去年醫療行業連續第13年位居所有行業中資料洩露成本最高的尷尬位置,平均成本已經達到1,093萬美元,比2020年增加了53%以上。COVID-19的影響尚未徹底消除的當下,這一挑戰也變得更複雜。本文將簡要探討如何在創新與必要的網路安全之間實現平衡。
去(2023)年,醫療行業連續第13年位居所有行業中資料洩露成本最高的尷尬位置,平均成本已經達到1,093萬美元,比2020年增加了53%以上。人手不足、預算被砍、高流動率……很多醫療機構已經被逼到了極限。目前,圍繞這一領域的投資主要集中在遠距醫療和日益增加的醫療物聯網(IoMT)等臨床創新方面,但很少會有機構將支出用於更關鍵的網路安全上。 本文將簡要探討如何在創新與必要的網路安全(從而防止高成本的資料洩露)之間實現平衡。
猜猜看:每小時有多少美國患者資訊被洩露?
在美國衛生與公共服務部(HHS)2023年12月發布的資料洩露分析報告中,健康資訊共用和分析中心的首席安全官表示,根據上報給HHS的情況,平均每小時有3,604個美國患者的資訊被洩露。
針對醫療健康機構和醫院的網路攻擊數量也在繼續激增。Web應用程式和強制使用的API所推動的連線性和互通性,使相關公司和機構面臨越來越高的風險。未修補的漏洞和遺留技術的技術債也會引發代價高昂的挑戰,例如勒索軟體。
分散式阻斷服務(DDoS)攻擊的持續威脅,也會由於駭客組織以及外界大環境的變化而干擾醫療機構的工作。這些都可能導致受保護的健康資訊(PHI)資料洩露、對醫療工作產生不利影響,甚至在某些情況下會危及患者安全。
不斷產生的攻擊
Akamai的研究發現,在2023年3月至2024年2月的12個月內,以醫療機構的Web應用程式和API為目標的攻擊以穩定節奏不斷進行(圖1)。隨著犯罪份子利用新漏洞和驗證過的漏洞,這一趨勢可能會繼續增長,並且波動不定。
透過使用Web應用程式和API實現資料共用和互通性,這些做法往往可以促進醫護工作並改善臨床和財務成果。然而,這也會導致醫療行業面臨更大風險,因為大家對API的安全隱患還沒有完全理解透徹。好在陸續頒布實施的各種法案和政策正在推動透明度要求,從而方便醫療機構(以及整個生態系統)更方便、放心地使用API。
平衡最重要
由於存在大量患者資訊和系統連接點,醫療機構需要優化醫護工作,同時實施控制措施以主動緩解漏洞風險。在部署API等新技術和基礎設施時,要想實現這樣的平衡往往充滿挑戰。
Akamai的研究人員在同一12個月的研究期限內,還研究了針對醫療機構的應用層(第7層)DDoS攻擊,並發現了一些源源不斷的惡意行為(圖2)。究其原因,部分是因為駭客組織Killnet對全球(尤其是美國的)醫療健康機構發起的DDoS活動。在12個月期限內,網路犯罪份子持續利用DDoS攻擊,給患者帶來了風險。
DDoS攻擊在規模和速度方面創下新紀錄
與傳統的基礎設施第3/4層DDoS攻擊不同,這些攻擊旨在癱瘓網路和傳輸層基礎設施,而應用層DDoS攻擊主要針對特定應用功能或應用伺服器本身。即使使用相對較小的惡意流量,也可能造成顯著破壞。
隨著越來越多醫療互動開始在應用程式中進行,獲得及時資訊和護理對患者體驗就顯得至關重要。第7層、第3/4層以及DNS上的DDoS攻擊都開始在規模和速度方面創下新紀錄,因此相關機構一定要具備適當的防護措施和流程。
警惕多重攻擊
勒索軟體有多猖獗?不僅可以限制醫療紀錄的存取,甚至能迫使救護車改道!而勒索軟體的猖獗突顯了這樣一個事實:如果無法存取病史資料,就不能在醫療機構和人員之間進行協調。恢復使用紙質記錄,只能讓一切倒退幾十年!
當敏感性資料受到影響時,醫療機構還必須處理資料洩露所造成的影響。流行軟體工具中的漏洞利用,使未經授權的攻擊者能夠存取從PHI到健康保險和醫療資訊的各類資料。
激增的DDoS活動所導致的停機時間可能威脅到患者生命,甚至讓整個醫療生態系統受到影響。Killnet在2023年發起的大規模DDoS攻擊中,醫療機構就成了最主要的目標。相關機構甚至警告說,即便幾小時的服務中斷也會影響日常運營的各個方面,甚至造成嚴重後果。
要保護患者,必須同時保護患者的資料
在為患者提供護理的同時,也不能忘了要保護和控制對患者資料的瀏覽。傳統上,醫療網路安全預算和團隊往往很少,這也加劇了資料保護挑戰。但隨著針對醫療機構的網路攻擊繼續成為新聞頭條,相關問題會逐漸引起更多人重視,從而方便醫療機構增強防護工作,並增加網路保險覆蓋範圍。
將分層防禦作為預防措施
攻擊者往往懷著高度複雜的動機,他們會無所不用其極地對醫院和其他醫療基礎設施發起攻擊。透過優先考慮網路安全和分層防禦,醫療機構可以主動保護患者及其PHI資料免受攻擊,並在不同方面減輕風險。
圖1 全球每月以醫療機構的Web應用程式和API為目標的攻擊平均有2,100萬次。
然而,自己所採取的措施是否位於正確的方向上?不妨借助下面清單看看如何集中投資,防止重大事件帶來的高成本和損害: ‧部署Web應用程式和API安全控制,獲得可見性和快速緩解網路攻擊的能力。
‧使用零信任網路存取保護員工。包括多因素認證(MFA)以避免帳戶接管、微分段以最小化影響,以及安全網路閘道以防止資料外洩。
圖2 全球每月針對醫療機構的第7層DDoS攻擊平均為4.06億次。
‧使用DDoS緩解工具保護基礎設施,包括網站和DNS。
‧與能提供培訓服務和專業知識的供應商合作,從而正確設置和管理網路安全解決方案。
結語
Web應用程式和API的廣泛使用,讓包括醫療機構在內的很多行業和企業獲益匪淺。然而伴隨而來的安全問題也不容忽視,對於在合規和資訊保護方面需要滿足更多要求的醫療機構來說,這一點尤為重要。
<本文作者:王明輝現為Akamai大中華區資深技術顧問>