攻击者眼中的完美目标 医疗机构需加强安全投入

首页 / 业界 / 资讯 /  正文
作者:闫小川
来源:安全419
发布于:2022-11-28
自新冠疫情流行以来,医疗机构的安全事件变得越来越普遍。其中的危险一方面是医疗机构的安全成本正不断增加,同时安全事件频发更带来严重的数据泄露负担。



与其他机构不同,医疗机构在许多方面都被认为是攻击者的完美目标,一方面是其直接为生命安全负责,另一方面其医疗科研数据和患者敏感信息更具价值,如IBM发布的最新数据泄露成本报告就指出医疗机构是全行业数据泄露成本最高的行业。所以其业务系统的连续性和数据安全的重要性不容有失。
 
在整个2022年,仅安全419观察到的国内外仅因勒索软件攻击造成的医疗机构安全事件保守估计至少百起以上,HIMSS的一份调研数据显示,原因在于绝大多数医疗机构面临老旧设备与操作系统不受最新安全解决方案的支持,同时联系到全球供应链方面的吃紧,从而影响了包括安全在内的全面运营成本上的提升。
 
更糟糕的是,医疗机构拥有大量的遗留设备,其中大多数设备容易受到攻击。比如医疗环境中与loT和相关设备相关的安全威胁处理能力仍然严重不足,有数据显示,医院53%的联网医疗设备和其他loT设备存在已知的严重漏洞。此前,有安全厂商就向安全419分享了来自医疗IoT设备的真实威胁案例。
 
更加严重的是,医疗机构各部门在处理与疫情相关的危机时仍然捉襟见肘,以至于常规安全措施可能会半途而废,这可能是人力的问题,或者直接就是成本方面的问题。总之,一些安全事件很可能会在数周内未被发现,这也会进一步导致验证分支机构和第三方采取的安全措施的努力可能会落空。
 
国内网络安全公司安恒信息技术专家此前在接受安全419采访时也曾指出,医疗机构之所以常常面临违规事件,这与传统行业拥抱信息化时代迈向更加开放的信息化集成,但同时普遍缺乏系统化安全建设和安全意识具有较高关联,仅就勒索软件攻击而言,针对医疗机构的攻击趋势正在不断增加。
 
在我国,此前根据腾讯智慧安全发布的《医疗行业勒索病毒专题报告》显示,在全国三甲医院中,有247家医院检出了勒索病毒,以广东、湖北、江苏等地区检出勒索病毒最多。
 
浙大二院信息中心主任许杰此前分享指出,就医疗机构而言,信息安全管理是一个涉及资源和管理的复杂系统性问题,其中来自技术、资源、流程、人员为代表的普遍性缺失是医院在信息安全管理方面面临的主要痛点。
 
其进一步表示,其中技术、资源将决定架构设计与业务系统的安全程度,比如技术不足,会使业务系统设计缺陷难以被发现,资源投入不足将难以弥补IT基础架构容灾能力的缺失等。在流程和人员方面,运维管理流程需要规范梳理,更要不断提升全院医护人员的安全意识水平。其中资源的投入处于关键位置,其对信息化及安全投入、高水平专业岗位人员缺失表现尤为突出。
 
可以预见的是,进入数字时代,随着医疗设备变得更加智能和互联,网络犯罪将变得更加隐蔽,这强调了加强医疗信息化安全性以保护医疗机构及其患者的重要性。医疗机构作为国家关键基础设施重要组成部分,必须高度重视并强化安全投入。