網路安全問題一直是許多行業的重大隱憂,醫療業也不例外。文章開宗明義指出,近期美國一家醫療數據分析公司遭遇大規模網路攻擊,造成龐大的財務和人力損失,影響並延燒至合作夥伴和病患。這只是醫療業網路攻擊事件中的一例,2023年已有超過540家醫療機構和1.12億名個人受到資料外洩的影響。
網路攻擊事件日益複雜,涉及金額也與日俱增。隨著企業人力外包全球化,網路攻擊的影響範圍也進一步擴大。對於有國際合作夥伴的企業來說,防禦工作將更加棘手。不僅大型企業,中小企業同樣面臨網路攻擊的高風險。無論企業規模大小,都應制定完善的應對方案和資源配置。
基本的網路安全措施仍不可或缺,例如定期更改登入密碼、啟用雙重驗證、離開時登出所有裝置等。此外,企業也應全面掌控員工使用的所有科技,確保軟硬體都有最新的安全更新。然而,近年來最大的變化在於網路攻擊的範圍、頻率和複雜程度都在攀升。隨著電子商務、外包人力和海外擴張的趨勢,企業若未及時調整網路安全規範,可能會留下致命缺口。
醫療業一直是網路攻擊的重災區,主因是病患資料在黑市上價值極高。早期主要面臨資料外洩的威脅,而近來更多針對性的攻擊目標是癱瘓整個醫療體系。文章將此比喻為類似於911事件後,政府對核電廠、發電廠等關鍵設施加強保全的作為。
最常見的攻擊手法是散布式阻斷服務攻擊(DDoS),大量非法流量癱瘓醫療機構的網路系統。自2019年以來,這類攻擊在醫療業內明顯增加。美國衛生及公共服務部轄下的醫療業網路安全協調中心不時發布相關的威脅警示。文章並以最近的一起大型勒索軟體攻擊事件為例,突顯這已不只是醫療業的問題,2023年幾乎所有產業的網路攻擊紀錄都出現兩到三倍的增長。
面對威脅不斷升級,單靠政府機構的協助是不夠的。企業應該與專業的第三方安全服務供應商合作,確保從源代碼層面就能偵測並修補系統的弱點漏洞。小企業無經驗者,可先參考政府公開的最佳實務守則著手,但長期來看,勢必要達到更高的第三方驗證標準,例如SOC-2或HITRUST認證,以獲得客戶和合作夥伴的信任。
各雲端服務供應商如AWS、Azure、Google和Oracle雖然細節規範有所不同,但都有類似的內部安全規範。重點是企業要因應不斷演進的威脅環境,持續檢視並更新網路安全策略,才能有效防範駭客攻擊,避免重大營運中斷。網路安全問題已經不是能否發生的問題,而是何時發生的問題,企業必須時刻保持高度警覺。
詳情請看:
Cybersecurity in the Healthcare Sector: Best Practices for Preventing Today’s Attacks