美国医疗行业的数据安全暨暗网经济

几乎没有哪个行业的网络安全风险比医疗保健领域高，医疗机构冒着威胁生命的危险，受到恶意行为者的威胁。除了更可怕的后果外，这些组织存储的数据的敏感性质（例如，社会安全号码，血型，患者病史等）意味着，如果数据泄露，患者可能成为假冒，欺诈，盗窃和操纵的受害者。

更糟糕的是，就网络安全实践而言，医疗行业历来落后于其他行业。伴随着代价高昂且引人注目的网络安全事件，例如最近的Quest Diagnostics漏洞，该漏洞暴露了将近1200万的患者记录，包括信用卡号，银行帐户信息，医疗信息和社会安全号码，或仅一天发生的Labcorp漏洞在具有类似破坏性的影响之后，很明显，黑客将会聚焦医疗行业。

实际上，研究表明，网络犯罪分子对医疗行业的兴趣一直在增长，在最近的一项研究中，有83％的医疗保健CISO调查显示，过去一年网络攻击有所增加，而且医疗保健终端平均每月看到8.2次尝试攻击。了解这些组织所面临的起源于暗网的威胁以及他们可以采取的可能保护自己（最重要的是保护他们的患者）的潜在步骤，变得前所未有的迫切。

了解网络安全的当前状态意味着要承认黑客已经在不断改进自己的工作。实际上，Carbon Black最近的调查中有66％的受访者承认，他们在过去的一年中看到了越来越复杂的网络攻击，其中33％的受访者报告了跳岛事件和应对事件响应的情况。这是一个令人担忧的趋势，因为网络犯罪分子已善于利用第三方网络中的漏洞（例如Quest Diagnostics漏洞中的情况），使他们能够在达到目标的同时掩盖自己的足迹并积极抵抗安全团队。除此之外，黑客还更容易出于破坏数据的特定目的而破坏组织，有45％的受调查组织报告了此类攻击。

了解医疗保健行业所面临的网络攻击的类型一样重要，是了解激励黑客的金钱诱因。当前，医疗保健提供者数据是暗网中最有价值的信息，以及个人健康信息（PHI），伪造处方和健康保险登录信息。网络犯罪分子寻求这些数据以获取其独特的获利能力，因为获取这些材料为许多不同形式的网络犯罪打开了方便之门。

知道黑客重视的数据类型是一个很好的起点，但是为了真正了解他们的追求，让我们看看他们为什么重视它：

1.提供者数据：通常，这些数据以管理文书形式出现，有助于黑客伪造合法医生的身份。一旦获得了这些信息，黑客便可以在暗网上将其出售给购买者，然后这些购买者冒充医生并提交欺诈性的医疗保险或保险索赔，甚至是昂贵的高端手术索赔；口袋里的现金，并让受害者处理费用。这类数据通常每个清单售价500美元。

2.健康保险登录信息：黑客将首先破坏Web服务器或凭据数据库，然后以相对较低的价格将目标信息出售给买方。在数据过时或过时之前，购买者将快速登录并访问医疗保险信息，可能将其与伪造的医疗信息结合起来以牺牲受害者的代价获得服务。由于这些数据的高交易量和周转率，它在暗网上的售价通常仅为3.25美元。

3.伪造处方标签：在这种情况下，向卖方发送了伪造处方的必要信息，然后与买方分享。这些伪造的文件随后可被用来走私非法毒品，因为如果当局要求，贩运者可以马上开处方以证明其拥有正当性。

4.个人健康信息：PHI是一些最有价值的信息，因为它是永久性的并且是个人信息。因此，它的价值通常是个人身份信息（PII）的三倍。在最坏的情况下，这些信息是由恶意的民族国家行为者收集的，然后利用这些信息勒索或勒索个人。

更健康的网络安全状况

了解医疗保健CISO面临的攻击类型以及其背后的动机，对于寻求保护其网络安全的领导者而言，前进的道路似乎令人生畏。但是，通过遵循一系列关键的最佳实践，医疗保健行业可以显著提升其安全状况，并使网络犯罪分子更难得手。

1.增加端点可见性：随着黑客的方法变得越来越复杂和熟练，CISO需要开始查看攻击面，包括其组织内连接的所有内容。医疗记录系统，联网的医疗设备，支付处理系统等等都是公平的（或更确切地说，不公平的）游戏，因此请确保如果某物在线，则冒着安全隐患。

2.建立防范新兴攻击的措施：再次，由于攻击面的增加，组织需要使用所有可利用的工具来检测和关闭不可避免的攻击。从安全工具，到流分析，再到培训：

3.运行自动化的法规遵从性和漏洞评估：将跳岛攻击作为一种持续的风险，组织需要定期审核其网络安全性，并在发现安全性基础架构中的漏洞时建立健全的快速响应程序进行补救。

4.与专注于医疗保健的托管检测与响应提供程序（MDR）一起工作：改善组织安全状况的最快，最有效的方法之一就是求助于该领域的专家。许多服务提供商专注于医疗安全，他们的智慧和见识可以帮助组织的网络安全。

