精品国产亚洲一区二区三区|亚洲国产精彩中文乱码AV|久久久久亚洲AV综合波多野结衣|漂亮少妇各种调教玩弄在线

<blockquote id="ixlwe"><option id="ixlwe"></option></blockquote>
  • <span id="ixlwe"></span>

  • <abbr id="ixlwe"></abbr>

    從Verizon數(shù)據(jù)泄露報(bào)告看醫(yī)療行業(yè)數(shù)據(jù)安全

    美國(guó)電信巨頭Verizon每年都會(huì)發(fā)布年度數(shù)據(jù)泄露報(bào)告(DBIR)。Verizon不僅綜合了多個(gè)合作伙伴的數(shù)據(jù)分析,而且還采用了嚴(yán)格的數(shù)據(jù)驅(qū)動(dòng)方法來(lái)分析安全漏洞和事件。連續(xù)發(fā)布10年來(lái),DBIR報(bào)告已經(jīng)成為安全行業(yè)的重量級(jí)調(diào)查報(bào)告,值得安全從業(yè)者仔細(xì)研讀。

    一、醫(yī)療行業(yè)數(shù)據(jù)泄露排名持續(xù)上升,2017年度高居榜首

    報(bào)告顯示,醫(yī)療行業(yè)數(shù)據(jù)泄露威脅的行業(yè)排名持續(xù)上升,從2014年突飛猛進(jìn)到行業(yè)第六,到2016年排名再次大幅提升,僅次于金融行業(yè)排名第二,占比15%。到2017年更是高居榜首,遠(yuǎn)遠(yuǎn)甩開(kāi)了第二名,占比達(dá)到24%。這種火箭般的上升速度是極其明顯的,而醫(yī)療數(shù)據(jù)價(jià)值的廣泛認(rèn)知和相對(duì)脆弱的防御措施是造成這一現(xiàn)象的兩大要素。

    需要特別注意的是,這一結(jié)果還是在美國(guó)HIPAA(Health Insurance Portability and Accountability)和HITECH(Health Information Technolory for Ecnonmic and Clinical Health)兩大法規(guī)約束的情形下產(chǎn)生的。

    二、醫(yī)療行業(yè)是唯一一個(gè)內(nèi)部威脅遠(yuǎn)大于外部威脅的行業(yè)

    從這份報(bào)告可以看出,醫(yī)療行業(yè)是所有行業(yè)中唯一一個(gè)內(nèi)部威脅大于外部威脅的行業(yè)。其中,內(nèi)部威脅占比60%,外部威脅占比43%,這表現(xiàn)出很大的特殊性。作為一個(gè)參照,在行業(yè)平均攻擊類(lèi)型中,70%為外部威脅,30%為內(nèi)部威脅。醫(yī)療行業(yè)的這種特殊性,可以認(rèn)為是由以下幾個(gè)方面引起的:1.醫(yī)療行業(yè)的數(shù)據(jù)單體價(jià)值特別高;2.醫(yī)療行業(yè)的數(shù)據(jù)獲得性比較簡(jiǎn)單;3.醫(yī)療行業(yè)數(shù)據(jù)變現(xiàn)特別容易。

    我們就數(shù)據(jù)泄露的幾個(gè)主要行業(yè)做個(gè)比較:醫(yī)療、金融、政府、信息服務(wù)、制造業(yè)、零售、酒店餐飲。如下圖所示:

    從Verizon數(shù)據(jù)泄露報(bào)告看醫(yī)療行業(yè)數(shù)據(jù)安全

    由于缺乏醫(yī)療行業(yè)的獨(dú)立數(shù)據(jù),我們以全行業(yè)來(lái)看威脅構(gòu)成。從全行業(yè)來(lái)看,在外部人員導(dǎo)致的泄漏事件中,62%都來(lái)自有組織的犯罪團(tuán)伙;在內(nèi)部威脅中,25.9%都跟企業(yè)系統(tǒng)管理員有關(guān),終端用戶(hù)占22.3%、醫(yī)生或護(hù)士占11.5%、開(kāi)發(fā)人員占5%。

    從Verizon數(shù)據(jù)泄露報(bào)告看醫(yī)療行業(yè)數(shù)據(jù)安全

    三、醫(yī)療行業(yè)是勒索病毒威脅的主要目標(biāo)

    勒索病毒是近幾年網(wǎng)絡(luò)攻擊的主要手段之一,2017年更是在所有惡意軟件攻擊中占到39%的比例,高居榜首。而醫(yī)療行業(yè)則是勒索病毒威脅的“重災(zāi)區(qū)”,入侵醫(yī)療行業(yè)的惡意軟件高達(dá)85%,屬于惡意軟件攻擊。其中,數(shù)據(jù)庫(kù)服務(wù)器成為了勒索病毒的主要攻擊目標(biāo)。下圖為全行業(yè)的勒索病毒發(fā)展趨勢(shì)圖,可以看出勒索病毒攻擊上升速度極為恐怖,已經(jīng)成為網(wǎng)絡(luò)安全的主要威脅。

    四、醫(yī)療行業(yè)入侵動(dòng)機(jī):財(cái)富追求是主要目標(biāo)

    財(cái)富追求是入侵醫(yī)療行業(yè)的主要?jiǎng)訖C(jī),高達(dá)75%的入侵是為了獲得財(cái)富。動(dòng)機(jī)分布:75%獲得財(cái)富、13%是樂(lè)趣和好奇心、5%是為了便利、5%是間諜。有一個(gè)現(xiàn)象需要特別注意,有47%的內(nèi)部數(shù)據(jù)泄露僅僅是因?yàn)楹闷嫘模热玑t(yī)生看別人的病案。而這個(gè)好奇最終有超過(guò)40%會(huì)演化為獲得財(cái)富。

