如同防疫,一旦出現破口就會造成許多人被影響,同理當所有醫療院所的聯網設備,只要其中有一台設備不小心成為破口,攻擊者就可以藉此擴散,達到攻擊目的。若要讓所有人都不成為破口,除了投入預算資源外,使用習慣也得改變。
長期站在資安防護的第一線,TeamT5(杜浦數位安全)除了提供威脅偵測與應變服務(MDR)與端點偵測及回應(EDR)方案外,網路間諜威脅情資研究更是其強項,同時也提供包含專業事件分析、調查與處置在內的資安事件應變處理(IR)服務,協助企業與組織快速、有效地應對資安事件,保護關鍵資訊資產,並確保企業組織恢復正常運作。
TeamT5執行長蔡松廷指出,CrazyHunter不只攻擊台灣醫療院所,在勒索贖金未果之後,其實也轉向攻擊製造業,「駭客的思維其實很簡單,只挑有可能支付贖金的產業進行攻擊,當醫院選擇不支付贖金,隨即就將目標轉向製造業,目的就是要牟利。事實上,在過去的一段期間裡,TeamT5已通報並協助數家被入侵但資料還沒有被加密的企業,免於被CrazyHunter勒索攻擊。」
他提到,這也是為何威脅情資分享相當重要的原因。當資安落實到一定程度,建立能夠獲得最新情資的機制才能讓防禦更事半功倍。專業的情資團隊可以從公開來源如衛生福利部資安資訊分享與分析中心(H-ISAC)、各種國際醫療界交流管道,或是向商業化的資安廠商訂閱交換情資,「但更關鍵的是,在獲得情資後,還需要具備使用它的能力。如果在事前已經知道近期的攻擊者較常採用何種手法攻擊,就能夠更快、更有效地做好防禦,反制會更有效果。」
資安戰線長須全面兼顧
近幾年,政府大力推動資安,同時也將醫院列為關鍵基礎設施(CI)之一,隨著法規的要求,醫療院所也日漸看重資訊安全的重要性,蔡松廷肯定醫療院所的投入與改變,「然而,眾所周知,資安韌性這條路既遠且長。從人員、預算到資安方案的導入都是影響因素,有時候並不是只要購買設備或方案就好,使用者的習慣也需要改變。」
如同防疫,一旦出現破口就會造成多人被傳染,同理當醫療院所的聯網設備,有一台設備不小心成為破口,攻擊者就可以藉此擴散,達到攻擊目的。若要讓所有人都不成為破口,除了投入預算資源外,使用習慣也得改變。
他提到,要將資安持續維持在「可防得住」的狀態並不容易,更何況資安的戰線很長,不只有技術面還包含了管理面、人員問題,再加上資源的投入,還有人才的議題。這些都需要同時兼顧,才能做好資安。
應用NIST框架檢視資安防禦不足
根據Check Point Research調查,隨著網路威脅生態系統日趨成熟,全球網路攻擊數量年增44%。其中,醫療保健已名列全球受攻擊第二大產業,截至2025年,平均一家醫療保健產業組織,每周都遭受2,309次攻擊。亞太地區遭受攻擊次數更高,平均每周遭受到3,957次攻擊。 蔡松廷認為,要解決醫療設備安全挑戰有多層次的解法,可應用由美國國家標準與技術研究所提出的NIST資安框架,透過系統性、完整架構的標準,來檢視資安防禦的不足。
「簡單來說,NIST資安框架的概念包含了事前、事中與事後。」他進一步說明,事前就是在攻擊發生之前,部署好資安方案,並且持續更新。接著是盤點資產,通常需要被保護的資產會面臨到管理問題以及預算的考量,很多時候因為預算不足,而有所犧牲,但往往被犧牲的環節也容易成為破口。此外,如何獲取最新的情資也非常重要,一旦得知攻擊者正在攻擊某台設備時,就必須留意內部環境是否也有同一款設備,並立即檢查是否已更新到最新的版本,或是先下架設備或予以斷網。主要是藉由情資進行相關的預防。
TeamT5執行長蔡松廷指出,解決醫療設備安全挑戰有多層次的解法。
而事中則是留意攻擊過程中有沒有可視性,是否有看不到的攻擊現在正在發生。舉例而言,當攻擊事件正在發生時,防火牆、資安設備阻擋的是勒索軟體還是一般病毒,這兩者意義不同,如果是勒索軟體,那麼就要小心留意。同時,也要了解,資安設備為什麼可以阻擋,或是雖然擋掉了勒索病毒,也要瞭解為何先前可以進到內部。簡單地說,在事中這個階段要對各種可疑的行動,盡可能加強可視性。
事後的階段指的是應變計畫,如果已擬定好應變計畫,那麼在應處上就會快上許多。在這方面會遇到的挑戰其實是管理權限的問題。「根據以往協助企業的經驗,資安團隊經常在處理過程中處處碰壁,因為資安團隊沒有權限。當我們急著調查的時候,資安團隊並沒有被賦予足夠的權利,導致施展不開,失去很多調查的時機。」蔡松廷提到,這些其實都攸關事前的準備,包含是否預先授權給資安團隊去調查、應變以及處置,而事後階段還考驗著有沒有足夠的備份、復原演練,如此在遇到資料被加密時,才不會害怕。「因為已經設計好標準作業流程(SOP),就可以把備份資料還原,讓系統先恢復運作。」
在有限預算中逐步強化
所有企業組織都會遇到資安預算有限的課題,醫療院所也不例外,他建議同樣可以採事前、事中與事後來規劃優先次序。事前必須先做的是合規,而事中則包含了端點、網路與權限,在端點方面有EDR、MDR選項,而網路方面從入侵防禦系統(IPS)到網路應用程式防火牆(WAF)等等,都是基本須配置的方案。在權限控管上,零信任的概念也可以拿來應用。最後在事後方面,包含SOP的建立、人員權限的授權、資料的備份與還原也都很重要。「而貫穿這三個面向的是人才、委外廠商合作以及政策。並不是出了事才要找委外合作廠商,平常就要建立好的合作夥伴聯繫,才有助於事件發生後的應處。」