醫療保健領域的勒索軟體:理解日益嚴重的全球網路安全威脅
勒索軟體是一種惡意軟體,它會感染電腦並利用複雜的加密演算法破壞資料。結果,加密後的資料便無法恢復,攻擊者會要求支付贖金以換取資料,但並未提供任何保證。
網路犯罪分子可能鎖定各類組織,醫療保健產業也不例外。這篇部落格文章將探討醫療保健領域的網路攻擊、勒索軟體的破壞性,以及如何保護資料免受其害。
為什麼勒索軟體會鎖定醫療機構
勒索軟體之所以鎖定醫療機構,是因為這些機構所管理及儲存的資料具有特殊性質。現代的醫院、診所、實驗室及其他醫療機構,廣泛運用數位系統進行診斷、儲存病歷及執行健康評估。醫療專業人員必須透過這些系統進行必要且有時甚至能挽救生命的醫療作業。
網路犯罪分子認為,只要鎖定醫療機構並透過勒索軟體使資料無法存取,受害者便別無選擇,只能支付贖金以迅速取回資料。這其中的風險極高,一旦醫院的數位系統無法運作,患者可能因無法獲得醫療協助而喪命。
健康紀錄對犯罪分子而言是極具價值的資料,因為其中包含地址、電話號碼、email地址、其他個人識別資訊、保險資訊及病歷等個人資料。攻擊者可能先竊取這些資料,再予以銷毀,以便用於針對性攻擊。研發資訊(例如疫苗或新藥的研發)同樣極具價值,一旦遺失,代價可能極為高昂。
此外,大多數醫療機構將預算的大部分用於醫療設備,而網路安全則被列為次要優先事項。為確保更完善的網路安全,並防止駭客利用現有漏洞發動醫療網路攻擊,亟需投入更多資金。
此外,醫療保健產業的組織還面臨監管機構的壓力,一旦違反規定便會遭到罰款。攻擊者認為,這項財務因素有助於他們向受害者勒索軟體贖金。
近期醫療保健領域的勒索軟體攻擊:全球案例
以下列舉了針對醫療機構的勒索軟體攻擊之全球案例。
Change Healthcare (2024年2月)。ALPHV/BlackCat 集團發動的勒索軟體攻擊,導致理賠處理與支付系統癱瘓,影響了美國醫療體系的相當大一部分。此次資安事件可能導致全美三分之一公民的敏感資料外洩,並造成 超過 10 億美元.
Ascension Healthcare(2024年5月)。作為美國規模最大的非營利醫療體系之一,Ascension 遭遇了勒索軟體攻擊,導致其旗下 120 家醫院的電子病歷系統及診斷服務中斷。此事件不僅造成患者照護延誤,更帶來了巨大的財務損失。
Rite Aid(2024年6月)。這家藥妝連鎖店遭遇資料外洩事件,導致約220萬人的個人資訊遭竊,包括姓名、地址及駕照號碼。RansomHub 駭客組織宣稱對此負責。訴訟與財務損失是此次攻擊的主要負面後果。
Synnovis (2024年6月)。麒麟(Qilin)集團發動了一場針對英國國民保健署(NHS)病理服務供應商 Synnovis 的醫療保健勒索軟體攻擊。該勒索軟體加密了該組織的關鍵資料。此次資安事件導致超過 1,100 場手術被迫取消,並造成近 400 GB 的敏感醫療資料外洩,造成約 3,270萬英鎊.
奧爾德·海兒童醫院(2024年11月)。INC Ransom 集團聲稱已竊取 來自醫院的資料 在英國,包括病患紀錄及採購資訊。該醫院正與國家犯罪局共同調查此資料外洩事件。
MediSecure(2023年11月)。針對此電子處方的攻擊 澳洲的供應商 導致約 1,290 萬人的個人及健康資料外洩。這起資料外洩事件直至 2024 年 5 月才被發現,並導致 MediSecure 進入自願接管程序。
札格雷布大學醫院中心(2024年6月)。LockBit 勒索軟體集團攻擊了克羅埃西亞最大的醫療機構,導致資料與電腦系統無法使用,造成營運中斷。該集團聲稱已竊取大量檔案,其中包括病歷。
如您所見,勒索軟體可以:
- 加密/銷毀資料,並使數位系統無法使用。
- 悄無聲息地竊取資料。
勒索軟體對醫療保健產業造成的損失
全球勒索軟體攻擊的數量逐年增加。2024年,勒索軟體集團宣稱成功發動了5,461起勒索軟體攻擊,而遭受攻擊的組織則證實了1,204起攻擊事件。其中大部分攻擊針對的是歐洲和北美的機構。2024年的平均贖金要求為350萬美元,而記錄在案支付給網路犯罪分子的金額約為1.335億美元。
