【因財失義】勒索軟件癱瘓醫療機構 病人死亡、留院時間同步上升
勒索軟件集團都會顧及形象,避免因入侵事件導致人命損失而被社會指責,所以都盡量避開醫療機構。不過業界總有害群之馬,一份最新公開的醫療機構問卷調查,就有五分一受訪者指勒索軟件攻擊的確導致死亡個案上升……
去年九月,德國一間醫院因受到勒索軟件攻擊而陷入癱瘓,一個原本可於醫院接受治療的病人,便必須送往其他醫院接受治療,可惜最後病人在轉移過程中死亡,成為首宗勒索軟件奪命事件。報導刊出後,即惹來社會各方指責,部分勒索軟件集團聞到火藥味,擔心執法機關會因此而重點打擊,因此均宣布將醫療機構劃出攻擊名單,就算在刊登合作人招聘廣告時,也列明不會攻擊醫療機構,企圖明哲保身。
不過,利字當頭,始終有勒索軟件集團會不顧風險。為了解醫療業界實況,The Ponemon Institute think tank 及網絡安全公司 Ceninet 便在早前進行問卷調查,訪問了 597 個於醫療業工作的 IT 及網絡安全專家,查看情況有多嚴重。部分重點歸納如下:
- 約 36% 受訪者表示患者在接受治療後的併發症機率增加
- 十分之七受訪者表示測試結果及檢查程序因延後而令結果受影響
- 約七成表示病人因勒索軟件攻擊而延長住院時間
- 五分一表示醫院受襲後,病人的死亡個案有所提升
既然勒索軟件或其他網絡攻擊的後果可導致人命損亡,安全專家認為醫療機構應重新審視安全工作,雖然了解資源有限,但也應撥出更多資源去強化防禦力。而一些基本的安全工作如保持軟硬件在最新版本、攔截釣魚電郵攻擊,以及為員工提供安全培訓,更應不可疏忽,因為除了人命之外,醫療機構亦保存大量病人的個人私隱,一旦外洩,有可能導致病人二次受傷。