专门提供医疗产业安全服务的Cybermdx本周出版其年度安全报告,指出医疗产业在2019年有超过4千万笔的医疗记录外泄,几乎是2018年的3倍,但早就成为黑客目标的医疗产业却经常忽视安全,大多数的医疗院所在修补程序发布后的4个月后,只更新不到4成的漏洞设备。
根据统计,去年美国的数据外泄事件中,医疗产业占了7成,而在去年遭到勒索软件攻击的对象中,也有近8成为医疗产业。此外,调查显示,有82%的医疗看护机构承认它们曾在过去的12个月内遭到网络攻击。该产业在去年光是因应黑客攻击的成本,就高达40亿美元。
去年最受瞩目的数据外泄事件,是专门替医疗院所追讨患者欠款的American Medical Collection Agency(AMCA),估计有2,400万名病患的个人信息外泄。
Cybermdx观察到,最容易成为黑客目标的是中型或较不知名的医疗组织,这可能是因为大型或知名医院通常也具备较完善的安全配置,且中小型的机构也许不会安排足够的安全预算。
值得注意的是,在全美的6,210家医院中,大约有1.2亿台联网设备,代表平均每家医院必须管理1.93万个联网设备,要管理这么多设备的生命周期及安全性的确不容易。
Cybermdx的研究显示,当供应商披露并修补重要漏洞时,大多数的医院在4个月后所修补的设备都还不到应修补的4成,而且绝大多数执行修补的医院都是在漏洞披露的第一个月内修补,在漏洞披露的4个月后,已经很少有医院展开修补行动。
就算是受到外界瞩目的BlueKeep漏洞,医疗产业中也还有22%的设备并未修补该漏洞。
Cybermdx表示,这么低的修补比例再加上缺乏修补效率,对该产业的安全性而言是很糟糕的,随着重大漏洞不断地被发现,医疗产业也将越来越无法承受相关的安全风险。