至於針對醫療保健產業的勒索軟體攻擊,2024 年共確認發生 181 起攻擊事件。根據《HIPAA Journal》的報導,平均勒索金額為 570 萬美元。《Cyber Insurance News》則指出,67% 的醫療保健機構曾成為勒索軟體攻擊目標,相較於 2023 年的 60%。
65% 從事醫療保健產業的組織表示,勒索金額超過 100 萬美元,另有 35% 的組織面臨超過 500 萬美元的勒索要求。遭受勒索軟體攻擊後的還原成本也隨之增加:2024 年達 257 萬美元,較 2023 年的 220 萬美元有所上升,且自 2021 年以來已翻倍。
醫療環境中常見的勒索軟體傳播途徑
了解醫療環境中勒索軟體攻擊的常見傳播途徑至關重要。這些資訊有助於降低風險並緩解問題。大多數方法與網路犯罪分子通常採用的手段如出一轍。
網路釣魚email 是針對醫療機構發動勒索軟體攻擊最常見的手法。惡意附件、含有惡意巨集的 Microsoft Office 文件,以及指向惡意網站的連結,常被用來透過終端使用者的電腦,在醫療機構中安裝勒索軟體。 這些email 常假冒供應商、管理員,甚至內部部門。攻擊者利用社會工程學手法營造緊迫感,並藉此創造入侵途徑。
遠端桌面漏洞 這是另一種廣泛用於讓電腦感染勒索軟體的方法。網路犯罪分子會利用遠端桌面協定和軟體中的漏洞發動攻擊。遠端桌面服務設定不當,以及弱密碼和安全設定不足,都可能為勒索軟體在醫療機構中大開方便之門。攻擊者會掃描開放的 RDP 埠,利用暴力破解或竊取的憑證,從而直接存取系統。
軟體漏洞攻擊者可能利用作業系統、應用程式及其他軟體中的漏洞。專用的醫療軟體可能存在已知漏洞,攻擊者可藉此在裝置上安裝勒索軟體、散佈勒索軟體並破壞資料。零日漏洞最為危險,這些漏洞雖為供應商所未知,卻已被駭客所利用。
受感染的 USB 隨身碟惡意攻擊者可在醫療機構內易於接觸的位置,將受感染的 USB 隨身碟插入電腦的 USB 埠。此舉可能導致電腦遭勒索軟體感染,並使病毒在該機構的網路中擴散。
驗證. 網路犯罪分子會利用弱密碼和遭竊的登入憑證登入系統,並安裝勒索軟體。他們還能利用先前資料外洩事件中的資料,來存取電腦和網路。
醫療保健領域預防勒索軟體的最佳實踐
請遵循以下最佳實踐,以保護您的資料並防止醫療機構遭受勒索軟體攻擊。勒索軟體防護措施需要採取多層次的方法:
- 強化email安全性. 設定垃圾郵件過濾器並 email保護 部署系統以減少網路釣魚攻擊。教導使用者辨識可疑的email和連結。使用者應向系統管理員通報這些可疑內容。您可以對email附件使用隔離環境。
- 請使用最新版本的防毒軟體. 安裝來自可信賴供應商的防毒軟體。防毒與反惡意軟體能迅速偵測勒索軟體,並刪除惡意檔案以避免感染。現代防毒系統可分析作業系統與檔案系統中的可疑活動,這些活動可能是勒索軟體的徵兆。入侵防禦系統能提升整體的勒索軟體防護等級。
- 安裝安全性修補程式以修復軟體漏洞. 請務必在作業系統、電子病歷平台、PACS/RIS 系統及醫療器材上安裝安全性修補程式。
- 確保網路安全. 設定防火牆並關閉未使用之連接埠,以減少潛在攻擊的攻擊面。將網路進行隔離,以防萬一發生感染時限制勒索軟體的傳播。透過網路分段,將醫療設備、管理系統及公共 Wi-Fi 進行隔離。請務必設定網路、磁碟及處理器使用率的監控,因為勒索軟體通常會在加密資料時對網路造成高負載。
- 實施一套有效的安全政策. 設定嚴格的存取控制,包含適當的存取權限、強密碼及驗證方法(特別是email)。針對關鍵系統設定多重驗證。考慮採用基於角色的存取控制,並遵循最小權限原則。
- 教育使用者. 針對醫療保健情境量身打造網路安全培訓。向使用者說明醫療保健領域的主要勒索軟體傳播途徑,以及感染的初期徵兆。使用者必須將受感染的電腦或任何出現可疑行為的電腦從網路中斷開,並將其關機,以防止勒索軟體擴散並加密資料。定期對使用者進行釣魚測試,以加強其警覺性。
- 定期備份資料. 透過設定具有特定間隔的排程與自動化備份,定期執行備份。使用 3-2-1 備份法則 將多個備份儲存於不同位置。若勒索軟體摧毀其中一份資料副本,您仍有機會從另一份完好的副本中還原資料。請使用空間隔離儲存裝置,例如與原始資料來源斷開連接的硬碟,或 磁帶盒,因為勒索軟體無法實體存取已斷開連接的儲存媒體。設定 備份不可變性 這能提升對勒索軟體的防護能力,因為勒索軟體無法修改不可變資料。
