久未平息的新冠疫情，推動了醫療行業的數碼轉型，同時也為「黑客」提供了新目標。「醫療健康行業數據外洩所造成的資金損失，創下紀錄新高。」IBM發布的《數據外洩損失報告2022》（Cost of a Data Breach Report 2022）指出，醫療行業去年因單次數據外洩引致的損失平均達1010萬美元，較2020年疫情之初的數據大幅上升41.6％，也比排名第二的金融行業（597萬美元）多近一倍。

資料來源：IBM《Cost of a Data Breach Report 2022》

「傳統想法會覺得金融行業數據好值錢，這是當然。」網絡安全公司Palo Alto（NYSE：PANW）香港及澳門區總經理馮志剛說，「但其實，在Dark Web（暗網市場）中，個人醫療數據更加值錢，這也令醫療行業成為了黑客的目標。」

「個人醫療數據是一世『跟身』的，」馮志剛解釋，信用卡丟失還能抹去資料，再重新申請，但一個人的過敏源、患病紀錄等都是無法更改的。馮續說，公眾人物如國家元首、演藝明星的醫療數據外洩，會對其人身安全造成威脅；而普通人的出生日期、血型、就診紀錄若被不法分子獲取，會更易被騙取信任、墮入釣魚陷阱（匪徒會發出電郵或短訊，誘使對方提供自己的密碼和銀行資料）。

黑客攻擊的入口，是醫療機構順應數碼轉型潮流而採用的新興技術——「醫療物聯網」（IoMT）。例如智能心率儀、血壓計等醫療設備，能夠收集、分析患者的健康數據並通過網絡上傳到醫院的數據庫中，供醫護快速診症、了解病情。Palo Alto近期發表預測，提出五個在2023年需關注的亞太區網絡安全趨勢，其中之一便是確保醫療物聯網設備的安全。

「醫療器械廠商在設計產品時，未必會將網絡安全考慮在內，」馮志剛說，不少設備採用較舊的操作系統，增加了潛在攻擊風險。例如，Palo Alto去年初發布研究，掃描了來自七間醫療機構的20萬台智能輸液泵（Smart infusion pump），發現當中有75％存在至少一個已知漏洞或安全警報。

帶著漏洞的設備，在連接成網絡後，所帶來的威脅會成倍增加。香港生產力發展局首席數碼總監黎少彬在第十九期《醫健通訊》中指出，在IoMT中，「每個連接點都可能成為新的攻擊目標」，一旦IoMT被入侵，受攻擊的設備就可能轉變為殭屍網絡並攻擊其他電腦。此外，雖然IoMT設備本身並不會儲存患者的健康紀錄，但黑客能以此接入醫療數據庫，偷取寶貴的個人醫療數據。

但是，防護醫療物聯網設備，並非逐個裝殺毒軟件那麼簡單。「不同於傳統的電話、電腦，醫療設備大多都是專有（proprietary）的設備，」馮志剛說，這意味著醫院中的設備通常來自不同的特定廠商，操作系統各異且較為封閉，「廠商不會給我們去『碰』這些設備，以人手部署安全方案就變得非常困難。」

馮志剛指出，IoMT的監測不會從單個設備入手，而是會透過網絡及流量監測，而這也是IoMT的網絡安全方案與傳統的不同之處。「首先要保證可視性（visibility），」馮指出，網絡安全部門應能全盤掌握到機構內所有設備的狀態 ，確保系統保持更新及防止異常設備接入。其後是通過監測設備之間的流量而進行管理，例如，「某台醫療設備固定在內聯網與另一設備『溝通』，但當其突然出現接入互聯網的流量，便要立即阻止。」

最重要的是，要在網絡架構上採取「零信任」（Zero-trust）原則。這一於2009年被網絡保安分析員John Kindervag發明出來的概念，已在2020年演化為SP 800-207零信任架構標準，獲網絡安全行業的普遍採用。

零信任的網絡架構採用了「微分段」網絡設計，機構的網絡被分為不同部門及功能，部門之間都存在防火墻，不能互相存取。「例如會計部門的設備，不會亦不能接觸到患者的數據。」馮志剛說，零信任網絡架構能防止網絡攻擊規模擴大，「就好像潛艇一樣，如果某處受損漏水時，一關上水密門，就能防止沉船。」