫使全国 140 多家医院关闭所有数字健康记录。一些医院甚至在袭击发生一个月后仍未完全恢复系统。
• 网络安全乏善可陈：超过 40% 的美国医院在网络安全上的支出不到其IT 预算的 6% 。此外，大多数安全团队人手不足，许多设施依赖过时的遗留软件，这很容易成为经验丰富的黑客的目标。
• 设备数量庞大：一家医院拥有数以万计的医疗物联网 (IoMT) 设备，黑客可以利用它们来破坏网络。这个攻击面非常难以防御。此外，当攻击发生时，通常很难识别感染源并阻止恶意软件移动到其他系统。
• 容易出现人为错误：医院依赖大量员工，这些员工通常工作时间长，在高压环境中运作，并与各种各样的人交流。这种情况使医生和护士容易受到网络钓鱼或CEO 欺诈等社会工程学攻击。

如何防止医疗保健中的勒索软件攻击

虽然您无法阻止犯罪分子尝试攻击，但组织可以通过多种方式提高勒索软件的弹性。让我们看看医疗保健提供者用来降低勒索软件攻击成功可能性的最有效方法。

建立员工意识

医院工作人员是抵御勒索软件攻击的第一道也是最脆弱的防线。为所有员工提供定期和强制性的安全意识培训，以确保每个人都了解他们在防止勒索软件方面的作用。所有团队成员都必须知道如何：

• 识别电子邮件、社交媒体消息和电话中的网络钓鱼攻击迹象。
• 安全地下载和安装应用程序。
• 识别恶意附件和链接。
• 创建独特的强密码。
• 确保他们的凭据安全。
• 向安保人员报告可疑事件。
• 安全地使用自带设备 (BYOD)硬件。
• 使用最新的补丁和安全更新使所有应用程序和操作系统保持最新状态。

医院工作人员的角色和职责不同，因此员工面临不同程度的威胁。在威胁建模期间考虑这些差异，并针对特定职位定制培训计划。

提升整体网络安全

高水平的网络安全有助于医院在威胁升级之前检测并遏制威胁。大多数勒索软件攻击在初次感染后需要几天甚至几周的时间才能执行，因此您的团队有充足的机会在恶意软件到达数据之前检测到可疑活动。

医疗保健提供者应专注于改善：

• 端点安全：保护医院工作人员用来完成工作的设备（笔记本电脑、智能手机、个人电脑、物联网医疗设备等）是必须的，因为大多数勒索软件攻击都是从这个攻击媒介开始的。端点安全还有助于检测可疑的用户行为，例如内部威胁。
• 严格的访问控制：保护医院工作人员访问敏感数据的方式。强制使用难以猜测的密码，设置多因素身份验证，并依赖零信任安全（授予工作人员访问履行职责所需的最少必要数据）。
• 网络安全：勒索软件黑客的目标是破坏网络，然后在 IT 系统之间横向移动以获取有价值的数据。通过使用防火墙、反恶意软件和反病毒程序、实时监控和入侵检测系统 (IDSes)提高网络安全性，使这一过程尽可能困难。
• 数据加密：对所有敏感数据使用静态加密。这种预防措施并不能阻止黑客窃取和扰乱文件，但即使犯罪分子获得了有价值的东西，您也可以防止数据泄露。
• 保护电子邮件通信：电子邮件安全对于防止网络钓鱼和其他类似的社会工程攻击至关重要。将您的电子邮件服务器设置为识别包含具有可疑扩展名（例如.vbs和.scr）的文件的邮件，并自动标记可能的垃圾邮件发送者的地址。

细分您的网络

将网络分割成多个子网以防止横向移动并在关键系统和文件周围建立一堵“墙”。这样，即使勒索软件发动攻击，您也可以最大限度地减少所谓的爆炸半径并将威胁包含在特定网段内。

每个子网都应该有独立的安全控制、访问策略和防火墙。这些预防措施使黑客和恶意软件难以侵入每个网段，从而为安全人员提供更多时间和机会来识别和隔离威胁。

执行定期数据备份

最新的数据备份不能防止勒索软件攻击，但可以确保医院：

• 总有办法恢复受损数据。
• 无需支付赎金即可取回其数据。
• 在发生攻击时快速重新开始患者护理。

确保医院定期备份所有有价值的数据。每天多次备份文件并至少使用两次备份（保持一个实例离线）。确保团队还定期测试备份以确保没有意外的数据损坏。作为额外的预防措施，请考虑使用不可变备份。这种类型的备份可以防止任何形式的编辑（包括加密），因此黑客即使到达备份存储也无法对文件进行加密。

制定应急响应计划

您需要一个全面的事件响应计划，以防黑客设法突破您的网络防御。以下是分步反勒索软件计划的粗略概述：

• 将受感染的系统和设备与网络的其余部分隔离开来。
• 确定哪种类型的勒索软件感染了系统（如果可能）。
• 向当局报告攻击并查看他们是否拥有解密密钥。
• 确定攻击者设法加密了哪些数据。
• 搜索数据泄露迹象（未经授权复制、传输或检索未加密数据）。
• 从可用的最新备份恢复数据，将文件传输到未受影响的子网，并重新开始患者护理。
• 卸载受感染设备上的所有内容并重新安装其操作系统。请记住在清理内存时让设备保持离线状态。
• 执行深入的 IT 取证并搜索后门的迹象。
• 改进您的安全策略以确保相同的攻击不会再次发生。

您的灾难恢复计划越深入，您处理实际攻击的能力就越好。请记住，响应团队需要明确的步骤来快速响应威胁，因此还要准备一个简短版本的计划，工作人员将在危机时期使用。一旦制定了计划，就该测试它是否存在缺陷了。偶尔运行渗透测试以模拟现实生活中注入勒索软件的尝试，并查看您的团队如何响应真实的攻击模拟。

执行定期漏洞评估

漏洞评估检查您的系统、设备和员工是否存在可利用的弱点。这些类型的测试检查医院是否存在可能导致勒索软件攻击的缺陷，包括：

• 系统配置错误。
• 员工行为问题（在不同设备上使用相同的密码、解锁 PC、通过个人电子邮件与患者互动、使用影子 IT设备等）。
• 帐户权限和身份验证机制的问题。
• 未打补丁的防火墙、应用程序和操作系统。
• 数据库错误（例如那些允许SQL 注入的错误，这是另一种流行的勒索软件传播方法）。
• IT 系统中的技术债务、过时的权限和其他责任。

定期扫描漏洞有助于确保每位员工在安全方面保持警惕，并确保 IT（硬件和软件）尽可能准备好应对勒索软件攻击。

对医疗保健提供商的勒索软件攻击无处不在

如果您在医疗机构工作，那么您迟早会遇到勒索软件攻击。尝试最终是否成功主要取决于您的准备程度，因此请结合员工培训和强大的网络安全策略来应对勒索软件的威胁。