随着医疗系统资讯越来越繁杂,现代化的大型医疗院所都具备相当规模的电脑资讯系统,其中不仅牵涉到从挂号到开药领药等基本作业,更有病患甚至医护人员的个资于其中,而骇客也注意到这点,开始攻击医院绑架电脑系统勒赎,多起事件提醒了医疗界,医院其实是骇客的重要目标之一。
2016 年 2 月美国好莱坞长老会医学中心(Hollywood Presbyterian Medical Center)电脑系统遭到入侵,骇客并锁住重要档案,要求 40 比特币解锁,医院天下大乱只能乖乖照付赎金;2016 年 3 月底华盛顿特区的医星保健(MedStar Health)也疑似遭到骇客绑架攻击,电脑系统只能读取既有病历档案资料却无法更新,并跳出视窗要求付出 45 比特币赎金,医星保健体系下的各医院与看诊中心被迫关闭电脑系统,回到手写病历时代。
这几起医疗骇客攻击事件,让美国其他医院都警觉自己是骇客眼中的肥羊,因此开始着手加强资安,麻州的康桥联合医院(Cambridge Health Alliance)就是其中之一,而康桥联合医院经过一番评估,认为要加强资安,就得让安全措施顺畅方便使用,如此员工才不会因为怕麻烦而造成资安漏洞,而要让安全措施方便使用,第一项要做的改革就是去除密码。
许多人为了怕忘记密码,往往将密码设成很好记忆的简单数字,这样一来也很容易被人猜中,更通常会同一个密码走天下,于是在别处的密码遭骇客钓鱼取得之后,连同医院也跟着沦陷,为解决这个问题,一劳永逸的办法就是再也不要用密码登入,改以指纹辨识或是卡片感应方式来认证人员的身份,没有密码,自然也就没有密码外流的问题。
举行资安事故演习
而在此之前,医院则以假钓鱼的方式来训练员工对资安的警觉心,医院的资安部门会定期寄出钓鱼信件给员工,要是员工受骗点了钓鱼信件,就会连结到反钓鱼教学网页,确保每个员工都有基本反钓鱼的资安常识,不会因为网络钓鱼密码外流导致医院系统遭到入侵。
2015 年起,康桥联合医院甚至就像平时不定期会举行医疗紧急事故演习一样,也举行资安事故演习,来测试管理团队对一旦遭到骇客攻击时的反应,并从中学习如何应对。
据 IBM 统计,医疗院所是 2015 年最常遭到骇客攻击的机构,其中部分原因来自于医疗院所的资讯系统含有大量个人资料,且医疗体系仰赖电脑运作程度很深,成为绑架的好目标,不过另一个可能原因是,其他产业遭骇客攻击的比例有可能低估,因为医疗体系遭攻击兹事体大,主管机关会强迫其公布,其他企业有时遭攻击时息事宁人,因此纪录数量偏少。
无论如何,医疗院所的资安对病患就医安全极为重要,电脑系统遭锁定,不只是调病历麻烦而已,已经不熟悉手动流程的医护人员更可能因此发生许多错误,甚至可能造成病人的生命危险,因此医院的资安的确是该受到最大的重视。
- For growing number of hacked hospitals, cyberhealth is wealth
(首图来源:Flickr/jfcherry CC BY 2.0)
延伸阅读:
- 网络骇客的胜利?美洛杉矶医院付 17,000 美元的比特币赎回医网