Cybermdx：許多醫院沒有針對設備已知重大漏洞進行修補

專門提供醫療產業資安服務的Cybermdx本周出版其年度安全報告，指出醫療產業在2019年有超過4千萬筆的醫療紀錄外洩，幾乎是2018年的3倍，但早就成為駭客目標的醫療產業卻經常忽視資安，大多數的醫療院所在修補程式釋出後的4個月後，只更新不到4成的漏洞裝置。

根據統計，去年美國的資料外洩事件中，醫療產業占了7成，而在去年遭到勒索軟體攻擊的對象中，也有近8成為醫療產業。此外，調查顯示，有82%的醫療照護機構承認它們曾在過去的12個月內遭到網路攻擊。該產業在去年光是因應駭客攻擊的成本，就高達40億美元。

去年最受矚目的資料外洩事件，是專門替醫療院所追討患者欠款的American Medical Collection Agency（AMCA），估計有2,400萬名病患的個資外洩。

Cybermdx觀察到，最容易成為駭客目標的是中型或較不知名的醫療組織，這可能是因為大型或知名醫院通常也具備較完善的資安配置，且中小型的機構也許不會編列足夠的資安預算。

值得注意的是，在全美的6,210家醫院中，大約有1.2億台連網裝置，代表平均每家醫院必須管理1.93萬個連網裝置，要管理這麼多裝置的生命周期及安全性的確不容易。

Cybermdx的研究顯示，當供應商揭露並修補重要漏洞時，大多數的醫院在4個月後所修補的裝置都還不到應修補的4成，而且絕大多數執行修補的醫院都是在漏洞揭露的第一個月內修補，在漏洞揭露的4個月後，已經很少有醫院展開修補行動。

就算是受到外界矚目的BlueKeep漏洞，醫療產業中也還有22%的裝置並未修補該漏洞。

Cybermdx表示，這麼低的修補比例再加上缺乏修補效率，對該產業的安全性而言是很糟糕的，隨著重大漏洞不斷地被發現，醫療產業也將愈來愈無法承受相關的資安風險。