醫療保健數碼化勒索軟件風險增

香港的醫療系統效率冠絕全球,持續在彭博健康護理效率指數(Bloomberg Health Care Efficiency Index)位居榜首。 但隨著時代轉變,香港的醫療系統正面臨嚴峻的挑戰。市民對醫療需求急增,加上合資格的醫護人員人手短缺,令整個醫療系統超出負荷,延長了病患的輪候時間。

最近,Covid-19 更令整個公共醫療系統問題雪上加霜。對醫療機構來說,尋求全自動化及創新方式為病患提供服務變得前所未有地重要, 而醫療系統對科技的依賴亦只會有增無減。

醫療機構和供應商需要流暢地存取實時數據,以快應對香港內外的危機及處理多方面的協作。電子醫療記錄日漸普及,方便市民追蹤自己的健康狀況,使得健康相關數據流量增加,但同時亦令風險相對提高。

隨著醫療系統不斷發展,數據安全策略必須緊貼發展步伐。能有效抵禦常見的網絡攻擊(例如勒索軟件),以確保醫療數據得到所需的保護。黑客專門挑選病人、醫療機構、大學的臨床試驗和研發等高度私隱或敏感的數據,一旦取得數據,黑客便可運用個人或機構的聲譽作籌碼以進行勒索,令不法份子更輕易獲得贖金。

醫療機構須採取有效的預防措施才能保障自己及病人,其 IT 團隊應考慮從教育、應用及補救的基礎上制訂數據防護策略,確保萬無一失。

了解勒索軟件帶來的風險

醫療機構首先要了解網絡威脅的源頭。三大常遭到黑客攻擊的缺口包括:遙距桌面協定(RDP)或其他遙距存取工具、網絡釣魚及軟件更新。透過深入了解這三方面的漏洞,IT 團隊可從攻擊媒介的角度出發,更有策略地分配資源,使系統達至最強防禦,有效抵擋勒索軟件。

大部份 IT 管理員在日常工作中都會使用 RDP,而許多 RDP 伺服器都直接連接到互聯網,導致超過一半的勒索軟件攻擊均以 RDP 作為入侵途徑。另一個入侵方式則是網絡釣魚電郵。倘若醫療機構收到可疑電郵,可以選擇使用 Gophish 和 KnowBe4 作風險評估。另外,醫療機構也需定期更新重要 IT 資產,例如操作系統、應用程式、數據庫和設備硬件。而數據中心與在地數據同樣是黑客的攻擊目標,所以也需要相同的保護。

備份方案保數據

機構能否有效對抗涉及勒索軟件攻擊的關鍵,在於有效的備份解決方案及補救過程。當涉及勒索軟件時,備份存儲庫是必不可少的存儲資源,因此建議禁止機構外的人存取存儲庫的數據。即使只有機構內的人員擁有相關存取權限,也不能完全避免數據外洩。因此我們建議醫療機構在可行的情況下,交由第三方管理這些數據以減低風險。

不過即使做足預備措施及為員工灌輸所需知識,醫療機構亦應制訂補救措施,以備不時之需。萬一遭到攻擊,機構須謹記:

  • 不要支付贖金
  • 還原數據是唯一的選擇

在遭受黑客攻擊後其中一項最頭痛的是由誰決定機構的下一步。醫療機構必須預先制訂協議,明確列出在災難發生時決定復原或進行故障轉移的決策者。當局應未雨綢繆,預先選出負責人處理有關網絡安全、網絡攻擊應對和管理身份三方面的事項,以免在危急關頭不知所措,浪費保貴時間。

數據備份與物業、保險一樣,是一種長線投資。萬一遭受黑客攻擊,能確保員工及病患的數據得到保護。配合教育員工進行風險管理、如何應用合適的基礎架構以及補救協議等知識,即使黑客發動勒索軟件攻擊,也能處變不驚,保護數據同時保護醫療機構聲譽。

撰文:Veeam 高級產品戰略高級總監 Rick Vanover 及 Veeam 香港、澳門及台灣區域高級總監陳超成