數位資料的安全性逐漸成為各產業關注的議題,尤其醫療與照護產業有巨量病患與醫療診斷資訊,未來也是資安事件的關注焦點,一個不慎可能面臨巨額贖金,甚至是法律訴訟的問題。
2019年的大規模資安攻擊
根據行政院國家資通安全會報技術服務中心公佈的資安威脅趨勢與案例資料,去年共接獲286件資安事件。 2019年9月國內即發生10幾家醫療院所回報遭受勒索病毒攻擊,所幸被鎖住的系統都非核心系統,未造成業務運作與重大資料損失,也並未付贖。
然而,這仍是相當嚴重的警示。其中一起是在進行資安內部查核時,發現異常連線,經調查後發現是駭客盜用內部人員帳號,登入VPN(Virtual Private Network,常用於連線中、大型企業或團體與團體間的私人網路的通訊方法,透過公用的網路來傳送內網的網路訊息),並存取病歷資訊系統(如下圖 所示)。
另一起則是駭客入侵醫療院所的資訊服務廠商,並透過健保VPN 將勒索病毒散播至醫院系統,導致醫院的電腦無法正常運作。除了健保VPN管理機制待加強,VPN內部未設置存取控管機制,加上目前針對資訊服務業者之資安防護要求不夠,也未限制資訊服務業者連線範圍。
同樣地,國外值得引以為戒的資安事件也層出不窮。2019年秋季,美國約110間護理之家因勒索病毒攻擊,無法取得住民的病歷照護紀錄、帳務、以及其他重要的藥物資料,索取贖金達1,400萬美金,總共影響了8萬台電腦及其他線上服務,包含網路連線與薪資系統。美國與澳洲部分醫療機構和醫學中心,甚至被迫關閉營運。
資安事件類型多元
資安事件類型多元,常見的有惡意軟體攻擊、分散式阻斷服務攻擊、未授權存取、資料外洩、越權漏洞、硬體遺失或失竊。其中惡意軟體攻擊、分散式阻斷服務攻擊通常是透過軟體病毒,不斷地進行網路攻擊,利用電腦基礎架構、系統與應用程式的弱點來入侵企業網路。駭客一旦進入企業的電腦和網路,有高度可能成功竊取機密或含有個人隱私之資料,並且將資料外傳甚至公開。
觀念正確可降低風險
1、建立資安文化
如共用帳號分享密碼,甚至把密碼貼在裝置上面,都是缺乏資安文化的表現。機構必須有定期且持續的資安教育訓練,強調員工了解保護住民資料的重要性,建構注重資訊安全的文化。
2、新型態的認證方式
現有依賴傳統密碼的認證方式也在改變,有調查顯示一個專業人員使用密碼數量,竟然可高達90餘組。因為要記太多密碼,所以同一組密碼平均會重覆使用13次,實在不容易保護資訊安全。新型態的認證方式如用人臉、指紋、甚至結合手機地點等多因子認證等,都可以降低對密碼的依賴。
3、慎選資訊服務商
確認資訊服務廠商是否有足夠的資安知識,包括工程師定期資安訓練、連線加密、資料庫加密、廠商內部資安的控管遵循標準、使用的技術符合國際資安的標準。
資料是金的時代
在數位照護時代來臨時,資料將成為決策的核心以及跟客戶關係的憑藉,資訊的安全當然不可言喻。所幸,資訊安全並不需要高科技,也不需要花大錢,只要觀念正確,用對的方式處理面對,人對了,資安風險就會大幅降低,安心享受資訊化的便利和紅利。
作者:康仕仲
