【真係攞命】針對醫療機構的黑客攻擊隨時殺人無形!
黑客肆虐,令「疫情、新常態、黑客機遇」概念突破資安圈,各行各業漸漸覺悟,明白後疫情年代適應資安生態劇變的逼切性,又以醫療產業感受至深。
自疫情籠罩美國,紐約皇后區 Elmhurst Hospital 每日湧現數以百計病人,其中一名向《The New York Times》訴苦,以「災難」形容醫護周旋於 PPE、呼吸機、照顧病人、培訓臨危受命的新手間。而事實上,醫院 IT 部門狀況亦不遑多讓,隨著病人數目增加,遠程問診系統、收費系統、醫療器材聯網、視像會議平台等使用壓力幾何級暴增,黑客亦趁亂打劫,同期對醫療體系發動的黑客攻擊增幅達 150%,有黑客搶奪病人資料在黑市倒賣或後續進行詐騙,亦有黑客透過 Ransomware 以垂危病人為人質,要脅醫療機構就範。跟小型醫院與 NGO 醫療機構合作超過 10 年的資安與創新專家 Beau Woods 分析,前線醫護在疫情間盡忠職守,大眾視為抗疫英雄,但如果斷網,病人接受的醫療服務質素一定受到影響,甚至超出負荷。而眼下黑客正利用疫情,蜂湧攻擊醫療機構。
疫情前資安專家早已預警,胰島素注射泵或自動體外心臟去顫器等醫療器材長年欠更新、或使用 Window XP 等有漏洞的傳統系統,均構成極大資安風險。美國 FDA 去年發出警告,Medtronic MiniMed 胰島素注射泵有漏洞,黑客可無線更改注射劑量,構成性命威脅,廠方暫時透過軟件更新堵塞漏洞。
總括而言,醫療機構本已深受不可逆轉的病歷數據化與在線醫療器材所衍生的資安漏洞困擾,後疫情下推行遙距問診,個人電子裝置收集的個人健康資訊,未來勢必成為一大資安問題。而即使醫療機構理解資安風險,卻未必可以投放相關資源。疫情下,醫院首要增加人手、採購呼吸機、PPE、COVID-19 試劑,但同時間,醫院要暫停主要收入來源的非緊急手術與門診,University of California at Davis 的醫生指,疫情下最艱巨的是資源分配決定。Reuters 報導紐約長老會教友決定順延所有非緊急手術,決定影響 10 間紐約區醫院。在緊絀資源下,前線比 IT 部門有資源優先權。
資安平台 SecurityScorecard 與 DarkOwl 聯合研調發現,疫情間黑客攻擊醫療機構的 Web Application、End Point 與 IP Address 分別有 16%、56% 與 117% 增幅,而圍繞 COVID-19 的攻擊極具效率。攻擊形式中,Ransomeware 大行其道,疫情期間於美國錄得 109% 增幅,亦有針對 COVID-19 疫苗策動的國家級黑客侵略。攻擊醫療機構的著名案例,要數 2019 年專門追討病患欠債的 American Medical Collection Agency 因黑客入侵而外洩 2.5 千萬個病歷,包括病患名稱、地址、出生日期、付款資訊等;與英國政府合作測試 COVID-19 疫苗的 Hammersmith Medicines Research 和向醫療機構提供試劑的 eResearchTechnology,最近亦受到 Ransomware 攻擊;外號 Cozy Bear 的 APT29,與俄羅斯政府過從甚密,7 月被發現屢次向世界各大研發疫苗的學術機構與藥廠發動攻擊。
當醫療機構費盡心思保障病患個人資料時,黑客攻擊其實隨時奪命,Beau Woods 曾研究馬拉松令救護車改道,發現短短 5 分鐘延誤就會對病況構成影響。2017 年,黑客史上最大型攻擊的 WannaCry 感染共 150 個國家、超過 30 萬部電腦,有醫療機構因此失去病患紀錄。「WannaCry 橫行時,世界各地都有醫院需要關閉,當中有 30%-40% 關閉超過 1 天甚至以星期計。想像一個中風的病人,90 分鐘內如無法得到適當治療,就有機會喪生。而我深信當時有出現這個情況。」Beau Woods 接受訪問時說道。德國著名的 Duesseldorf University Hospital 近日受 Ransomware 攻擊,醫院被逼停止接收病患,當時有位女病人需要轉介 20 英里外醫院,最後不治。德國檢察官正循黑客攻擊引致病患延誤治療致死起訴疑犯。UC-Davis Tully 亦曾在 2018 年 Black Hat USA 概念性入侵醫院 Level 7 實驗室化驗系統,過程中他能篡改血液與尿液化驗結果,證明黑客有能力誤導藥劑師開錯藥,危害病人性命。
即使困難重重,醫療機構的 IT 團隊仍有對策可執行。McKinsey 指更新補漏是醫療機構 IT 團隊優先事項,需與合作廠商定期聯絡。此外,團隊應留意 National Institute of Technology(NIST)等機構的資安情報,了解黑客動向與新型攻擊,分析過後向內部員工提供指引,嚴防不同主題釣魚攻擊。Penn Medicine 的 CISO Dan Costantino 強調化解黑客攻擊需要員工警覺,杜絕人為漏洞。員工以外,Dan Costantino 鼓勵 IT 團隊主動向管理層解釋資安風險,有助資源分配。
