還記得去年(2017年)5月WannaCry勒索軟體席捲全球,包括台灣在內的受害國家總共超過150個,共計30萬台電腦遭到攻擊,最大受害者之一就是英國國民保健署(NHS)。
WannaCry的攻擊並非針對英國國民保健署,然而他們卻成為了犧牲品,主要原因就在於「缺乏基礎IT設備的安全措施」,造成的後果包括:手術無預警取消、救護車跑錯道路、預約被延後等,不僅造成巨大的損失,還有不堪設想的後果。其實只要事先採取簡單的網路安全防範措施,這一切都是可避免的,例如諮詢一位道德駭客(白帽駭客),就能在損害蔓延之前發現漏洞。
醫療保健的網路安全風險,是對人類生命的威脅
IT部門預算吃緊、缺乏資源,難以進行手動維修,硬體設備逐漸過時,軟體也越來越不穩定,IT教育訓練被拋諸腦後,最後連最基礎的安全措施都忘記要做。雖然不只醫療保健產業會遇到網路勒索攻擊,但是當「它們」遭受攻擊時,卻會對人類生命造成最大的威脅。
相較於近年來醫療保健領域科技進步的成果,與IT基本安全意識的欠缺形成了巨大的反差。舉例來說,越來越多醫療網路設備的投入,不論對病人或是醫生來說,都讓病患的護理工作變得更輕鬆。但是,網路連接端點的增加也為駭客帶來更多入侵機會。更糟的是,近期醫療從業人員興起了透過Facebook、WhatsApp、甚至是Snapchat等社交網路管道來分享病患的數據資料,只要有一點技術的駭客就能輕易透過社交網路盜取病患私密的個人資料。
這樣的狀況是非常讓人不安的,數據資料的洩漏對於醫療從業人員來說的代價十分巨大。根據Ponemon 研究所《2017年數據洩漏成本研究》顯示,醫療保健業因數據外洩所造成的每人負擔成本,居各行業之首。全球平均個人隱私資料外洩的負擔成本為141美元,然而在醫療保健產業,平均成本竟高達380美元。
預防勝於治療,日常保障IT設備的安全性
毫無疑問的是,預防一定勝於治療。不論從財務角度,被竊取的醫療紀錄可能被用於勒索贖金;從效率角度,被駭客攻擊後要恢復到日常工作的壓力,比日常保障IT的基本安全大得多,從駭客攻擊事件後所需恢復的成本也遠高於主動預防的成本。
企業應透過全面檢視,避免因網路所帶來的安全風險和漏洞,包括隨時確保操作系統和病毒庫是否保持在最新狀態。WannaCry利用的是永恆之藍(EternalBlue)漏洞,雖然微軟於2017年3月14日修復,仍有修復日期與攻擊日期的時間差,不論是手動或自動修復,所有IT管理人員都希望能確保自己的設備得到即時更新。更嚴峻的挑戰是,自1995年以來修復流程都沒有改變,越是網路設備複雜的大型組織,越需要長時間停機斷網進行修復,但這可能會導致即使有新的修復也無法即時更新。企業和廠商都在尋找如何能夠在切斷攻擊時持續同步完成修復更新,取代目前透過下載修復後再重新開機而不能同步的模式。
備份資料的重要性與正確觀念
除此之外也應落實「災難回復機制」,在不同的位置備份關鍵資料、隔離資料以及運用最低權限原則。WannaCry搗亂電腦資料並要求受害者支付300至600美元來牟利。WannaCry是一自動複製病毒,可快速地在連網電腦間迅速擴散,因此將資料備份在分開獨立的位置可防止資料被加密。試想,如果之前都有好好進行備份,其實就不需要繳付贖金。
事先做好準備,隨時保持更新,積極採取IT安全措施
網路安全不僅限於醫療保健部門。英國數位、文化、媒體和體育部門的《2018年網路安全漏洞調查》顯示,約有43%的英國企業在過去一年遭遇過網路安全漏洞事件,以不變應萬變的方法已不可行,安全流程必須與企業的本質相匹配。
沒有人知道下一次攻擊何時會發生,但是我們可以事先做好準備,隨時保持更新、從過去的威脅中汲取教訓,主動積極採取IT安全措施,就是防止蓄意攻擊的最佳方法。
圖片由BlackBerry提供