美國醫院電腦頻遭駭客綁架,醫院資安意識提升

作者 | 發布日期 2016 年 05 月 03 日 8:17 | 分類 資訊安全 , 醫療科技 follow us in feedly

隨著醫療系統資訊越來越繁雜,現代化的大型醫療院所都具備相當規模的電腦資訊系統,其中不僅牽涉到從掛號到開藥領藥等基本作業,更有病患甚至醫護人員的個資於其中,而駭客也注意到這點,開始攻擊醫院綁架電腦系統勒贖,多起事件提醒了醫療界,醫院其實是駭客的重要目標之一。



2016 年 2 月美國好萊塢長老會醫學中心(Hollywood Presbyterian Medical Center)電腦系統遭到入侵,駭客並鎖住重要檔案,要求 40 比特幣解鎖,醫院天下大亂只能乖乖照付贖金;2016 年 3 月底華盛頓特區的醫星保健(MedStar Health)也疑似遭到駭客綁架攻擊,電腦系統只能讀取既有病歷檔案資料卻無法更新,並跳出視窗要求付出 45 比特幣贖金,醫星保健體系下的各醫院與看診中心被迫關閉電腦系統,回到手寫病歷時代。

這幾起醫療駭客攻擊事件,讓美國其他醫院都警覺自己是駭客眼中的肥羊,因此開始著手加強資安,麻州的康橋聯合醫院(Cambridge Health Alliance)就是其中之一,而康橋聯合醫院經過一番評估,認為要加強資安,就得讓安全措施順暢方便使用,如此員工才不會因為怕麻煩而造成資安漏洞,而要讓安全措施方便使用,第一項要做的改革就是去除密碼。

許多人為了怕忘記密碼,往往將密碼設成很好記憶的簡單數字,這樣一來也很容易被人猜中,更通常會同一個密碼走天下,於是在別處的密碼遭駭客釣魚取得之後,連同醫院也跟著淪陷,為解決這個問題,一勞永逸的辦法就是再也不要用密碼登入,改以指紋辨識或是卡片感應方式來認證人員的身分,沒有密碼,自然也就沒有密碼外流的問題。

 

舉行資安事故演習

而在此之前,醫院則以假釣魚的方式來訓練員工對資安的警覺心,醫院的資安部門會定期寄出釣魚信件給員工,要是員工受騙點了釣魚信件,就會連結到反釣魚教學網頁,確保每個員工都有基本反釣魚的資安常識,不會因為網路釣魚密碼外流導致醫院系統遭到入侵。

2015 年起,康橋聯合醫院甚至就像平時不定期會舉行醫療緊急事故演習一樣,也舉行資安事故演習,來測試管理團隊對一旦遭到駭客攻擊時的反應,並從中學習如何應對。

據 IBM 統計,醫療院所是 2015 年最常遭到駭客攻擊的機構,其中部分原因來自於醫療院所的資訊系統含有大量個人資料,且醫療體系仰賴電腦運作程度很深,成為綁架的好目標,不過另一個可能原因是,其他產業遭駭客攻擊的比例有可能低估,因為醫療體系遭攻擊茲事體大,主管機關會強迫其公布,其他企業有時遭攻擊時息事寧人,因此紀錄數量偏少。

無論如何,醫療院所的資安對病患就醫安全極為重要,電腦系統遭鎖定,不只是調病歷麻煩而已,已經不熟悉手動流程的醫護人員更可能因此發生許多錯誤,甚至可能造成病人的生命危險,因此醫院的資安的確是該受到最大的重視。

(首圖來源:Flickr/jfcherry CC BY 2.0)

延伸閱讀:

關鍵字: , ,

發表迴響