這篇貼文是部落格貼文連載系列之一,當中我們會檢視 2017 年在網路安全中的明確發展趨勢及長遠的影響。
在網路安全領域中,2016 年是勒索軟體肆虐的一年,而它們對醫療產業所造成的衝擊尤其巨大。在本篇部落格貼文中,我會對醫療產業將在 2017 年所面臨的威脅種類做出一些預測。
勢在必然
1. 勒索軟體將持續鎖定醫療產業
我想這點再明顯不過了。過去一年中,許多醫院都受到勒索軟體的影響。給加州、印第安那州、肯塔基州等地的醫院造成尤為深重打擊的是那些不鎖定使用者的個人電腦而直接以伺服器為目標的勒索軟體變體。華盛頓州的一間醫院受害狀況嚴重,以至於他們必須要將患者轉至其他醫療設施,才能足以維持照護品質。
勒索軟體已經成為壞人的攻擊首選,因為比特幣付款具有匿名的特性,並且作為一種商業模式,它是一種在不被警方抓到的情形下獲得報酬的有效方式。而他們鎖定醫療產業時也是以極為有效的SAMSA 勒索軟體變體作為攻擊媒介,透過 DMZ (網路中面向網際網路的區域) 中未修補的 JBOSS 應用程式伺服器來進行。醫院中有著很多這類的伺服器,並且發生越來越多的成功入侵事件。
運氣好的話,醫療組織間應該會廣傳這類的消息,從而 JBOSS 漏洞能得到修復,或至少受到緩解。然而,我們還沒看見這方面的趨勢。勒索軟體會在 2017 年將繼續通過標準攻擊區域來鎖定醫療產業:網頁偷渡式下載、惡意電子郵件附件或連結,以及 DMZ 中未修補的伺服器。
2. SaaS 應用程式中的意外過度共享情形將會增加,導致患者資料遺失
醫療人員喜愛使用雲端檔案共享的 SaaS 應用程式,例如 Box、Dropbox 與 Google Drive,因為它們補足了許多醫療組織在檔案共享簡便性方面的缺口。這類服務的公共版本的問題在於使用者需要控制誰能存取這些檔案,而有時很容易便會不小心將包含受保護醫療資訊 (PHI) 的檔案設定為與全網際網路共享的情形。例如,Box 的企業版便讓系統管理員有限制公共存取的能力,但許多醫療組織並不阻擋免費版本。
我曾在今年稍早寫了一篇有關 SaaS 安全的部落格貼文,當中還給了一些移轉風險的建議。在醫療組織在內部與外部皆能提供批准檔案共享的方法,且能積極封鎖未受批准的檔案共享網站之前,我們很可能會繼續看見因意外過度共享導致患者資料遺失的情形。
機會渺茫
1. 針對醫療裝置的網路攻擊將造成首個患者傷害確診案例
現今醫療設施中使用的許多醫療裝置都缺乏基本安全防護。醫療裝置通常缺乏端點防護與定期修補,並且在過時的作業系統上運行,如 Windows XP。因為這些原因,這些裝置會成為惡意軟體與網路攻擊的首要目標。
過去僅有一起 FDA 命令的確認案例,要求將特定醫療裝置撤出醫院。我認為我們只遇見一個案例的原因是因為對問題的研究不足,以及對問題缺乏認識。研究不足的原因在於醫療裝置通常都很昂貴,所以找出並修復醫療裝置漏洞所需的安全性研究沒有任何財務上的激勵。
受到金錢驅使的攻擊者會因為匿名性並且能快速取得報酬而選擇使用勒索軟體,但也存在那種「我是為了證明自己而做」的攻擊者。這類攻擊者是為了樂趣而進行駭客行為。目前還沒有因針對醫療裝置的網路攻擊而造成患者實際傷害的確診案例,但我確信惡意執行者遲早會利用醫療裝置這種醫院網路中最為脆落的方面興風作浪。
您對醫療產業的網路安全有什麼預測?請在評論中跟我們分享您的想法,並記得鎖定本系列的下一篇貼文,我們將會分享我們對金融服務的預測。
本篇文章最初刊登於 HealthDataManagement.com