2020十大醫療資安新聞:網路威脅迫在眉睫 資源、預算少為醫療保健行業最大困境

2020/12/18
2020十大醫療資安新聞:網路威脅迫在眉睫 資源、預算少為醫療保健行業最大困境
當COVID-19對全球衛生系統造成破壞同時,網路攻擊事件也引起大家關注,外媒《Healthcare IT News》16日,盤點了今年以來十大隱私與網路資安故事,包括世界衛生組織(WHO)新冠病毒測

編譯/彭梓涵

當COVID-19對全球衛生系統造成破壞同時,網路攻擊事件也引起大家關注,外媒《Healthcare IT News》16日,盤點了今年以來十大隱私與網路資安故事,包括世界衛生組織(WHO)新冠病毒測試實驗室網路被惡意軟體攻擊、以及歐洲發生的勒索軟體攻擊等新聞,顯示駭客造成的混亂也成為一種新的“網路大流行”。

1. 具有價值的研究數據 為駭客首要目標
正如上周,歐洲藥物管理局(EMA)伺服器受到網路駭客攻擊,輝瑞(pfizer)與BioNtech研發的新冠候選疫苗BNT162b相關文件,被非法入侵。

美國聯邦國家反情報和安全中心(NCSC)去年的報告也指出,國外的駭客似乎對生物材料、生物製藥以及新疫苗、新藥具有價值的研究數據特別感興趣。層出不窮的資安問題似乎沒有減弱的跡象。

2.WHO 新冠病毒實驗室駭客襲擊不斷
自COVID-19危機爆發以來,WHO受網路攻擊的次數增加,光是3月的前兩周網路釣魚攻擊(phishing attacks)就是1月的15倍,其它包括駭客DarkHotelc假借WHO名義寄出釣魚郵件。

3. FBI警告 美醫院受勒索軟體威脅迫在眉睫
去年十月一次罕見的夜間聯合警報,聯邦調查局(FBI)警告美國醫院和醫療保健者,網路犯罪威脅迫在眉睫,醫院和公共衛生組織應即時採取預防措施,以免遭受殭屍網路病毒TrickBot、Ryuk等勒索軟體威脅。

但類似事件並未因提醒而減少,今年九月擁有400家醫療機構客戶的大型急症護理服務提供商Universal Health Services,仍遭到網路攻擊,攻擊也使公司核心IT中斷多日。

4. 疫情間 捷克、德國醫院受網路攻擊迫使醫療行為停擺
除了美國之外,疫情爆發初期,捷克最大的新冠肺炎隔離醫學中心布爾諾大學醫院( Brno University Hospital ),也遭到網路惡意攻擊,該醫學中心網路癱瘓致使醫院被迫改以手寫紀錄病例,甚至取消手術。

相關事件也出現在德國杜塞爾多夫大學(Düsseldorf University)醫院,該醫院30台服務器被加密後,影響醫院整體運作,患者不得不轉移到另一家醫院,其中一名患者就因延遲治療最終喪命。

5. 醫療設備網路安全拉緊報 病患生命、數據岌岌可危
除了醫院成為網路惡意攻擊的目標,醫療設備商也成為這波“網路大流行”下的受害者,GE Healthcare今年初旗下一系列的放射裝置,出現6大安全漏洞,其中5項被列為最高風險等級,而此漏洞允許駭客自遠端關閉裝置功能、警報、變更設定,這可能會使護理人員錯過病患監護裝置的重要警報,甚至竊取患者數據。

6. 遠距醫療需求增 網路犯罪風險亦增加
疫情間,加速遠距醫療應用,SecurityScorecard和DarkOwl的一項新研究,在對30,000家醫療組織調查時,發現當對遠距醫療的依賴增加時,包括應用程式的安全性、端點防護、IP信譽、網路安全上的漏洞,會使網路犯罪做為目標的風險增加。

7.惡意信件偽裝新冠肺炎訊息 四處流串
超過90%的網路安全弱點來自於電子郵件,資安軟體技術開發公司Proofpoint也表示,疫情以來,越來越多的駭客利用新冠病毒為誘餌,試圖騙取信箱憑證。Proofpoint呼籲用戶在收取信件時注意檢查細節,並且不要輕易被過度的健康訊息網路釣魚活動影響而上當受騙。

8. 資源與資金預算不足 網路資安為醫療保健最大問題
資安問題確實一直是醫療保健者面臨最大的問題之一,但根據2020年HIMSS醫療保健網絡安全調查,168家美國醫療行業專家的意見回饋中則指出,由於資源與資金太少,許多組織無法改善訊息技術基礎架構和網路安全狀況,因此使得醫療機構內部仍暴露大量的風險。

9.疫情感染增加 電子健康紀錄隱私隨之增加
隱私權是患者享有的一項人權,但隨著疫情升溫,包括幾名名人患者,其電子健康紀錄(HER)因無休止的媒體報導而曝光,醫療系統內部應更加嚴防醫院內部可能的隱私傷害。

提供醫療機構網路安全服務的CynergisTek,則開發一套人工智慧與行為分析的工具,以有效地識別和管理客戶端隱私事件。

10.美HHS擬放寬個人健康醫療資訊規範
即使網路攻擊事件在各國層出不窮,但美國在為發展數位醫療上仍不餘遺力,本月10日,美國衛生及公共服務部(HHS)民權辦公室(Office for Civil Rights),提議對《健康保險可攜與責任法》(HIPAA)中的隱私規則(Privacy rule)進行實質性修改,目標讓更多的患者和家庭可以獲得健康數據,減輕監管負擔、改善醫療照護之間的溝通,並增加患者參與。