駭客可以透過出售個人健康資訊(PHI)來快速賺錢，這比“普通”個人身份資訊(PII)更有價值。根據訊息，信用卡和相關資訊在暗網上的售價為1-2美元，但PHI的售價超過350美元。駭客利用這些詳細的醫療記錄偽造保險索賠、購買高價值藥品或獲得醫療程式。

網路釣魚

勒索軟體攻擊和資料洩露的第一步是獲取員工的登入憑證。他們透過網路釣魚攻擊來做到這一點。網路犯罪分子用不知情的電子郵件轟炸郵箱，這些郵件含有惡意附件或連結，可以下載惡意軟體或竊取登入憑證。

他們經常使用一名被黑的員工的賬戶，一步步接近組織中有權訪問整個IT系統的某個人。

資料洩露

粗心大意或工作壓力過大的員工可能會無意中點選惡意連結，甚至丟失裝置。在當今無處不在的工作環境中，如果員工在沒有虛擬專用網路保護的情況下，透過家庭或公共Wi-Fi連線登入到醫院系統，駭客就可以竊取使用者憑證。

一旦駭客進入一個系統，他們可以下載患者的醫療保健和財務資訊，竊取專利研究，滲透公司的財務系統，轉移資金或醫療裝置和藥品，甚至關閉整個運營業務。

勒索軟體攻擊

勒索軟體感染會鎖定檔案和系統，使其完全無法訪問。然後攻擊者要求用贖金來解鎖檔案。醫療保健行業特別容易受到此類攻擊，因為勒索軟體攻擊可以使醫療服務完全停止。網路環境和網路產品中的漏洞成為勒索組織手中的一把利器。藉助漏洞的影響範圍，勒索組織和惡意軟體大舉進攻，攻擊面和攻擊效率大大提升。

DDoS攻擊

分散式拒絕服務攻擊(DDoS攻擊)是指駭客用虛假連線請求轟炸目標伺服器，以壓倒並迫使伺服器離線。DDoS攻擊可以使醫院的所有操作突然停止，甚至可能危及生命。

對醫院的網路攻擊可能會中斷臨床程式，威脅患者護理質量，並導致非常嚴重的資料洩露。醫院應該採用結構化的計劃來投資網路安全，以保護他們的電子基礎設施。

加強軟體漏洞管理

醫療保健技術飛速發展，所涉及的軟體系統也越來越複雜，同時出現安全漏洞的機率也隨之增加。提高對所使用的軟體或來自供應商的軟體的漏洞檢測，在軟體驗收時增加對軟體開發清單的檢查及對程式碼安全檢測並修復，減少軟體中的安全漏洞。

實施密碼安全性

在醫院的高壓環境中，工作人員經常共享裝置和機器，使用者應該可以訪問複雜的密碼管理系統，以防止未經授權的使用者進入。

安裝多因素身份驗證系統

多因素認證(MFA)是一種安全、簡單的訪問控制措施，可以阻止大多數駭客攻擊嘗試。

實施資料加密

犯罪分子可以劫持在儲存和終端終端之間傳輸的未加密資料。所有資料都應該在輸入到端點時受到保護。

透過網路安全意識培訓解決最薄弱的環節

培訓員工將電子通訊視為潛在的攻擊面。提高網路威脅意識可以保護員工免受網路釣魚攻擊和社會工程企圖的傷害。

來源：

https://www.hackread.com/cybersecurity-threats-health-services-concern/

為什麼我們要關注醫療衛生服務面臨的網路安全威脅

相關文章