小型医疗机构遭受网络攻击的成本明显更高 平均成本超44万美元

对于网络安全的重大疏忽，例如缺乏自动化软件安全检测和对旧漏洞的忽视，让医疗保健企业面临网络安全风险。

一份新的报告显示，网络攻击和勒索软件给中型医疗机构造成的损失明显高于大型机构，小型医疗机构因网络事件而关闭的平均成本超过44万美元，而大型机构为13万美元。

在过去六个月中，大约一半的医疗保健组织(42%的中型企业和61%的大型组织)因外部攻击而意外关闭了医疗设备。尽管如此，根据医疗基础设施保护公司CyberMDX发布的一项调查，大多数受访者认为他们有足够的员工来应对企业网络安全问题，61%的中型医疗机构和69%的大型医疗保健组织表示人员配备足够。

Cyber MDX首席执行官Azi Cohen表示，虽然攻击有所增加，但尤其是中型医院目前尚未适应。

虽然只有少数受访者透露了他们的IT和安全预算，但调查发现，中型医院的平均IT预算支出为350万美元，大型医院的平均支出约为310万美元。大约300,000美元，即其中的8%到11%，用于保护医疗设备和联网设备的安全。报告称，平均而言，大约617,000 美元用于网络安全合规性，大约一半的人认为这不足以满足他们的任务要求。

相较于大医院，中小型医院损失的成本比大医院要高，而且在人力和资源较少的情况下，他们要承受的负担更重，而且要创造更多的工作和更高的成本。

CyberMDX的报告并不是唯一一份发现医疗保健攻击构成越来越大威胁的报告。

根据微软的说法，在冠状病毒大流行期间，攻击者为医疗保健行业提供的喘息时间现在已经结束。微软在美国众议院监督和调查小组委员会的听证会上披露，医疗保健行业是其安全服务的最大客户。医疗保健业务占公司业务的17%，而媒体和娱乐、能源和金融行业各占14%。

微软数字犯罪部门(DCU)助理总法律顾问肯巴·瓦尔登表示:“尽管一些网络罪犯继续承诺在全球大流行期间不攻击医院或医疗保健公司，微软已经观察到，医疗保健仍然是勒索软件的头号目标。”他补充说，“勒索软件并不局限于引人注目的事件，它无处不在，影响着我们经济的方方面面，无论大小。”

更有针对性

在3月份的一份报告中，美国卫生与公共服务部发现，针对医疗保健的投机攻击已变得不那么普遍。相反，针对医疗保健组织的攻击侧重于获得滩头阵地、破坏大量系统、窃取数据，然后部署勒索软件。后两个组成部分(称为双重勒索攻击)已成为网络犯罪分子通过成功妥协获利的事实上的方式。

此外，攻击者越来越多地使用自动化和社会工程作为他们攻击的一部分，HHS说。

然而，根据Cyber MDX的调查，虽然攻击者正在调整他们的方法来应对加密勒索软件和数据盗窃，但医疗机构在改善防御方面却进展缓慢。

尤其令人担忧的是，医院和医疗机构的网络安全成熟度似乎明显落后于其他行业。大约三分之二的中型组织和57%的大型组织采用混合手动流程或完全手动流程来清点网络上的设备。

Cyber MDX的Cohen说，公司应该采用查找和消除手动流程并尽可能实现自动化。

修补失败

调查还发现，漏洞仍然是一个重大问题。超过四分之三的组织没有对NotPetya使用的漏洞进行完整的修补，大约一半的组织没有对2017年针对Equifax使用的Apache Struts漏洞和2019年公开的Microsoft远程桌面协议(RDP)服务器上的BlueKeep漏洞进行保护。

“已知漏洞极其危险，因为如何利用它们的方案已经公开，黑客也知道这一点，”Cohen表示。“医院必须更好地保护他们的医疗设备，这将有望提高人们的网络安全意识认识。如果这些众所周知的漏洞没有得到保护，那么那些鲜为人知但同样危险的漏洞呢?”

软件漏洞为黑客提供了发动网络攻击的便捷通道。美国国家标准与技术局(NIST)、国家漏洞数据库(NVD)数据显示，90%以上的网络安全问题是由软件自身的安全漏洞被利用导致。减少软件安全漏洞提高软件安全性，是现有网络防护手段的重要补充!超6成的安全漏洞与代码有关，在软件开发过程中，使用静态代码检测工具可以帮助用户减少30-70%的安全漏洞，在提高软件自身安全性的同时，还能进一步强化网络抵御网络攻击的能力，从而有效保护数据。

参读链接：

https://www.darkreading.com/threat-intelligence/healthcare-sees-more-attacks-with-costs-higher-for-smaller-groups