    從Verizon數(shù)據(jù)泄露報(bào)告看醫(yī)療行業(yè)數(shù)據(jù)安全

    五、病案和藥物成為數(shù)據(jù)泄露的核心內(nèi)容

    不同于其他行業(yè)以PI(個(gè)人信息)和PFI(個(gè)人財(cái)務(wù)信息)為主體的信息泄露,醫(yī)療行業(yè)的數(shù)據(jù)泄露核心內(nèi)容在PHI(個(gè)人健康信息),即病案和藥物信息。數(shù)據(jù)泄露構(gòu)成占比:病案和藥物79%、個(gè)人信息 37%、支付信息 4%。不同于其他大部分行業(yè)只有海量數(shù)據(jù)才具有價(jià)值,醫(yī)療行業(yè)的單體病案數(shù)據(jù)價(jià)值就非常昂貴。

    從Verizon數(shù)據(jù)泄露報(bào)告看醫(yī)療行業(yè)數(shù)據(jù)安全

    六、社交工程攻擊

    社交工程攻擊在所有攻擊中的占比為17%,其中Email社交工程貢獻(xiàn)96%。同時(shí),78%的人員會(huì)重復(fù)遭受社交工程攻擊。

    政府、醫(yī)療、教育、專(zhuān)業(yè)服務(wù)和金融是社交工程攻擊的主要犧牲品。其中,59%的社交工程攻擊是為了獲得財(cái)富,38%是間諜行為,也就是社交工程是政府間諜和商業(yè)間諜的主要攻擊形式。

    從Verizon數(shù)據(jù)泄露報(bào)告看醫(yī)療行業(yè)數(shù)據(jù)安全

    七、發(fā)現(xiàn)攻擊

    執(zhí)行攻擊只要幾分鐘,而發(fā)現(xiàn)有攻擊事件發(fā)生卻可能需要幾個(gè)月時(shí)間。當(dāng)發(fā)現(xiàn)系統(tǒng)被入侵的時(shí)候,傷害已經(jīng)造成。其中,68%的數(shù)據(jù)泄露需要花費(fèi)幾個(gè)月甚至更長(zhǎng)時(shí)間才能被人發(fā)現(xiàn)。

    【小結(jié)】

    醫(yī)療行業(yè)數(shù)據(jù)泄漏事件、勒索病毒事件,幾乎每月、每周、每天都有發(fā)生,數(shù)據(jù)安全的重要性不言而喻。但是究竟如何體系化、系統(tǒng)化進(jìn)行數(shù)據(jù)安全防護(hù)建設(shè)?這是每個(gè)醫(yī)療行業(yè)信息安全從業(yè)者都在思索和探究的問(wèn)題。本篇作為醫(yī)療行業(yè)數(shù)據(jù)安全挑戰(zhàn)和對(duì)策系列文章的第一篇,從權(quán)威第三方Verizon數(shù)據(jù)泄露報(bào)告看醫(yī)療行業(yè)數(shù)據(jù)安全的現(xiàn)狀、威脅來(lái)源、攻擊目標(biāo)、攻擊的手段。下一篇我們將對(duì)醫(yī)療數(shù)據(jù)安全的客觀(guān)現(xiàn)狀進(jìn)行分析。

      (本文作者:美創(chuàng)科技 柳遵梁)

    【作者簡(jiǎn)介】

    柳遵梁,杭州美創(chuàng)科技有限公司創(chuàng)始人、總經(jīng)理。畢業(yè)于中國(guó)人民解放軍信息工程大學(xué),中國(guó)(中關(guān)村)網(wǎng)絡(luò)與信息安全產(chǎn)業(yè)聯(lián)盟理事,中國(guó)信息協(xié)會(huì)信息安全專(zhuān)委會(huì)數(shù)據(jù)安全工作組組長(zhǎng)。擁有二十年數(shù)據(jù)管理和信息安全從業(yè)經(jīng)驗(yàn),在通信、社保、醫(yī)療、金融等民生行行業(yè)積累了大量實(shí)踐經(jīng)驗(yàn)。具備長(zhǎng)遠(yuǎn)戰(zhàn)略眼光,準(zhǔn)確把握技術(shù)發(fā)展趨勢(shì),持續(xù)創(chuàng)新,帶領(lǐng)公司完成運(yùn)維、服務(wù)、產(chǎn)品多次轉(zhuǎn)型,均獲得成功。目前公司已經(jīng)完成全國(guó)布局,成為國(guó)內(nèi)重要的數(shù)據(jù)安全管理綜合供應(yīng)商,個(gè)人著有《Oracle數(shù)據(jù)庫(kù)性能優(yōu)化方法論和最佳實(shí)踐》書(shū)籍,多次發(fā)表學(xué)術(shù)文章。

    極客網(wǎng)企業(yè)會(huì)員

    免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。

    2019-08-01
    從Verizon數(shù)據(jù)泄露報(bào)告看醫(yī)療行業(yè)數(shù)據(jù)安全
    美國(guó)電信巨頭Verizon每年都會(huì)發(fā)布年度數(shù)據(jù)泄露報(bào)告(DBIR)。

    長(zhǎng)按掃碼 閱讀全文