數位發展部資通安全署已預計於年底舉辦的2025跨國網路攻防演練(Cyber Offensive and Defensive Exercise,CODE),並且選定醫療領域建置並模擬真實的場域,邀請國內醫療院所組成藍隊、國內外的資安技術高手擔任紅隊,進行跨國交流的紅藍隊攻防演練,藉此提升關鍵基礎設施資安防護與通報應變能力。
回顧今年2月,馬偕紀念醫院遭受中國駭客「CrazyHunter」勒索病毒攻擊,導致系統被加密並且影響醫療運作。隔月,彰化基督教醫院也傳出遭受勒索攻擊,同樣是CrazyHunter所為。甚至在不久後,駭客在暗網公開販售逾1,600萬筆馬偕醫院病患個資。最終,刑事局在4月偵破證實駭客CrazyHunter之真實身分為中國羅姓男子並於4月發布通緝。
儘管這次的資安事件已告一段落,卻也更突顯了醫療院所長期面對的資安課題,事實上,數位發展部資通安全署已預計於年底舉辦的2025跨國網路攻防演練(Cyber Offensive and Defensive Exercise,CODE),並且選定醫療領域建置並模擬真實的場域,邀請國內醫療院所組成藍隊、國內外的技術資安高手擔任紅隊,進行跨國交流的紅藍隊攻防演練,藉此提升關鍵基礎設施資安防護與通報應變能力。與此同時,也會舉辦為期兩天的「前瞻資安探索會議」(Advanced Cybersecurity Exploration Conference,ACE),探索當前重大資安威脅之策略議題。
數位發展部資通安全署稽核檢查組組長邱俊惟指出,目前已經確定有五家醫院會加入,而且還在持續的邀請中,預計將組成四隊藍隊。此次也會設計一些真實情境,並預埋漏洞,由紅隊模擬攻擊手找出這些預埋的漏洞進行攻擊,而藍隊則是須應對遭到攻擊時的應處,例如是否有依照通報應變辦法來進行通報、分析根因,並且做出相關的應對處理。「年底的CODE攻防演練,將有助於瞭解關鍵基礎設施醫院是否有足夠的能量去防禦。比較特別的是,今年將在第三天新增紅藍攻防演練心得分享,這些發現與建議也將成為下一屆賽制研擬的參考。」
他進一步透露,2025年跨國網路攻防演練的另一個特色是並不只有IT環境的攻防,也會介接到OT設備,亦即會把醫院的部分醫療器材搬到現場。換言之,攻擊手是有可能從IT一路攻打到OT,這時藍隊就可以模擬當OT設備遭受攻擊時如何處理。簡單說,從外網、辦公區到伺服器端乃至於OT設備,都會預埋一些設計好的漏洞讓紅隊來探索、試著攻擊,然後由藍隊來防守。」
VPN應該原則禁止 權限控管也是重要技巧
根據Sophos去年發布的《2024年醫療保健領域勒索軟體現況》調查報告,67%的受訪醫療機構過去一年曾受到勒索軟體攻擊,超過2023年的60%,顯示醫療院所遭受勒索軟體攻擊的趨勢不斷攀升;而且57%曾支付贖金的醫療機構最終所支付的贖金高於駭客原先所要求的勒索金額;2024年醫療產業勒索攻擊的平均復原成本為257萬元,高於2023年的220萬美元,甚至是2021年的兩倍。
數位發展部資通安全署通報應變組組長趙由靖提到,想要提高資安防禦,確實需要投入一些成本,有時候會因為預算與經費的考量,往往會選擇重點部署,或是只有局部的施作。然而一旦被鎖定進行勒索攻擊,後續處理與改善所要花費的成本可能會比全面佈建的成本要來得更高,如何取捨其實就要看看醫療院所在經營時是否意識到這點,萬一受到駭客攻擊而遭受損害,復原的成本與損失也可能遠高於佈建的成本。
「事實上,此次受攻擊事件帶來了非常正面的結果,」她提到,不只醫院迅速回應,立即啟動資安緊急應變作業流程並對外公告;衛生福利部也立即協調數位發展部資通安全署資安專家進駐醫院提供必要協助,協助隔離受感染的系統並進行病毒清除,落實相關防護措施;此外,也迅速訂定「醫院面對勒索軟體攻擊的應變指南」,其實是很好的合作示範案例。
趙由靖觀察,在網路世界,關鍵基礎設施確實經常會被駭客鎖定,醫療院所常見幾個資安破口,包含遠端VPN連線管控、自帶設備(BYOD)管理、系統未即時更新,以及人為管理與操作不當。她提到,近幾年,政府積極推動資安,許多關鍵基礎設施醫院都已經上軌道,雖然已經設立了一些政策,但人員的管理或操作不當也可能造成重大影響,透過教育訓練或是資安稽核來讓人員更具有相關的意識也是很重要的一環。
而在網路的部分,VPN應該原則禁止,例外允許。當有例外需要透過VPN進行遠端連線時,也應該設定明確的規則,或是只提供一個最短的時間可以遠端連線;另外,自帶設備以及網路的更新也很重要。除此之外,做好備份也至關重要,此次系統可以很快恢復運行,也不支付贖金的關鍵就在於備份。「權限控管也是蠻重要的技巧,一個系統不可能每個人都開最高權限,還是要以最小權限為原則。」
稽核助力持續精進
根據行政院「國家關鍵基礎設施安全防護指導綱要」,關鍵基礎設施(CI)包含了能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方政府機關及高科技園區等八大領域,因此受事業主管機關指定的關鍵基礎設施醫院也是資通安全管理法納管的對象之一。不只如此,醫院評鑑的資安評鑑基準也納入資通安全法。
從稽核的角度來看,數位發展部資通安全署稽核檢查組組長邱俊惟認為,資安是持續精進的風險管理,十年前部署的資安部署或資安防護很顯然已無法因應,因此在稽核時會更重視醫療院所是否有因應新型態的資安威脅而調整資安的政策與防護。「合規只是基本面向,但是稽核的另一個目的是希望能夠持續精進的管理,」舉例而言,近期勒索攻擊事件後,醫療院所的業務持續運作演練是否更貼近真實事件,而不是只為了因應核心資通系統每年應辦理一次業務持續運作演練的法規要求,又或是委外管理能不能做得更好、資產盤點有沒有把屬於IoT設備的醫材也納進來等等,都會是目前醫療院所可以做得更好的地方。