醫療組織可以預見勒索軟體、殭屍網路、雲端不當設定、網路應用攻擊與釣魚攻擊將成為它們的頭號隱憂。
文/Jaikumar Vijayan‧譯/Nica
因新冠病毒(COVID-19)疫情而倉促啟動提供遠端醫療服務,導致以健康醫療領域為目標的網路攻擊者急遽增加。資安廠商與研究人員追蹤回報釣魚攻擊、勒索軟體、網路應用攻擊與其他鎖定健康醫療廠商威脅大量增加的健康醫療業者。
這種情勢,對於疫情爆發前處理一般數量威脅已疲於奔命的健康醫療資安組織而言,無疑帶來更龐大的壓力。「健康醫療產業正面臨一連串錯綜複雜的資安風險。」Imperva資深副總裁暨研究人員 Terry Ray 如此表示。網路犯罪尋找健康醫療必須存取的機敏性與寶貴資料,其中包括病患資料與公司資料,他如此表示。許多企業組織因資源不足又仰賴有弱點的系統、協力廠商應用與API提供服務,應對挑戰相當艱辛。
[ ????大師開講 ─ 衛生福利部資訊處處長龐一鳴:後疫情時代的智慧醫療 ]
Ray與其他資安專家一致認為,以下幾項議題是健康醫療組織當今面臨的重大威脅。以下說明這五點:
一、日益猖獗的勒索軟體威脅
勒索軟體成為健康醫療領域最大網路威脅之一,至少是從全球COVID-19疫情暴發初期就有。攻擊者發現,健康醫療組織提供生死攸關、挽救生命的治療,幾乎比所有領域的勒索軟體受害者更容易敲詐。許多健康醫療企業,也因為必須啟動解決遠距醫療服務、聯絡追蹤與支援COVID-19疫苗與治療研究調查等需求的新數位應用及服務,而更容易受到攻擊。基於對此趨勢的擔憂,美國網路安全與基礎設施安全局(CISA)在2020年10月針對健康醫療產業發佈了罕見的警告。
資安廠商Tenable近期針對293筆在2020年1月至2021年2月間公開揭露健康醫療資料外洩的相關資料進行分析。揭露的外洩根源中有近55%顯示勒索軟體是主要肇因。至2021年3月1日,已有近56起公開揭露的外洩事件。近期受害者包括被索取175萬美元贖金的北卡羅萊州 Allergy Partners、新墨西哥州的 Rehoboth McKinley Christian Health Care,以及攻擊者鎖定約2,000筆面對病患(patient-facing)的系統後,不得不取消或重新安排數千筆約診與手術的愛爾蘭公共衛生系統。
[ 推薦閱讀: 勒索軟體成為更針對性、更細膩、更高代價的最大威脅 ]
當今健康醫療產業最大風險就是電子健康紀錄與系統,CynergisTek總裁暨執行長 Caleb Barlow 如此表示。「過去的攻擊顯示,醫院遭受勒索軟體引發鎖定的這段時間,EHR存取是關閉的,病患為了治療可能不得不轉院。」他說道。這類攻擊會預防存取關鍵處方資訊,以及對糖尿病或癌症這類複雜、慢性病病患的給藥劑量。更糟的是,駭客還有可能進一步操控健康紀錄資料、破壞病患治療,他如此表示。
就以往的經驗來看,健康醫療機構將這類風險轉嫁到網路保險上,但這讓一切變得更加棘手,因為保險公司讓有些企業組織更難購買勒索軟體保障險,因為他們尚未採用多因子驗證與端點偵測及回應這類特定控制機制,Barlow說道。
二、雲端弱點與不當設定
由 CyberRisk Alliance Business Intelligence 為Infoblox執行,針對健康醫療領域790名IT專業人員所作的調查顯示,資安專家們最擔心的資料外洩源自於雲端的弱點與不當設定。近幾年,許多健康醫療組織採用雲端服務,作為擴展數位轉型創舉的一部份。COVID-19疫情蔓延與隨之而來的一切,增加對遠端遠距醫療服務的需求,加快了雲端應用的進展。病患健康資訊(PHI)與其他機敏性資料逐漸開始被存放在多廠商雲端環境之中。
Infoblox產品管理副總裁 Anthony James 表示,這樣的趨勢,讓健康醫療企業組織的可被攻擊層面擴大,更容易成為以竊取受保護健康資訊、保險資訊與其他機敏資料的攻擊目標。健康醫療企業組織通常會使用資安標準與實作方式各異的多重雲端廠商與服務,因而更難套用一致的策略,保護跨雲端環境的資料,他說道。
[ 下載 2020-21 CIO大調查報告,瞭解企業最想投資的資安方案 ]
Infoblox調查報告中有53%受訪者表示,過去12個月他們的企業組織已經歷過雲端相關資料外洩。最近一例是健康規劃管理服務廠商PeakTPA。它在3月份揭露了Medicare與Medicaid專案下約50,000個人所屬的受保護健康資訊,遭到其中兩台雲端伺服器存取與洩露。另一例則在2020年8月,310萬名病患的機敏性資料,被發現毫無隱藏地置於未受保護的雲端資料庫裡,據信應屬於某個病患管理軟體廠商。
Infoblox調查報告中有超過1/3的受害者,表明違規外洩事件讓他們損失200萬美元甚至更多。而有47%表示經歷過針對雲端代管資產的惡意軟體攻擊,有37%表明曾經歷包含存放在雲端內的PHI與其他資料的內部攻擊。
