【恐怖醫學界】醫療機構懶理網絡安全 4,500萬影像檢查圖片網上任睇
即使大量調查報告顯示,醫療機構已納入黑客攻擊的首選目標,不過,不少醫療機構似乎仍未察覺,甚至連基本的資訊安全保護也未做好。最新一項調查發現,網上有超過 2,000 個伺服器未受保護,當中共儲存了超過 4,500 萬張影像檢查圖片可任人檢視,而且部分更有齊受檢查者的完整個人資料,認真無保障!
今次調查由數據防護平台 CybelAngel 進行,負責的研究員強調今次沒有使用任何入侵手法,純粹利用工具掃描醫療數位影像傳輸協定(DICOM,Digital Imaging and Communications in Medicine)所使用的 port 位,檢查有哪些裝置未有做好防護,以顯示掌管這些重要私隱的醫療機有多兒戲。
而在這 4,500 萬張包括 X 光、電腦掃描 (CT-Scan)、磁力共振 (MRI) 圖片中,有部分更附有病人的個人資料,最多的一張差不多有 200 條個人資料,如姓名、地址、出生日期及電話等,一旦被犯罪分子掌握,隨時可鎖定目標人物發動詐騙攻擊。研究員指出,大部分醫療機構均沒有對儲存這些資料的伺服器或 NAS 儲存裝置做好保護,但即使有一間專門提供 DICOM 圖像保存的服務供應商,在未有保護儲存裝置的 2,049 傳輸 port 位下,也不自知地在網上公開了約 50 萬張圖像。
通過今次調查,研究員提醒醫療機構必須全面檢視整個醫療紀錄儲存架構,從不同角度考慮有否漏洞存在。的而且確,這些外洩的資料除了有可能令接受檢查者被勒索或欺騙,黑客其實還可以竄改這些紀錄,引導醫生作出錯誤判斷,令病人得不到適當的治療或無辜捱刀。特別是醫療機構已成為熱門攻擊對象,在網絡安全上就更不可以鬆懈!
