飛利浦和網絡安全公司 CyberMDX 最近發布了一份報告，內容為大中型醫院的網絡安全支出及趨勢。研究人員透過與市場研究公司 Ipsos 合作，對 130 名 IT 醫療保健決策者進行了調查，以了解他們如何管理當今大多數醫院中使用的數千種醫療設備。

 

IoT 設備安全人員的缺乏
在「Perspectives in Healthcare Security Report」中，超過 31% 的受訪者在醫療設備少於 10,000 台的醫院工作，另外 29% 在醫療設備少於 25,000 台的醫院系統工作。近 20% 的受訪者在部署少於 50,000 台設備的醫院系統工作。雖然大多數受訪者很清楚他們的醫院系統中部署了多少設備，但 15% 的中型醫院和 13% 的大型醫院無法知道他們暴露在網絡上的設備數量。而近乎一半的受訪者認為他們的醫療設備和物聯網安全人員不足夠，其中報告中大多數醫院的網絡安全人員平均為 12 或 13 人。

此外，受訪者將NotPetya、MDHex、MDHexRay、Ryuk、Wannacry、Apache Struts、BlueKeep 列為最常見的漏洞。超過 51% 的受訪者表示，他們的醫院沒有受到 Bluekeep 漏洞的保護，而 WannaCry 和 NotPetya 的這一數字分別增加了 64% 和 75%。近半數接受調查的醫院高管表示，在過去六個月中，他們曾因外部攻擊而被迫或主動關閉設備。大型醫院面臨平均 6.2 小時的停工時間和每小時 21500 美元的損失。但對於中型醫院來說，情況要糟糕得多，其 IT 主管報告平均停機 10 小時，每小時損失 45700 美元。

Cyber​​MDX 的首席執行官 Azi Cohen 指出，醫院在面對網絡攻擊時，除了必須處理患者安全、收入損失，還得面對聲譽上的損害，而這些攻擊的頻率目前還在不斷增加。

 

與 IoT 安全密不可分的醫療業
醫院作為需要使用大量設備來維持患者生命的地方，透過將 IT 及 OT 的結合，能使工作變得更有效率，但隨之而來的資安風險也是隨之增加。而根據 iThome 2021 CIO 與資安大調查，醫療業在未來 1 年，主要面對的資安風險有 4 項：來自駭客的攻擊、資安漏洞造成的資安事件、勒索軟體導致的外洩事件，以及透過社交工程手法發動的攻擊。而這 4 項，也正是同樣需要嚴格遵守法規的金融業未來 1 年所面對的 4 大首要風險。

 

COVID-19 帶來的醫院勒索攻擊風潮
近 1 年發生的各大醫療系統遭勒索攻擊事件，如Scripps Health、愛爾蘭的國家衛生服務局和紐西蘭的 Waikato 醫院，不難看出，醫院已成為網絡犯罪份子眼中的大目標。而造成攻擊的其中一個原因就是大多數醫院都是用過時且未修復的系統，這是因為醫療設備十分昂貴，大多數醫療設備都會被使用很久，導致許多的設備都是仰賴過時的系統在操作，這就給了網絡犯罪分子很大的操作空間。

對此，醫院應該定時為自身的系統進行全面性的 IoT 弱點掃描，掃描結束後針對有弱點的地方金屬進行修補，就如同給病人治療病症一樣，定期檢查，對症下喲才能有用一個健康的身體，而 IoT 安全也是同樣地道理。

 

參考資料：
https://www.zdnet.com/article/philips-study-finds-hospitals-struggling-to-manage-thousands-of-devices/
https://www.cybermdx.com/lp-perspectives-in-healthcare-security-ipsos-report/
https://www.ithome.com.tw/article/144258