醫療業成為黑客新目標2023.01.31
全文共1614字,讀完約需6分鐘

在暗網,個人醫療數據比金融數據更值錢。

久未平息的新冠疫情,推動了醫療行業的數碼轉型,同時也為「黑客」提供了新目標。「醫療健康行業數據外洩所造成的資金損失,創下紀錄新高。」IBM發布的《數據外洩損失報告2022》(Cost of a Data Breach Report 2022)指出,醫療行業去年因單次數據外洩引致的損失平均達1010萬美元,較2020年疫情之初的數據大幅上升41.6%,也比排名第二的金融行業(597萬美元)多近一倍。

資料來源:IBM《Cost of a Data Breach Report 2022》

「傳統想法會覺得金融行業數據好值錢,這是當然。」網絡安全公司Palo Alto(NYSE:PANW)香港及澳門區總經理馮志剛說,「但其實,在Dark Web(暗網市場)中,個人醫療數據更加值錢,這也令醫療行業成為了黑客的目標。」

「個人醫療數據是一世『跟身』的,」馮志剛解釋,信用卡丟失還能抹去資料,再重新申請,但一個人的過敏源、患病紀錄等都是無法更改的。馮續說,公眾人物如國家元首、演藝明星的醫療數據外洩,會對其人身安全造成威脅;而普通人的出生日期、血型、就診紀錄若被不法分子獲取,會更易被騙取信任、墮入釣魚陷阱(匪徒會發出電郵或短訊,誘使對方提供自己的密碼和銀行資料)。

黑客攻擊的入口,是醫療機構順應數碼轉型潮流而採用的新興技術——「醫療物聯網」(IoMT)。例如智能心率儀、血壓計等醫療設備,能夠收集、分析患者的健康數據並通過網絡上傳到醫院的數據庫中,供醫護快速診症、了解病情。Palo Alto近期發表預測,提出五個在2023年需關注的亞太區網絡安全趨勢,其中之一便是確保醫療物聯網設備的安全。

「醫療器械廠商在設計產品時,未必會將網絡安全考慮在內,」馮志剛說,不少設備採用較舊的操作系統,增加了潛在攻擊風險。例如,Palo Alto去年初發布研究,掃描了來自七間醫療機構的20萬台智能輸液泵(Smart infusion pump),發現當中有75%存在至少一個已知漏洞或安全警報。

帶著漏洞的設備,在連接成網絡後,所帶來的威脅會成倍增加。香港生產力發展局首席數碼總監黎少彬在第十九期《醫健通訊》中指出,在IoMT中,「每個連接點都可能成為新的攻擊目標」,一旦IoMT被入侵,受攻擊的設備就可能轉變為殭屍網絡並攻擊其他電腦。此外,雖然IoMT設備本身並不會儲存患者的健康紀錄,但黑客能以此接入醫療數據庫,偷取寶貴的個人醫療數據。

但是,防護醫療物聯網設備,並非逐個裝殺毒軟件那麼簡單。「不同於傳統的電話、電腦,醫療設備大多都是專有(proprietary)的設備,」馮志剛說,這意味著醫院中的設備通常來自不同的特定廠商,操作系統各異且較為封閉,「廠商不會給我們去『碰』這些設備,以人手部署安全方案就變得非常困難。」

馮志剛指出,IoMT的監測不會從單個設備入手,而是會透過網絡及流量監測,而這也是IoMT的網絡安全方案與傳統的不同之處。「首先要保證可視性(visibility),」馮指出,網絡安全部門應能全盤掌握到機構內所有設備的狀態 ,確保系統保持更新及防止異常設備接入。其後是通過監測設備之間的流量而進行管理,例如,「某台醫療設備固定在內聯網與另一設備『溝通』,但當其突然出現接入互聯網的流量,便要立即阻止。」

最重要的是,要在網絡架構上採取「零信任」(Zero-trust)原則。這一於2009年被網絡保安分析員John Kindervag發明出來的概念,已在2020年演化為SP 800-207零信任架構標準,獲網絡安全行業的普遍採用。

零信任的網絡架構採用了「微分段」網絡設計,機構的網絡被分為不同部門及功能,部門之間都存在防火墻,不能互相存取。「例如會計部門的設備,不會亦不能接觸到患者的數據。」馮志剛說,零信任網絡架構能防止網絡攻擊規模擴大,「就好像潛艇一樣,如果某處受損漏水時,一關上水密門,就能防止沉船。」