網絡安全機構警告,政府應協助加強醫院的網絡防禦力,阻止 黑客入侵 ,因為已有醫療事故證明醫院遭受攻擊會導致人命傷亡,偏偏醫院本身是漏洞產生器,如政府放任不管,等同成為罪犯的幫兇。
黑客入侵 事故倍數上升
醫院點解會成為黑客攻擊的目標,全因醫院儲存的資料非常有價值,特別是私家醫院,不少顧客都是名人明星,病歷紀錄絕對可以用作勒索。不過即使是公立醫院,龐大的病人資料及病歷紀錄,黑客亦可在暗網賣得不錯價錢,所以近年針對醫院的攻擊正在倍數上升。
而在醫院面對的眾多網絡攻擊之中,勒索軟件(ransomware)是最常用的手段之一,因為現時RaaS服務(ransomware-as-a-service)價廉物美,罪犯只須僱用勒索軟件集團,便可輕易使用對方提供的勒索軟件套件發動攻擊,包括勒索軟件、收取贖款方法及刊登受害者部分機密資料的暗網網站,所以勒索一條龍服務非常受歡迎。
雖然各行各業現時也深受勒索軟件之苦,不過網絡安全機構CyberPeace Institute的研究員則指出,醫院如遭受勒索軟件攻擊,有可能危害病人的性命,最明顯的例子是上年德國Duesseldor醫院被勒索軟件攻擊後,導致醫院內的系統以至醫療設備均無法運作,令一名女病人在送院後無法接受緊急治療服務,並在移送其他醫院的過程中死亡,被認為是史上首宗因勒索軟件而死亡的個案,因此研究員認為政府應主動協助醫院或醫療機構提升網絡防禦力,而不是任由醫院被黑客宰割。
專家認為醫院之所以容易受到攻擊,與行業本身的運作有很大關係,因為醫院內的專科數量極多,各部門採用的醫療設備亦須獨立管理,令醫院內部網絡變得非常複雜,網絡安全的透明度極低。而即使醫療設備供應商推出了安全更新檔,醫院也可能因缺乏人手或相關醫療設備長期被使用,難以安排時間進行更新,黑客便可輕鬆地利用已存在的漏洞入侵,執行勒索軟件攻擊。
專家建議政府應從多方面協助醫療機構,例如委派專家檢視醫療機構的安全問題,建立快速修補漏洞的機制;另一方面,亦應加強網絡犯罪的刑罰,提升犯罪組織的入侵成本,先可以從根本減少網絡攻擊的發生。
