美國電信巨頭 Verizon 每年都會發布年度數據泄露報告(DBIR)。

Verizon 不僅綜合了多個合作伙伴的數據分析，而且還采用了嚴格的數據驅動方法來分析安全漏洞和事件。

連續發布10年來，DBIR 報告已經成為安全行業的重量級調查報告，值得安全從業者仔細研讀。

一、醫療行業數據泄露排名持續上升，2017年度高居榜首　　報告顯示，醫療行業數據泄露威脅的行業排名持續上升，從2014年突飛猛進到行業第六，到2016年排名再次大幅提升，僅次于金融行業排名第二，占比15%。

到2017年更是高居榜首，遠遠甩開了第二名，占比達到24%。

這種火箭般的上升速度是極其明顯的，而醫療數據價值的廣泛認知和相對脆弱的防御措施是造成這一現象的兩大要素　　需要特別注意的是，這一結果還是在美國HIPAA(Health Insurance Portabipty and Accountabipty)和HITECH(Health Information Technolory for Ecnonmic and Cpnical Health)兩大法規約束的情形下產生的。

二、醫療行業是唯一一個內部威脅遠大于外部威脅的行業　　從這份報告可以看出，醫療行業是所有行業中唯一一個內部威脅大于外部威脅的行業。

其中，內部威脅占比60%，外部威脅占比43%，這表現出很大的特殊性。

作為一個參照，在行業平均攻擊類型中，70%為外部威脅，30%為內部威脅。

醫療行業的這種特殊性，可以認為是由以下幾個方面引起的：　

1、醫療行業的數據單體價值特別高;　

2、醫療行業的數據獲得性比較簡單;　

3、醫療行業數據變現特別容易。

我們就數據泄露的幾個主要行業做個比較：醫療、金融、政府、信息服務、制造業、零售、酒店餐飲。　

由于缺乏醫療行業的獨立數據，我們以全行業來看威脅構成。

從全行業來看，在外部人員導致的泄漏事件中，62%都來自有組織的犯罪團伙;在內部威脅中，25.9%都跟企業系統管理員有關，終端用戶占22.3%、醫生或護士占11.5%、開發人員占5%。

三、醫療行業是勒索病毒威脅的主要目標　　勒索病毒是近幾年網絡攻擊的主要手段之一，2017年更是在所有惡意軟件攻擊中占到39%的比例，高居榜首。

而醫療行業則是勒索病毒威脅的“重災區”，入侵醫療行業的惡意軟件高達85%，屬于惡意軟件攻擊。

其中，數據庫服務器成為了勒索病毒的主要攻擊目標。

四、醫療行業入侵動機：財富追求是主要目標　　財富追求是入侵醫療行業的主要動機，高達75%的入侵是為了獲得財富。

動機分布：75%獲得財富、13%是樂趣和好奇心、5%是為了便利、5%是間諜。

有一個現象需要特別注意，有47%的內部數據泄露僅僅是因為好奇心，比如醫生看別人的病案。

而這個好奇最終有超過40%會演化為獲得財富。

五、病案和藥物成為數據泄露的核心內容　　不同于其他行業以PI(個人信息)和PFI(個人財務信息)為主體的信息泄露，醫療行業的數據泄露核心內容在PHI(個人健康信息)，即病案和藥物信息。

數據泄露構成占比：病案和藥物79%、個人信息 37%、支付信息 4%。

不同于其他大部分行業只有海量數據才具有價值，醫療行業的單體病案數據價值就非常昂貴。

六、社交工程攻擊　　社交工程攻擊在所有攻擊中的占比為17%，其中Email社交工程貢獻96%。

同時，78%的人員會重復遭受社交工程攻擊。

政府、醫療、教育、專業服務和金融是社交工程攻擊的主要犧牲品。

其中，59%的社交工程攻擊是為了獲得財富，38%是間諜行為，也就是社交工程是政府間諜和商業間諜的主要攻擊形式。

七、發現攻擊　　執行攻擊只要幾分鐘，而發現有攻擊事件發生卻可能需要幾個月時間。

當發現系統被入侵的時候，傷害已經造成。

其中，68%的數據泄露需要花費幾個月甚至更長時間才能被人發現。

小 結　　醫療行業數據泄漏事件、勒索病毒事件，幾乎每月、每周、每天都有發生，數據安全的重要性不言而喻。

但是究竟如何體系化、系統化進行數據安全防護建設?這是每個醫療行業信息安全從業者都在思索和探究的問題。