2021年2月,Netwrix發布以調查資料為基礎所作的雲端資料資安報告也突顯了類似趨勢。據Netwrix指出,有61%健康醫療組織將客戶資料存放在雲瑞,而有超過半數(54%)將PHI存放在雲端。調查報告中有44%企業組織經歷過釣魚攻擊,而有39%表示遭受過雲端勒索軟體攻擊。調查中有超過十分之六(61%)受訪者指出它們的雲端資安災難是因預算不足所導致。其他因素則包括缺乏IT與資安部門,以及員工的輕忽。
三、網路應用程式攻擊
網路應用程式攻擊(Web application attacks)鎖定健康醫療單位的情勢近來急劇攀升,同樣又是因COVID-19疫情而來。資安廠商Imperva調查人員觀察,2020年12月鎖定醫院與其他健康醫療的網路應用程式攻擊增加了51%,大概就在第一瓶COVID-19疫苗開始全球分發的時候。
這些攻擊,延續了Imperva在整個2020年所觀察到的趨勢。該公司宣稱,據統計,2020年鎖定健康醫療攻擊的數目每個月竟然有1.87億。平均來看,健康醫療單位2020年每個月經歷498次攻擊,較2019年增長10%。跨站指令碼(Cross-site scripting)攻擊最為常見,接著是 SQL injection、通訊協定操控攻擊,以及遠端程式碼執行/遠端檔案隱入攻擊。
[ 推薦閱讀: 從共享威脅情資到共同演練對抗網路攻擊 ]
Imperva的Ray發現一項警訊:這些攻擊引發的外洩事件,遠比公開揭露的還嚴重得多。舉例來說,Imperva調查人員發現,健康醫療資料從企業內部移轉到外部目的地相關的意外事件急遽增加,這顯然就是外洩事件的警訊。
「就技術而言,網路應用程式攻擊對管理資源不足的健康醫療企業組織而言極具挑戰。」Ray表示。要解決這項難題,健康醫療企業必須實施控制,取得協力廠商應用與API連結更佳能見度,他說道。只有這麼做,資安團隊才能瞭解誰試圖存取關鍵資料,與是否應該允許這個動作。
四、惡意機器人封包
來自惡意機器人的流量封包(Bad-bot traffic) ─ 試圖爬抓網站資料、傳送垃圾郵件或下載非必要軟體這類,為健康醫療產業帶來另一項莫大挑戰。這些問題在近幾個月,已然成為全球政府的龐大壓力:它們正忙於設立新網站或其他數位基礎建設,支援COVID-19疫苗登錄與預約接種。惡意攻擊者以大量惡意機器人封包,轟炸這些新的、急促建立而又普遍未經測試的站台。
這類封包據信至少被投放在麻薩諸塞州與明尼蘇達州這類建置疫苗登錄站台的幾個州,於2021年初站台上線後不久就擊垮它,導致想要預約COVID-19疫苗的人感到沮喪。
Imperva表示,才從2020年9月至今就觀察發現健康醫療網站的惡意機器人流量增加了372%。2021年2月,這間資安公司發現機器人封包有近49%的月增長率,是一年來躍升最大幅度。
[ 加入 CIO Taiwan 官方 LINE 與 FB ,與全球CIO同步獲取精華見解 ]
機器人封包為健康醫療產業帶來前所未有的挑戰,Ray表示。「封包流量增加的幅度,導致試圖存取健康醫療廠商站台重要服務的合法人類使用者遇上停機與中斷。」他說道。「這也可能導致企業基礎建設成本增加,因為企業會試圖在持續、繁重的高流量下維持正常運作。」
就資安觀點來看,機器人可被委以內容抹除、帳號建立、帳號接管以及其他型式的詐欺任務,Ray如此表示。已有無數意外事件是利用機器人,透過憑證填充攻擊(credential stuffing)與密碼破解的手段,使用滲透帳號進行網路犯罪。他們利用憑證得到處方箋的存取權,接著試圖離線填寫處方箋再非法販售。
五、釣魚攻擊數量攀升
釣魚攻擊造成健康醫療產業莫大威脅,一如它對所有領域的企業組織所做的。再次強調,過去一年,多數釣魚攻擊鎖定健康醫療領域,都與COVID-19疫情蔓延有關。由 Palo Alto Network 的Unit42團隊研究人員最近進行的分析顯示,在2020年12月至2021年1月間,鎖定藥局與醫院或與之相關的釣魚攻擊增加了189%。疫苗相關的釣魚攻擊同一時期飆升530%。
該資安公司的分析顯示,攻擊者在過去這年跟著關鍵重大事件不斷變換釣魚攻擊的主題。該公司指出,疫情蔓延早期階段,多數釣魚攻擊欺詐涉及測試與個人防護設備(PPE)。接著,轉向紓困與政府救濟專案,之後則是疫苗推出。
[ 推薦閱讀: 資安長2021年新職責:從風險減緩到業務促進 ]
美國醫療資訊暨管理系統協會(HIMSS)2020年針對168名健康醫療資安專家的調查中指出,有57%受訪者表示他們所屬企業組織曾遭受釣魚攻擊,而有20%表示除了釣魚攻擊還曾經歷社交工程攻擊。HIMSS發現釣魚攻擊是多數資安事件危害的典型起點。
「釣魚攻擊是受訪者回報重大資安事件的首要類型。」HIMSS在報告中指出。「釣魚攻擊者,則是必須為健康醫療企業重大資安事件負責的威脅行動者頭號代表。」
( 本文授權非營利轉載,請註明出處:CIO Taiwan )