在 2016 年,美國有 91%的人口具備健康保險,這意味著只要發生醫療資料外洩,任何人都會受到影響。它對個人的影響層面可能各有不同,但對受到影響的人和醫療機構來說都不會是件小事。趨勢科技的最新研究報告 – 「醫療產業所面臨的網路犯罪和其他威脅」中檢視了醫療產業資料外洩的另一面,並追蹤了電子健康記錄(EHR)被竊後會發生的事情。
電子健康記錄在深層網路 (Deep Web) 上被多次使用
EHR是給醫生使用的資料集合,包含了個人識別資訊(PII)、財務資訊(如保險資料)、付款資訊及個人健康相關資訊(如醫療處方、病歷、約診時間和其他醫療相關資料)。每個資料集合對網路犯罪分子來說都非常具有價值。財務資訊和個人識別資訊(PII)經常出現在資料外洩事件中,並且會放到地下市場販賣。哪麼醫療保健相關資訊呢?網路犯罪分子對醫生的約診時間或受害者所服用的藥物感興趣嗎?
圖1、在地下市場販賣的醫療保健文件
拿個人識別資訊(PII)等原始資料換錢在地下市場並非新聞。而EHR在地下市場會如此不同是因為某些資料可以用來建立全新的產品列表。包括偽造文件(如退稅單或假身份證、假駕駛執照或出生證明),而被竊處方也可以讓買方用來購買藥物。這讓他們可以取得處方藥如Ambien-這是種受歡迎的強力安眠藥,已經被許多人所濫用。
圖2、在地下市場販賣的Ambien
不只是竊取資料
每年醫院、健康保險業者和醫生所面臨的網路攻擊導致美國醫療產業超過60億美元的損失,平均每起資料外洩事件造成醫院約210萬美元的損失。至於受害者,65%的醫療識別資料詐騙受害者平均支付了13,500美元的法律費用和債權服務費用來解決此一問題。
與其他資料外洩事件相比,丟失醫療保健資料的受害者在處理上會遭遇更多困難。跟信用卡資料外洩不同,醫療識別資料竊盜可能會超過三個月才被回報。受害人甚至可能不知道自己受到影響,因為信用評價公司在服務使用某人的信用額度後會等待180天。這會大大地破壞個人信用分數。更糟的是,EHR包含不會過期的資料,如出生日期、社會保險號碼等。這意味著網路犯罪分子可以一遍又一遍地重複使用受害者的資料。
當EHR在地下市場販賣後,受害者無法得知自己的記錄是否被購買使用自己資料的人所篡改。偽造文件和詐騙所造成的實際影響尚未明瞭。
想了解更多關於醫療產業地下市場和Shodan資料,請參考趨勢科技的報告 – 「醫療產業所面臨的網路犯罪和其他威脅」。
@原文出處:The Healthcare Underground: Electronic Health Records for Sale 作者:趨勢科技(Mayra Rosario,資深威脅研究員)