呼叫器竟洩漏病患敏感資料!這對企業的意義為何?

呼叫器是醫療機構維持院內通訊的一項重要工具,如此可以避免使用一些可能干擾重要儀器運作的技術,例如手機。但一起加拿大呼叫器系統洩漏病患個資事件告訴我們,呼叫器顯然並不安全。

 

非營利組織「開放隱私研究學會」(Open Privacy Research Society) 最近發布一份新聞稿指出,加拿大溫格華地區發生醫院呼叫器系統洩漏病患私密醫療資訊與個人身分識別資訊 (PII) 的情況。該學會表示,這些資料在傳輸時並未加密,因此很可能被歹徒所攔截。這引起了加拿大隱私專員公署 (Office of the Privacy Commissioner) 的注意並著手進行調查。

這起事件所外洩的病患資料包括:姓名、年齡、性別、診斷記錄、主治醫師以及病房號碼。開放隱私研究學會已將這些外洩的資訊與可公開取得的訃聞進行交叉比對,試圖了解這些外洩資訊是否為病患的真實資訊。 

該學會在 2018 年 11 月 11 日發現這項資安漏洞,並在隔天立即通知了 Vancouver Coastal Health (VCH) 醫院。在與 VCH 幾番聯絡之後,該學會僅於 9 月 9 日公開發表這起外洩事件的報告。

該醫院在一項官方聲明當中表示:「VCH 非常嚴肅看待病患的隱私,並且正在積極處理貴單位所發現的隱私風險。不過也請注意,VCH 內部並無消息指出病患資訊已遭到外洩或被用於惡意用途。」

[Trend Micro ResearchAttacks Against Industrial Machines via Vulnerable Radio Remote Controllers]

呼叫器通訊鮮少經過加密

呼叫器是醫療機構維持院內通訊的一項重要工具,如此可以避免使用一些可能干擾重要儀器運作的技術,例如手機。但此次的事件告訴我們,呼叫器顯然並不安全。

由於呼叫器技術是從 1950 年代沿用至今,因此呼叫器所傳輸的訊息鮮少經過加密。趨勢科技亦曾經做過幾份個案研究並且發現呼叫器的通訊可能洩漏未加密資料。駭客只需一套軟體定義無線射頻 (SDR) 工具,再搭配一個特製的 USB 隨身碟 (網路上花個 30 美元就能買到),就能接收、竊取這些使用純文字傳輸的醫療資訊與身分資料,甚至能加以篡改。這不僅讓病患暴露在各種身分冒用的風險當中,同時也讓醫療機構很可能因違反資料隱私權法而遭到罰鍰,例如美國「健康保險可攜性與責任法案」(HIPAA)。

[延伸閱讀:歷年十大資料外洩事件]

[相關研究:Weaknesses in Pager Technology and How Pagers Can Leak Confidential Information]

呼叫器可能變成網路間諜的滲透工具

今日仍在使用呼叫器的並非只有醫院而已。在美國和加拿大,呼叫器 (以及呼叫器訊息所使用的老舊通訊協定) 也用於一些自動化廠房的工業控制系統 (ICS),例如核能發電廠、化學工廠、國防外包商、半導體製造廠等等。在趨勢科技所做的個案研究當中,趨勢科技研究人員 Stephen Hilt 與 Philippe Lin 就曾發現有些廠房設施的狀態與診斷資料不小心遭到外洩。雖然這些資訊看似無害,但若落入駭客手中,他們就能藉此偵查攻擊目標所採用的關鍵基礎架構,協助他們滲透目標並進行間諜或犯罪行動。

其實,IT 環境也面臨了同樣的風險,Hilt 和 Lin 的研究也發現一些 IT 環境仍在使用呼叫器。根據趨勢科技研究人員的觀察,歹徒可藉此竊取一些外洩的個人和企業資訊,如:電子郵件和登入憑證。而歹徒偷到的資訊可再用來竊聽企業的通訊,或者發送社交工程誘餌給企業員工,如:網路釣魚中間人 (MitM) 攻擊。

[延伸閱讀:Healthcare Under Attack: What Happens to Stolen Medical Records?]

將資安最佳實務原則延伸至呼叫器

使用不安全 (更別說老舊) 的通訊技術或任何技術,在今日智慧型手機、雲端平台、數位轉型當道的年代,是一項嚴重的資安風險,很可能導致嚴重的後果。所以,企業機構應該移轉至更安全且符合資料隱私權法規的通訊技術。如果無可避免地必須使用呼叫器,那麼,將呼叫器傳輸的訊息必須經過加密才行。

此外,企業機構也應重新檢視並進一步強化自己的網路資安及事件應變政策,了解資料外洩可能對企業的生存造成什麼影響、可能帶來什麼重大罰鍰。此外,員工也應培養良好的網路資安習慣,不僅桌上型電腦、筆記型電腦、手機,就連其他可能儲存或處理敏感資訊的裝置也都應養成良好的資安習慣。

原文出處:Unsecure Pagers in Vancouver Expose Sensitive Patient Data: What This Means for Enterprises