隨著物聯網技術發展,醫療設備逐漸轉向醫療物聯網(IoMT),而掌握大量病患資料的醫療組織勢將成為網路罪犯的攻擊目標。網路攻擊可能導致個人資料外流、病歷數據被竄改、X光機等設備遭駭而無法運作,因此醫療設備和應用的網路安全可說是生死攸關的議題。
物聯網讓人們的生活變得更加輕鬆,透過智慧家庭相關技術,使用者只須點擊觸控式螢幕即可開關裝置,有助提升效率;而各個產業的企業組織,也導入可靠技術來提高營運效率。
然而,在最近發佈有關於雲端、行動辦公和物聯網平台的報告中,物聯網裝置成為了IT網路中最薄弱的一環,主要有以下三個原因:
1. 物聯網裝置通常構建於開源作業系統之上,因而容易遭受攻擊,這也代表此類裝置在設計時沒有充分考慮安全問題,在許多情況下完全忽視安全性。
2. 物聯網裝置日益收集並儲存大量資料,導致其成為網路罪犯的重要目標。
3. 對於希望在IT網路橫向移動、接觸更多敏感性資料的攻擊者而言,物聯網裝置是輕鬆的攻擊切入點;甚至也可以直接攻擊裝置並將其關閉,造成極具破壞性的影響。
其中,掌握大量病患資料的醫療組織更成為網路罪犯的首要攻擊目標。駭客不僅可造成大規模破壞,使醫院服務停止,更能從中獲得經濟利益;竊取病患的私人資料,除了能進行販售或向醫院勒索外,甚至可以用來製造假的醫療事故,向保險公司詐欺索賠。
惡意攻擊永無止歇醫療物聯網無法倖免
針對醫院的惡意網路攻擊非常多,世界各地幾乎每週都有災情。2018年7月,新加坡醫療服務機構新保集團(SingHealth)遭駭客攻擊資料大量外洩,導致新加坡總理李顯龍的個人就診紀錄被竊。幾週後,美國又有另一個醫療系統UnityPoint Health也遭到入侵,約有140萬份患者的病例失竊。
2017年5月,勒索蠕蟲病毒WannaCry大規模破壞英國國家醫療服務系統(NHS)旗下的多家醫院,造成諸多醫療服務停擺,2萬名患者預約被迫取消,許多病患被迫臨時轉院。英國政府事後耗資超過1.5億英鎊進行補救,而如此重大損失的原因竟然是未更新Windows系統修補漏洞。
醫療組織正面臨日益嚴重的資安危機,網路攻擊可能導致個人資料外流,患者的藥物、劑量等醫療數據被竄改,醫院的磁振造影儀(MRI)、超音波和X光機等設備,也可能遭駭客攻擊而無法正常運作。因此,醫療設備和應用的網路安全,可說是生死攸關的議題。
隨著物聯網技術蓬勃發展,醫療設備也逐漸轉向醫療物聯網(IoMT)。以智慧手錶為例,有業者開發可量測心電圖的錶帶,使用者可以得到自己的即時心跳數據,進而提供醫生進行診斷分析。另外,日本規劃推出的加護病房雲端診療,即是設立一個國家級加護病房中心,由主要醫院最專業的醫師輪值。透過各地醫院的加護病房資料上傳雲端,專業醫師即可線上服務各地區病患,解決地區醫療資源不足的問題。將智慧裝置導入醫療現場已是全球趨勢,不僅大幅節省成本,也改變了照護方式的主從關係。
智慧醫療帶來了新的醫療形式,2019年底將有87%的醫療機構採用物聯網技術,到2020年將有近6.5億台IoMT設備投入使用,但醫療器材的資安重要性卻未被同等重視。以超音波機器為例,醫生能透過機器讀取生理資訊,但這些機器所處的IT環境卻不安全。
系統老舊漏洞百出醫療資源成駭客俎上肉
Check Point Research針對超音波機器深入調查,發現機器的操作系統是已停止支援更新的Windows 2000,舊的系統使這些醫療設備非常容易受到駭客攻擊,因為Windows 2000存有許多眾所周知的安全漏洞,Check Point Research研究員表示:「只須利用其中一個漏洞,即可輕鬆入侵機器的影像資料庫。」
Check Point Research以影片示範他們入侵一台超音波機器的過程(https://www.youtube.com/watch?v=5hqXlEgBIqg),利用現有的安全漏洞,即可輕鬆以外來圖片覆蓋機器內的既有圖檔;甚至也能寫入勒索軟體程式,造成醫療人員唯有付贖金,才能夠存取機器內的檔案。
根據安全研究中心波耐蒙研究所(Ponemon Institute)發布的資料外洩成本報告顯示,醫療業是需要最多成本補救資料外洩的產業,平均每則醫療紀錄須花費408美元,相較於其他產業每則平均只要225美元,足足近兩倍之多(上述成本包括調查、修復攻擊造成的損害,支付罰款或贖金,或任何失竊款項的費用)。此外,攻擊還可能導致醫療機構的聲譽長期受損。
Check Point Research研究人員也指出,醫療用硬體設備存在很多固有的缺陷,包括缺乏靜態數據或傳輸中敏感數據加密,寫死(Hard Code)或默認登錄憑證,這將妨礙IT人員更新系統設備以保護資料安全。醫療場所的作業節奏也造成資安防護的漏洞,例如醫療人員往往需要不停輸入或立即查看患者資料,因此多數醫療業都無法承受更新或修補系統的停機時間。
儘管醫療物聯網設備的安全協議標準化,仍然存在諸多問題和模糊之處,醫療組織仍可以先做準備保護患者的資料安全。醫療組織必須對其網路中存在的多個攻擊切入點保持警惕,通常組織中有數百台設備連接至IT網路,其中任何一台設備的軟硬體都可能存在安全漏洞。在漏洞數量如此龐大的情況下,醫療組織必須部署最新的安全解決方案,以偵測可能的網路攻擊。
此外,將患者資料與IT網路其他部分隔離,有助於醫療IT人員更清楚地了解網路流量,進而檢測異常移動,以防止資料外洩或醫療物聯網設備遭受攻擊。除了資料區隔管理,還能防止資料被盜取,也能防範加密的惡意軟體在網路中傳播。針對組織內醫務人員也應分層區隔讀取權限,只有實際需要履行相應職責的人員才能夠存取相關系統,降低遭網路攻擊時的受害範圍。
結語
未來醫療物聯網將更高效地處理生命數據,改善醫療行為的執行速度,但醫療組織必須對資安防護更有概念:聯網的醫療設備就可能增加資料外洩的機會。網路區隔管理是最有效且基本的方法,唯有區隔管理,才能支援IT人員放心採用新的安全解決方案,在不影響性能或可靠性的情況下,為網路和資料保護提供多一層安全防護。
<本文作者:劉基章為Check Point台灣區總經理>