本週,針對實驗室提供者的勒索軟體攻擊擾亂了倫敦的幾家醫院和初級保健醫生,導致手術和血液檢測延誤。
這次攻擊產生了“重大影響”,實驗室提供者 Synnovis 表示,這是“嚴厲的提醒,這種攻擊可能隨時發生在任何人身上”,但 NHS 目前還不知道對數據的全部影響。
NHS 發言人週四表示:“所有緊急和急診服務仍照常開放,大多數門診服務繼續正常運作。”
「不幸的是,一些嚴重依賴病理學服務的手術和程序已被推遲,並且優先考慮最緊急的病例進行血液檢測,這意味著患者的靜脈切開術預約被取消」。
勒索軟體攻擊是一種惡意軟體阻止人們存取檔案以迫使受害者付費存取的攻擊。
這反映了專家所說的衛生部門網路事件不斷增長的趨勢。
歐洲醫療保健產業“越來越成為目標”
歐盟網路安全局(ENISA) 發言人勞拉·休文克(Laura Heuvinck) 告訴歐洲新聞健康網:「隨著數位化擴大了攻擊面,網路釣魚和勒索軟體攻擊不斷增加,醫療保健產業越來越成為攻擊目標。
ENISA 去年發布的一份報告發現,2021 年 1 月至 2023 年 3 月期間,勒索軟體攻擊佔該產業網路事件的 54%,此類攻擊被稱為「衛生部門的主要威脅」。
然而,該機構表示,到 2023 年,只有 23% 的衛生部門組織擁有專門的勒索軟體計畫。
該報告涵蓋了 COVID-19 大流行時期的一部分,其中衛生部門是主要目標,報告發現勒索軟體攻擊背後的大多數都是出於經濟利益。
該機構發言人補充說:“攻擊主要針對患者的數據,例如電子健康記錄,然後用於欺詐、身份盜竊或使用敏感數據進行勒索。”
與衛生當局和製藥業相比,歐盟醫療保健提供者和醫院尤其受到這些事件的影響。
法國數位衛生局上個月的一份報告指出,2023 年“惡意事件持續存在”,醫療保健領域共收到 581 起網路攻擊報告,其中至少一半是惡意攻擊。
但他們也指出,今年「重大事件大幅減少,影響病患照護的事件數量保持穩定」。
約 53% 的機構表示,網路事件對其運作沒有影響,分析師表示,主動監控資訊系統有助於降低網路攻擊的效率。
同時,根據今年的一份報告,2023 年針對美國醫院的勒索軟體攻擊將會增加軟體公司 Emsisoft。
Emsisoft 表示,勒索軟體攻擊去年影響了美國 140 多家醫院的 46 個醫院系統,至少有 32 個醫院系統保護了被盜的健康資料。
為什麼犯罪者會瞄準醫療保健產業?
英國薩里大學計算機安全專家艾倫·伍德沃德表示,醫院可能面臨風險,因為他們“旨在在許多不同的提供者之間進行通信”,從而使他們的系統更加“開放”。
伍德沃德說:“連接越多,攻擊面就會越大,犯罪分子就有更多的機會入侵。”
「想像一下每天有多少封電子郵件來回轉發給醫院以及醫院裡的所有人……你只需要一封郵件就可以通過,其中包含一些惡意軟體;它傳播」。
2017 年全球 WannaCry 勒索軟體攻擊就是一個例子,該攻擊影響了英格蘭的 80 家醫院信託機構。
倫敦帝國學院的一項分析顯示,由於預約取消和患者救生護理延誤,此次大規模網路攻擊給 NHS 造成了近 600 萬英鎊(700 萬歐元)的損失。
「底線是犯罪者不在乎。他們真的不在乎他們攻擊誰,我認為他們腦子裡可能有一些想法是,如果我們攻擊至關重要的事情,人們可能更有可能付出代價,因為他們必須擁有它,」他額外。
醫院的資源也已經捉襟見肘。
「IT 不是他們的核心業務,但他們非常依賴它,」他補充道,因此「找到時間和資源來確保你擁有最新的軟體、最新版本的不易受到攻擊的東西,這很困難」。
醫院可以採取哪些措施來預防攻擊?
伍德沃德說:“大多數醫院現在都已經做好了準備,這只是何時而不是是否會受到攻擊的情況。”
作為事件回應計畫的一部分,人們需要知道在發生網路攻擊時該打給誰以及採取什麼行動。
但總體而言,勒索軟體通常是透過「欺騙某人」進入系統的,伍德沃德說。
「在網路安全方面,人們永遠不應該指責受害者。但組織應該做的是反覆進行關於這種情況如何發生的意識教育,你知道要注意什麼,」他說。
他補充說,所有登入都應該具有多重身份驗證,並且教育應該包括密碼衛生。
專家表示,關鍵還在於不支付贖金,有些人呼籲國際社會禁止支付贖金。
2022 年 Sophos民調31 個國家的調查發現,醫療保健產業最有可能支付贖金,但支付的金額也最少。
「唯一的解決方案是透過完全禁止支付要求來從經濟上抑制攻擊。 Emsisoft 威脅分析師 Brett Callow 在今年早些時候的一篇部落格文章中表示:“目前來看,禁令是唯一可能有效的方法。”
「我們的建議始終是請不要付款,因為 A. 你只會讓犯罪者更加膽大妄為,B. 你什麼也保證不了。你不能保證拿回你的數據,」伍德沃德補充道。
