示意圖,Photo by wellnesskeen on shorturl.at/abCMZ。

專門提供醫療產業資安服務的Cybermdx本周出版其年度安全報告,指出醫療產業在2019年有超過4千萬筆的醫療紀錄外洩,幾乎是2018年的3倍,但早就成為駭客目標的醫療產業卻經常忽視資安,大多數的醫療院所在修補程式釋出後的4個月後,只更新不到4成的漏洞裝置。

根據統計,去年美國的資料外洩事件中,醫療產業占了7成,而在去年遭到勒索軟體攻擊的對象中,也有近8成為醫療產業。此外,調查顯示,有82%的醫療照護機構承認它們曾在過去的12個月內遭到網路攻擊。該產業在去年光是因應駭客攻擊的成本,就高達40億美元。

去年最受矚目的資料外洩事件,是專門替醫療院所追討患者欠款的American Medical Collection Agency(AMCA),估計有2,400萬名病患的個資外洩。

Cybermdx觀察到,最容易成為駭客目標的是中型或較不知名的醫療組織,這可能是因為大型或知名醫院通常也具備較完善的資安配置,且中小型的機構也許不會編列足夠的資安預算。

值得注意的是,在全美的6,210家醫院中,大約有1.2億台連網裝置,代表平均每家醫院必須管理1.93萬個連網裝置,要管理這麼多裝置的生命周期及安全性的確不容易。

Cybermdx的研究顯示,當供應商揭露並修補重要漏洞時,大多數的醫院在4個月後所修補的裝置都還不到應修補的4成,而且絕大多數執行修補的醫院都是在漏洞揭露的第一個月內修補,在漏洞揭露的4個月後,已經很少有醫院展開修補行動。

就算是受到外界矚目的BlueKeep漏洞,醫療產業中也還有22%的裝置並未修補該漏洞。

Cybermdx表示,這麼低的修補比例再加上缺乏修補效率,對該產業的安全性而言是很糟糕的,隨著重大漏洞不斷地被發現,醫療產業也將愈來愈無法承受相關的資安風險。


Advertisement

更多 iThome相關內容