圖片來源: 

網路安全業者TrapX 出版一篇醫療裝置的綁架分析報告,指稱醫療裝置已成為駭客攻擊的主要目標,因為醫療裝置可能是醫院網路鏈中最脆弱的一環,同時個人健康保險憑證的資訊在黑市的價值可能是信用卡的20倍,替駭客帶來可觀的收益。

這些醫療裝置為醫療照護系統中可見的侵入點,且多半連結了醫院裡的電子醫療紀錄系統,因此成為駭客存取個人資訊的主要途徑。TrapX至少曾偵測到3起medjack(Medical Device Hijack)案例,也就是醫療裝置遭到駭客綁架的事件。發現在不同的醫療院所中分別有X光機、醫療影像儲存暨傳輸系統,以及血液氣體分析儀等裝置受到病毒的感染。

此外,醫療裝置通常執行著封閉、老舊,及缺乏更新的作業系統,如Windows 2000、XP或Linux,因而受到全球駭客的青睞。駭客繞過醫院的防火牆與防毒軟體等安全機制之後在這些裝置中植入惡意程式。另一方面,由於美國食品藥物管理局(FDA)規定醫院不得擅自開啟系統來安裝第三方軟體,因此並不容易掃描或偵測惡意程式,就算能夠確定這些裝置含有惡意程式,也必須要有裝置製造商的全面配合才有辦法移除。

TrapX共同創辦人Moshe Ben Simon表示,駭客知道醫療裝置是整個醫院網路中最容易攻陷的地方,因此他們快速滲透這些醫療裝置,建立了命令與控制管道,然後存取組織內的重要資訊。

這是因為醫療資訊的龐大收益。先前自美國零售商外流的消費者信用卡資訊在黑市的每筆售價為1~2美元,但健康保險憑證的售價卻高達20~40美元。FBI在2014年便曾警告醫療產業要對網路攻擊提高警覺,主要即起因於豐厚的回報與相對鬆散的安全標準。

根據美國身份竊盜資源中心(Identify Theft Resource Center,ITRC)今年3月公布的報告,醫療機構的資料外洩事件佔全美所有相關事件的32.7%,光是在今年第一季就有近1億筆的醫療紀錄外洩。資訊服務業者Experian的2015資料外洩年度報告則顯示,醫療產業資料外洩是今年最大的趨勢,估計其每年的資料外洩成本高達56億美元。

TrapX認為,鎖定醫療院所的網路攻擊行動在今年與明年勢必會增加,同時斷言,大部份的醫院皆已受到惡意程式的感染,而且是經年累月之後還未曾被發現。該公司強烈建議醫院要重新審視及更新與醫療裝置製造商之間的合約,要求對方明確提供裝置偵測、整治,與更新服務。(編譯/陳曉莉)


熱門新聞

Advertisement