- 制定還原計畫. 制定事件應變計畫以及 災難還原計畫. 勒索軟體應變計畫應包含聯絡名單、法律與法規相關程序(例如《健康保險流通與責任法案》(HIPAA)的資料外洩通報),以及還原與溝通策略。
- 切勿向網路犯罪分子支付贖金支付贖金只會鼓勵勒索軟體創作者發動更多攻擊以獲取更多金錢。若遭勒索軟體感染,建議您不要向攻擊者支付贖金。支付贖金的組織無法保證加密資料能被恢復,也無法確保遭竊資料不會被轉移給其他人。
備份與災難還原在防禦勒索軟體中的作用
在醫療保健領域,備份與災難還原對於防禦勒索軟體至關重要,因為它們能確保機構無需支付贖金即可還原營運與資料。若預防措施未能成功保護原始資料免受勒索軟體侵害,您可以 資料復原 從備份中還原。
- 無需支付贖金即可還原資料. 防範勒索軟體的主要手段,在於當原始資料副本遭到破壞時,能夠從備份中還原未受感染的資料。透過經過驗證且獨立存放的備份,醫療機構既能避免向攻擊者支付贖金,又能以最小的損失恢復服務。
- 若遭勒索軟體加密資料時的資料保護措施. 勒索軟體會加密(損毀)或刪除資料。透過資料保護解決方案,醫療機構能夠恢復資料,包括電子病歷、影像資料(PACS)、預約系統及帳務系統。
- 確保業務連續性. 您可以在短時間內恢復資料並恢復服務可用性。這是遭遇勒索軟體感染後恢復資料最快捷的方法。因此,您可以將停機時間和財務損失降至最低。在醫療保健領域,每一分鐘的停機都可能造成嚴重後果,例如延誤患者照護、面臨法律/監管處罰,以及損害聲譽。
選擇一套可靠的数据保護解決方案至關重要,這套方案應能協助您落實最佳實踐,以防範勒索軟體攻擊,並確保能夠快速還原系統。
醫療保健領域的法規遵循與資料保護
醫療保健領域的合規與資料保護,對於確保患者安全、維持公眾信任以及避免法律與財務處罰至關重要。這些法規規範了資料的蒐集、儲存、存取及保護方式,特別是針對醫療保健領域的網路安全威脅,例如勒索軟體。
在醫療保健領域,法規遵循之所以重要,是因為:
- 醫療機構處理受保護的健康資訊,其中包括診斷、治療、病史及帳單資訊。
- 資料外洩可能導致患者受到傷害、身分盜用,以及公眾信心的喪失。
- 若未遵守規定,可能面臨罰款、法律行動及執照處分。
主要的醫療保健資料保護法規包括:
- HIPAA (《健康保險可攜性與責任法案》)——美國。
- 重點:受保護健康資訊的保護。
- 隱私規則:規範受保護健康資訊的存取與使用。
- 安全規則:需採取技術性、管理性及實體防護措施。
- 資料外洩通報規定:要求及時披露資料外洩事件。
- 罰款:每項違規行為每年最高可達 190 萬美元。
- 《一般資料保護條例》(GDPR) (《一般資料保護條例》) – 歐盟/歐洲經濟區。
- 重點:個人資料保護,包括健康資料。
- 主要條款:資料使用之知情同意、被遺忘權、資料最小化及加密。
- 罰款:最高可達 2,000 萬歐元,或全球年度營業額的 4%。
- 《個人資料保護及電子文件法》(PIPEDA) (《個人資料保護及電子文件法》)
- 說明私營醫療機構如何處理病患資料。
- 需求包括透明度、取得同意及通報違規行為。
- 其他值得注意的規定:
- 澳洲:《我的健康紀錄法》、《隱私法》。
- 印度:《數位個人資料保護法》(DPDP)、《DISHA》(草案)。
- 新加坡:《個人資料保護法》(PDPA)。
法規與合規需求影響醫療保健領域的核心資料保護原則:
- 保密條款:
- 僅限經授權人員查閱個人健康資訊。
- 使用基於角色的存取控制以及 加密.
- 誠信:
- 確保個人健康資訊(PHI)的準確性且未經篡改。
- 記錄所有存取與變更。
- 庫存狀況:
- 系統必須具備韌性並維持正常運作時間,特別是針對關鍵照護系統(電子病歷系統、影像存取與傳輸系統)。
- 並具備備份與災難還原功能。
這些因素與合規需求,影響醫療機構針對勒索軟體所採取的防護策略,其中包含資料保護。
結論
勒索軟體在醫療保健領域尤其危險,因為它可能影響病患的健康。隨著勒索軟體攻擊數量不斷增加,強烈建議醫療機構採取預防措施來保護資料。備份與災難還原至關重要,有助於在不支付贖金的情況下快速還原資料。使用 NAKIVO Backup & Replication 透過進階特點(包括備份不可變性、加密及站點還原)來保護資料免受勒索軟體的侵害。
