情境圖,iThome檔案照

對抗勒索軟體,在災難發生後,要能成功還原被加密資料之外,更好的方式,就是能夠擋下勒索軟體病毒。因此,這次我們也找到一家北部的醫院並未受害,希望透過他們實際的防護經驗,說明為何能夠不受影響。

平時就要盡可能做好資安,執行層層隔離以減少攻擊的層面

以這次勒索病毒攻擊而言,主要入侵管道是遠端桌面協定(RDP),但這家醫院的IT人員,其實因為都已經關閉了SMB、RDP相關的連接埠,等於減少這次攻擊的感染途徑。

對於部署在醫院端的EEC Gateway主機問題,他們表示,如果系統沒有升級、防火牆連接埠管理不善,就是很大的弱點。為了自保,因此他們也要求一定要做端點作業系統的健檢,能升級就盡量升級,除非升級不能運行。

特別的是,對於這次攻擊從健保VPN發動的事件中,他們提及了對於政府網路也應抱持零信任的觀念,即便是衛福部傳來的東西,其實醫院自己也要監控,做好把關。

不僅如此,他們對於內部醫療網路的防護管理,現在已有嚴格的規畫,像是不只是外網有部署DMZ,內網也有DMZ,並在DMZ區採用虛擬化微分割技術,可供院內平板電腦連線,並讓伺服器與伺服器之間,能透過微分割技術隔開,即便要上網,也是透過桌面虛擬化VDI。

然而,他們也坦承,並不是一開始資安防護就能做到如此,在很多年前,他們也是處於內網與外網直接連通的狀態,後續也是經過逐年的強化與調整,直到前兩三年,才做到較好的隔離。而關於備份這件事,除了一般的資料保護,其實現在他們也才在規畫異地備援,要將過去沒有做好的部分補起來。

老舊電腦隔離要嚴格落實,委外廠商的聯繫與管理也要注意

對於醫院的資安防護,還有那些面向可以注意?他們也提出下列具體的建議,例如,像是不少醫院可能都存在老舊XP電腦的問題,他們的作法是會另行隔離在一區,用最嚴格的方式排除在外,降低可能帶來的影響:還有像是在Wannacry勒索病毒爆發當時,他們醫院也有幾臺電腦遇害,因此之後他們就已經把SMB通通關掉。

此外,他們還提到與委外SOC團隊的互動,像是過去業者曾提醒他們,一些RDP連接埠是否有必要開啟等,而在這次事件爆發後,對方也來確認狀況。不過,醫院自己還是要持續注意各種風險,例如,他們過去也曾知道有一單位的資訊人員不夠,雖然政策上要求內外網需隔離,但委外廠商並沒有落實,而導致VDI跟內部透通的狀況。

對於普遍醫院可能遇到的資安難題,他們認為,一方面醫院高層有要決心,例如,像是外面企業開始設資安長,有多少醫院能夠如此重視資安,還有談到資安專責人力,其實都是兼職等;另一方面,要落實資安稽核政策,才能維持資安能量不會降低。畢竟,資安無法做到百分百,駭客能不能攻進來,取決於攻進來的難度與成本,再怎麼樣都會有漏洞,而資安就是一項長期性的需求。

【產業現況剖析】強化資安迫在眉睫,醫院必須積極投入

對於醫療院所的資安防護現況,安碁資訊技術副總黃瓊瑩認為,還有不小的進步空間,因為醫院內部的資安管理非常不落實。(攝影/iThome)

臺灣醫療院所對於資安防護是否重視?很多人都想知道答案,我們從今年初iThome進行的CIO大調查,來檢視醫療業在資安的投入;另一方面,我們也從資安服務業者的角度,幫助國內多家CI醫院進行SOC委外監控的安碁資訊,來瞭解醫療業的安全防護現況與改善目標。

在2019年初iThome舉行的CIO大調查中,關於醫療業CIO年度目標中,2019年前三名是強化資安(83.3%)、推動IT現代化(50%),以及開發創新產品和服務(45.8%)。而2018年的前三名是強化資安(58.3%)、確保IT與穩定一致(54.2%),以及提升營運效率(50%)。看起來,醫療業IT主管都意識到要強化資安,並且視為主要目標的比例最高,甚至今年已經超過8成認同。

再從醫療業的7大投資重點的調查來看,以資安、物聯網、Cloud、AI、數位行銷、BigData與行動App而言,在2019年度,資安居於投資項目第一,金額為1千113萬元。但是,2018年度的資安投資項目僅418萬元,落後於AI、Cloud、BigData與物聯網。

相較之下,醫療業IT主管確實是越來越重視資安,而且,今年在資安強化上的投資,也比前一年度翻了3倍,居於7大投資重點之首。但如果換個角度來看,要說醫療業真的實際投資在資安防護這一塊,似乎今年才正開始。

對於醫療業的實際資安防護現況,安碁資訊技術副總黃瓊瑩,給出他的觀察。從這次事件來看,臺灣多家醫院遭受勒索病毒攻擊,他認為有一些普遍存在各大醫院的問題。例如,醫院雖有備份機制,但系統維護商的應用程式已有相當歷史,因此系統架構與設計方式較為老舊,而且,各醫療院所對內網防護與外網防護相比,防護措施相當薄弱。還有就是弱密碼也普遍存在於各醫院

另外,還有一些現象值得重視。舉例來說,醫療院所的部分用戶端電腦中,有系統及硬體老舊的狀況,甚至連新版本的防毒軟體都無法支援;還有帳號共享的問題,醫護作業之間沒有在便利與安全取得平衡,僅便宜行事;以及系統磁碟區是以網芳(NetBIOS)共享掛載,任何人皆可讀寫的狀況等,這些現象,都應該是醫療業必須正視的問題。

若從更廣的層面來看,就是各醫療院所資訊人員人數有限,無法全面掌控自家院所的軟硬體狀況,還有多是採用約聘資訊人員兼用資安人員,沒有資安相關專業人士,這樣長久下來,黃瓊瑩認為,其實不利於資安政策推廣及落實。

他提醒,備份機制是復原手段,但不是每次都是萬靈丹,對於常駐服務型的勒索病毒,如果沒有鑑識專業的資訊人員去找出源頭,復原只是白做工。另外,資安政策要落實,必須要改進目前醫療院所的架構及體質,但少有院所願意破釜沉舟,從基礎重新打起。

 相關報導  2019國家級資安事件:勒索軟體侵襲臺灣醫院


Advertisement

更多 iThome相關內容