事件經過
Broward Health 是美國的一家醫院，也是美國十大公共衛生組織之一。據該組織披露，駭客於 2020 年 10 月 15 日 透過第三方供應商入侵了 Broward Health 的網絡，並訪問了超過 130 萬名醫院患者的姓名、出生日期、地址、電話號碼、銀行信息、社會安全嗎、保險信息與賬號、醫療信息（包括病史、治療與診斷）、駕照號碼及電郵地址。

 

醫療行業是極易下手的目標
醫療保健行業一直都是駭客組織眼中的肥羊，各種原因如過時及未修復更新的系統、數之不盡的 IoT 設備，是駭客可以很好地利用。

可閱讀：
醫療保健行業不斷成為駭客及勒索軟體原因剖析

 

供應鏈安全維護
根據 Broward Health 的說法，本次事件是由其第三方供應商所造成的，這意味著除了醫院資深內部需要加強資安防護外，還需要仔細了解及審視其軟體供應商。雖然直接審核所有的供應商是不太實際的，但醫療機構可以詢問供應商有遵循哪一些標準，透過軟體供應商的標準來審核期資安防禦程度，而這應該是一項需要被定期執行的任務。隨著許多組織越來越依賴外包的的服務，組織內部的 IT 人員必須考慮任何一方出現安全漏洞時，所帶來的的影響，並盡可能分割不同設施的網絡——醫療保健系統、收費系統、公共網站、內聯網等，來防止資安事件發生時，因所有設施都存在一個地方而一發不可收拾。
 

參考資料：
https://threatpost.com/broward-breach-healthcare-supply-chain/177401/