5.备份数据：网络攻击者出于破坏数据的明确目的而渗透到网络中，组织可以保护自己的最佳方法之一就是确保在成功攻击后将数据存储在网络之外以便快速恢复。

由于担心缺乏预算，遗留系统以及攻击面越来越紧密联系，医疗保健组织的领导者越来越意识到他们面临的危险。实际上，接受调查的医疗机构中有84％的企业每年至少对员工进行一次网络安全最佳实践培训，并且近一半（45％）的企业每年进行多次培训。但是，由于大多数（33％）的CISO自我评估了他们的安全状况，因此很明显，仍有大量工作要做。通过增强对这些组织面临的威胁以及这些威胁来自何处的理解，并结合上面概述的关键最佳实践，我们相信医疗保健行业的领导者将能够保护其网络并帮助建立一个更安全的世界，为了每一个患者。

区块链科技公司可以为网络安全做些什么

让我们看看美国的区块链科技公司Duality Blockchain Solutions(DBS)

隐私、所有权、数据交换和数据质量的改进是当今组织面临的主要问题。这些问题促使组织始终如一地监视他们的数据是如何存储、共享和管理的。

Duality可以解决这些问题。

了解区块链网络的自然匹配性和安全数据管理，Duality 团队通过在 Dynamic(DYN) 的区块链技术和我们创新的新协议区块链目录访问协议 (BDAP) 上构建应用程序，为这些长期存在的挑战提供了独特的解决方案。

由于侧重于医疗、教育、法律和业务服务等领域，Duality 通过为企业带来安全和隐私，在其他数据管理系统中脱颖而出。尽管底层的区块链技术可能很复杂，但是用户体验仍然很熟悉。

DBS软件解决方案使用 Dynamic 的公共区块链来运行，它提供了一个去中心化的底层基础设施，可以在其上运行类似云的服务，包括安全存储、共享和处理。用户和第三方可以自由地使用开放 API 构建进一步分散的应用程序，还可以选择在自己的私有安全区运行称为侧链的服务 , 这就限制了只能访问选定的客户、合作伙伴或员工。软件套件已准备好解决下列关键数据和身份管理问题。

NoID:

Duality 的旗舰产品NoID，实时连接和验证生物特征数据，确保成本效益和准确的识别手段。医疗组织内部的研究已经证明，典型的全球患者标识符 (GPI) 是脆弱的，如果受到攻击，可以授予对受保护的健康信息 (PHI) 的访问权。

2016年，NoID赢得了美国概念闪电战 (Concept Blitz) 的冠军，并在 2017 年获得了美国患者识别挑战赛 (CHIME National Patient ID Challenge) 的创新奖.

pShare:

Duality提供了一个基于非云的解决方案，具有无与伦比的安全性、高速度和低成本，使pShare成为个人和组织寻找真正私有的点对点文件和文件夹共享应用程序的首选。使用pShare，与朋友、家人和业务伙伴私下安全地共享数据很容易。pShare已经发布1.0S版本。

pConsult:

pConsult将被开发用于促进对等的专业服务，包括私人实时视频和音频、安全消息传递以及参与者之间的文档交换。为了保护最终用户的隐私，pConsul使用人口统计学和生物统计学技术来登记参与者并对用户会话进行身份验证。下面定义的VGP 用于提供实时加密通信通道。

pSign:

pSign将是一个优秀的数字文档签名和工作流管理应用程序。它将与模板、库绑定在一起，并支持完全自动化。与现有工作流程相关的成本将呈指数级下降或完全消除。

Duality还部署了一个独特的基础设施，允许开发敏捷和灵活的应用程序，包括:区块链目录访问协议

(BDAP): 我们创建 BDAP 是为了以最少的资源和成本提供安全的可编程访问控制。BDAP

使用分布式数据库、帐户链接和使用互联网标准的资源命名，添加了一层类似于轻量级目录访问协议 (LDAP) 的资源层次结构。使用

BDAP，可以跨行业创建应用程序，从而消除了对服务器、管理员和第三方的需求。

Duality即将推出的应用程序接口 (API) 和软件开发工具包 (SDK) 将允许开发人员访问 BDAP 对象、分布式哈希表 (DHT) 存储、隔离应用程序，并通过使用侧链来托管去中心化的应用程序来提高性能。

Dynamic的区块链有一个由激励节点组成的二级网络，称为 Dynodes。Dynodes 通过将计算能力贡献给 BDAP 和 DHT，在Dynamic 的实用代币 DYN 中获得奖励。

VGP: Very Good Privacy (VGP)

是一个由 Duality 创建的端到端组密码系统库，它提供了一个超出当前 Pretty Good Privacy (PGP) 加密的加密层。VGP 采用公钥密码学、对称加密、Diffie-Hellman 密钥交换和哈希值等方法进行公钥指纹识别。

Fluid Protocol: Fluid Protocol

是 Duality 的一种机制，可以修改网络的运行参数，而不需要用户升级软件。

—-

编译者/作者：左左老师

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。