在 2016 年,美國有 91%的人口具備健康保險,這意味著只要發生醫療資料外洩,任何人都會受到影響。它對個人的影響層面可能各有不同,但對受到影響的人和醫療機構來說都不會是件小事。趨勢科技的最新研究報告 – 「醫療產業所面臨的網路犯罪和其他威脅」中檢視了醫療產業資料外洩的另一面,並追蹤了電子健康記錄(EHR)被竊後會發生的事情。
電子健康記錄在深層網路 (Deep Web) 上被多次使用
EHR是給醫生使用的資料集合,包含了個人識別資訊(PII)、財務資訊(如保險資料)、付款資訊及個人健康相關資訊(如醫療處方、病歷、約診時間和其他醫療相關資料)。每個資料集合對網路犯罪分子來說都非常具有價值。財務資訊和個人識別資訊(PII)經常出現在資料外洩事件中,並且會放到地下市場販賣。哪麼醫療保健相關資訊呢?網路犯罪分子對醫生的約診時間或受害者所服用的藥物感興趣嗎?
圖1、在地下市場販賣的醫療保健文件
若你將資料備份作業外包給第三方廠商,有考慮過盡量避免選擇位於地震或其他重大天災頻傳地區的廠商嗎?
身為 IT 管理者有告訴員工,所有裝置都要加上密碼保護,包括他們在公司內辦公時可能用到的一些個人裝置嗎?
公司員工都知道萬一發生資安事件該向誰通報嗎?
趨勢科技在過去所紀錄的攻擊事件證實了駭客所共用的一個策略:找出弱點並加以攻擊。不管是紐約時報或是亞洲的小公司,起始點都是透過弱點而入侵。這個弱點可能是關於技術(有漏洞的軟體)或非技術(沒有警覺的員工)。
這個發現強調了要有全面性的防禦來對抗這類攻擊。企業對於針對性攻擊並非束手無策,然而,建立堅強的防禦策略需要資源,以及組織本身的大力配合。
貴公司有設定防範資料外洩等資安目標嗎?為了讓貴公司的心血不會付諸東流,以下是趨勢科技建議你的九項網路資安目標:
不論貴公司的企業規模有多大,都應該建立一套完整的網路資安策略並回答下列問題:
每家企業都必須擁有某種形式的網路資安防護。若你是一家小型企業的老闆,那你就是公司的資安台柱。但隨著公司不斷成長,你的團隊也必須跟著擴編。處理網路威脅的問題不僅耗時費事,而且壓力龐大,你需要適當的 IT 人才來應對網路攻擊。
當你在建立專屬的網路資安團隊時,請聘用能夠隨時掌握資安產業趨勢的專家。不過,你還需要一些有意願學習和成長的員工來熟悉網路資安最佳實務並掌握最新網路威脅。網路資安產業瞬息萬變,因此員工也必須不斷進步。
坐以待斃只會讓你的企業系統更容易成為駭客的攻擊目標。趨勢科技網路資安長 Ed Cabrera 建議企業應該成立一個「狩獵團隊」。你或許已經猜到,這個團隊專門負責主動發掘可能影響 IT 環境的最新網路威脅,然後找出反制之道。 繼續閱讀
本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
Mirai 原始碼流傳之後….面對轉戰家用網路的殭屍大軍, 光在大門上鎖是不夠的 資安趨勢部落格
趨勢科技研究員揭民用無人機兩大安全漏洞,可能導致駭客任意操控甚至影響飛安 iThome
趨勢科技推出 Deep Security 10 混合雲伺服器防護方案 台灣產經新聞網
「先生小姐,你前期的電話費未繳,我們要通知警方!」
刑事警察局再度公布詐騙集團手法,先利用大多民眾常有忘記繳款的情形,先卸下被害人心防後,再詐騙被害人金錢。
