在數位戰場上,醫療產業面臨的資安威脅與攻擊正持續激增。2024 年,勒索軟體與釣魚攻擊事件頻頻登上各大媒體版面。HealthTech雜誌也預測,這些將會是今年醫療產業面臨的最大資安威脅。
《2024年 Ponemon 醫療資安報告》指出,近 92% 的企業在過去 12 個月內遭受網路攻擊,較 2023 年的 88% 有所增加。IBM 的《2024年資安事件成本報告》更揭示,資料外洩事件平均造成 488 萬美元的損失。
資安犯罪集團利用人工智慧(AI)和機器學習(ML)等進階科技,以精密快速的手法竊取醫療資料,包括病歷資料(PHI)、個人識別資訊(PII)及檢驗報告等敏感資訊。
醫療產業的資安防護水準普遍落後於其他產業。趨勢科技副總裁 Greg Young 指出,單純「隸屬於醫療產業」這項特質,就構成了一個組織最大的資安弱點。他強調,醫療機構擁有的關鍵資料對駭客而言無異於珍貴寶藏。更令人憂心的是,該產業頻繁支付贖金的做法,反而助長了駭客持續發動攻擊的意願。
釣魚與勒索軟體:醫療產業的雙重夢魘
社交工程與釣魚攻擊
資料外洩事件中,社交工程與釣魚攻擊是最常見的入侵方式之一。根據 2022 年 IBM X-Force 威脅情報報告指出,釣魚詐騙是網路攻擊中最主要的感染途徑。美國衛生部門資安協調中心(HC3)也將釣魚攻擊列為針對醫療產業最常見的攻擊手法。
根據美國國家醫學圖書館的研究發現,在為期一個月的測試中,某企業共收到 858,200 封電子郵件。其中,139,400 封(16%)為行銷郵件,而 18,871 封(2%)被標記為潛在的資安威脅。駭客會透過社群媒體檔案鎖定醫院員工,發送假冒的好友邀請,或誘騙他們下載惡意程式。
2022 年 7 月,一家負責收集 34 家醫療機構病患資料的海外公司遭遇資料外洩事件,影響約 260 萬人。外洩資料包括姓名、地址、病患基本資料、員工識別號碼、診斷代碼及健康評估結果。
勒索軟體攻擊
2024 年最大規模的勒索軟體攻擊發生於 Change Healthcare,攻擊者竊取並加密了 1 億名病患的受保護健康資訊(PHI)。該公司最終向犯案集團 BlackCat/ALPHV 支付了 3,300 萬美元贖金。2025 年 2 月初,紐約血液中心在血液供應緊急狀態期間遭受勒索軟體攻擊,影響了約 400 家醫院的正常運作。
醫療機構擁有大量關鍵資料,但其資安防護措施卻普遍不足。對醫療產業而言,勒索軟體攻擊不僅會造成財務損失,更可能直接威脅病患生命安全。
資安情報中心(CIS)指出,勒索軟體主要透過三種管道入侵系統:
惡意廣告、
可疑連結,以及
夾帶惡意程式的釣魚郵件。
根據HIPAA期刊分析,醫療產業遭受勒索軟體攻擊的入侵途徑如下:
- 遭竊的帳號密碼(34%)
- 系統漏洞利用(34%)
- 惡意電子郵件(19%)
- 暴力破解攻擊(4%)
資安專家強調,支付贖金並非明智之舉,但醫療機構在面臨攻擊時往往別無選擇。據 HIPAA 期刊統計,2024年醫療產業平均支付高達 257 萬美元的贖金。
醫療組織如何防範資料外洩
趨勢科技副總裁 Young 強調,醫療機構必須全面升級其資安防護機制,以防範勒索軟體、釣魚攻擊及雲端漏洞等各種威脅。
為有效預防財務損失、法遵風險及商譽受損,醫療機構應採取以下資安防護最佳實務:
- 部署新世代端點偵測與回應(EDR)解決方案
- 使用防毒軟體防範勒索軟體攻擊
- 定期更新作業系統及應用程式修補程式
- 持續進行安全性更新以降低系統漏洞風險
- 強化密碼政策,確保密碼強度
- 導入多因子驗證(MFA)機制
- 使用垃圾郵件過濾工具攔截惡意郵件
- 定期舉辦資安意識教育訓練
落實這些最佳實務,不僅能有效降低資料外洩風險,更能確保關鍵資產的資安防護水準。
本文轉載自 DarkReading。