根據報導,WannaCry(想哭)病毒造成了10億美元財務損失,迫使醫生取消看診預約等。勒索病毒的頻繁攻擊也讓醫療網路常被忽視的地方引起關注 – 暴露在網路上的醫療網路設備及第三方合作夥伴。
眾所周知,醫療技術和資訊系統的進步是全球預期壽命延長的主因之一。現代化診斷、監測和治療系統的整合讓資訊更加快速有效的流通,讓病患治療更容易協同合作。但有些人可能不知道,醫院資訊系統是這資料流的主幹。不僅僅是醫療服務,還包括了醫院營運 – 行政、財務、病歷甚至是法律程序。而正如我們一再學習到的,結合/整合單一系統的複雜系統必然會出現漏洞,並且會擴大受攻擊面。
我們與HITRUST的最新聯合研究 – 「防護聯網醫院」強調了醫療IT團隊的整體安全策略所需要考慮的兩個關鍵 – 暴露在網路上的設備和第三方合作夥伴。
大家可能會認為醫院對暴露在網路上的設備相當敏感,因為健康保險可攜與責任法(HIPAA)及類似法規對資料外洩都處以高額的罰款。但當我們使用Shodan搜尋醫療相關網路設備時,卻驚訝地發現有大量暴露在網路上的醫院系統。
[延伸閱讀:更多關於暴露在網路上醫療設備和系統的詳細資料]
除了未受防護的線上醫療設備及系統所造成的風險外,醫療組織還面臨了供應鏈脆弱環節遭受入侵的問題。供應鏈的安全間隙可能讓連網醫院面臨到設備韌體攻擊、行動醫療應用程式被駭及開發期間原始碼外洩等等威脅。
[延伸閱讀:更多關於醫院供應鏈威脅的詳細資料]
醫療機構開始了解到網路攻擊風險會影響醫院運作(員工班表資料庫、醫院呼叫、樓層控制及其他系統),資料隱私(病患和員工個人身份資料[PII]、病患診斷和治療資料、保險和財務資料等)和病患健康狀況(病患診斷、治療和監測資料)。網路攻擊的運作風險是新的重大議題。駭客可能利用各種方式(身份竊盜、侵犯隱私、財務詐騙等)來濫用暴露在網路上的醫療設備和供應鏈弱點,竊取個人身份資料、知識產權和研究發現等資料,並且將資料拿來賣錢。更糟糕的是醫院遭受數位勒索攻擊呈現指數性的成長,造成營運中斷,導致病患生命威脅及金錢損失,還有罰款、聲譽受損和法律問題。
確實,醫療IT團隊手上有各種該優先處理的事項,所以必須採用基於風險評估的策略。HITRUST聯盟的通用安全框架(CSF)正是這麼做。它提供基於風險評估的方法,非描述性且融合參考了國際標準化組織(ISO)、美國國家標準技術研究院(NIST),支付卡產業(PCI)和HIPAA。HITRUST甚至提供了免費評估工具 – MyCSF。
採用如CSF這樣的框架只是協助醫院維持系統運作來提供醫療服務並免受駭客影響的起點。但充分地評估風險相當的重要,因為惡意攻擊會中斷營運並造成金錢損失。因此我們建議從健全安全架構入手,並至少要應用網路分段、入侵外洩偵測和次世代防火牆/統一威脅管理(UTM)閘道及動態威脅情報等技術。
[延伸閱讀:建議技術方案的完整列表]
人的問題也是相同的重要,醫療IT團隊應該要定期舉辦社交工程攻擊演習,並且替所有的員工和合作夥伴提供培訓。建立涵蓋醫院不同部門人員的緊急應變措施和團隊。這個團隊要準備好隨時採取行動來應對入侵外洩事件。
為了解決供應鏈方面的威脅,建議醫療IT團隊採取對新醫療設備進行漏洞評估,允許自帶裝置(BYOD)存取網路資源前用網路存取控制(NAC)進行驗證等作法。
[延伸閱讀:供應鏈相關建議的完整列表]
正如我們與HITRUST的最新聯合研究 – 「保護連網醫院」所強調的那樣,想要防護好連網的醫療機構,需要解決整體安全策略的兩個網路相關問題 – 暴露在網路上的設備以及第三方合作夥伴。
@原文出處:The Role That IT Security Teams Need to Play in Connected Hospitals 發布者:Ed Cabrera(趨勢科技網路安全長)