勒索軟體重創醫院,醫療體系再次敲響資安警鐘
今年三月馬偕醫院與彰化基督教醫院陸續遭受勒索軟體CrazyHunter的攻擊,不僅造成掛號系統中斷導致醫療服務中斷,更傳出有上千萬筆個資遭竊並於網路上販售。經調查後發現,攻擊者在入侵過程中會從AD(Active Directory)管道下手,透過弱密碼嘗試取得帳號權限,進而透過GPO(Group Policy)派送方式發動大範圍勒索加密攻擊。此事件引起各界關注,衛生福利部也在事件後發布「醫院面對勒索軟體攻擊的應變指南」,並與資安署共同加強檢視醫療資安。面對醫院資安議題不斷,醫療體系是否準備好了?又該如何打造更強韌的資安防線?
醫療機構為何成為攻擊目標?醫療資安4大挑戰
針對這兩次的醫院攻擊事件,除了登入無安全的驗證機制及備援機制不夠完善外,攻擊者皆選擇在連續假日或周末、資安防護較為鬆散的時段下手。在面對數位轉型和大量敏感個資的情況下,將醫院對的資料挑戰分為以下4大議題:
- 攻擊事件和維運負擔沉重
- 院內檔案使用權限控管
- 外部檔案交換藏風險
- 醫療資安評鑑要求
根據Check Point《2024 年網路安全報告》,臺灣企業組織遭受網路攻擊的嚴重程度,遠高於全球平均水準。在過去6個月內,平均每週遭受2,930次網路攻擊,是全球平均每組織1,089次攻擊的2.7倍之多。除此之外,不同以往無差別攻擊,勒索軟體已改變策略,以高價值目標為攻擊焦點,醫院往往擁有大量的敏感個資,屬於受「駭」的高風險產業。
OmniStor數據安全平台:為醫院打造最強韌的資安防線
ASUS OmniStor 數據安全管理平台,以零信任為核心,透過單一儲存平台,整合醫療分院資料,建立高資安、可完善控管的檔案交換機制。面對猖獗的資安攻擊事件,透過資料安全防護應用,阻斷勒索威脅,快速停損及復原資料,強健醫療數位韌性,達到資安評鑑標準。以下為 OmniStor 4 大關鍵亮點:
- 取代傳統網芳NAS更安全
- 細密完善的權限與登入機制
- 安全的資料交換與防護機制
- 完善的管理後台與行為監控
此外,根據《醫療機構電子病歷製作及管理辦法》電子病歷須至少保存五年,隨著資料大量累積,加上備份的需求,往往使檔案伺服器負載過大且維運和擴充不易。OmniStor 可協助HIS資料上雲備份,滿足雲地同步的高資安醫療DB備份需求,符合醫療法規。
衛福部勒索攻擊應變指南,讓 OmniStor 為你把關
衛生福利部資訊處於事件發生後便緊急制定完成「醫院面對勒索軟體攻擊的應變指南」,讓全國醫院在統一的標準作業程序下,能迅速有效地應對未來可能的攻擊。
面對日益猖獗的勒索攻擊,醫療體系需要的是一套全面而可靠的資料保護策略——不只是防禦,更要確保資料在交換和存取的過程中,以零信認為基礎落實權限控管,並在關鍵時刻迅速復原,保障營運不中斷。OmniStor 致力於協助醫療機構打造現代化的數據安全架構,且完整滿足醫療法規要求,並在資安事件前中後完整防禦,建立一套真正具備韌性的資安防線。
想要多認識 OmniStor 數據安全管理平台嗎?>>https://www.asuscloud.com/omnistor/
參考資料來源: