昂貴的一課 從Change Healthcare勒索軟體攻擊學習
編譯/Cynthia
2023年2月美國Change Healthcare遭遇一次嚴重的勒索軟體攻擊,這突顯出醫療產業在網路安全方面的巨大脆弱性。攻擊發生後,全美國的醫療保險理賠處理陷入混亂,診所、藥局和病患無法完成事先授權的處方或醫療治療。由於系統被迫關閉,Change Healthcare負責處理的醫療服務支付流動也因此中斷,對整個醫療體系造成嚴重影響。
攻擊重創小型醫療機構
此次攻擊對小型醫療診所和藥局的影響尤為嚴重,許多機構因收入損失而面臨破產風險。事件可能暴露約三分之一美國公民的個人資料,導致母公司UnitedHealth Group(UHG)損失超過8.72億美元(新台幣約281.92億元)。UHG不得不提供加速支付和免息貸款給數千家供應商,並投入大量資源重建Change Healthcare的系統。
更多新聞:帳號劫持超越勒索軟體 成企業最大威脅
勒索軟體災難的8個重要教訓
1、多因素驗證(MFA)的重要性:Change Healthcare的Citrix入口未使用MFA,使得攻擊者能夠輕易進入系統。這顯示即使是最基本的安全措施也能大大減少攻擊風險。
2、系統分段:攻擊者在系統內部橫向移動,顯示Change Healthcare缺乏有效的系統分段。透過分段可以阻止攻擊者在網路上自由移動,減少攻擊範圍。
3、併購活動需重視網路安全盡職調查:UnitedHealth Group(UHG)收購Change Healthcare後,未立即統一安全政策,為攻擊者提供漏洞。併購後應進行全面的安全審核和評估。
4、不應自行承擔風險:Change Healthcare選擇自行承擔網路風險,而未購買網路保險。這種做法未能實施足夠的安全措施。
5、監控入侵行為:攻擊者在Change Healthcare系統中潛伏九天,顯示需要加強持續監控和早期偵測系統入侵的能力。
6、支付贖金的兩難:UHG支付大額贖金,但攻擊者未履行承諾,進一步揭示支付贖金的風險和倫理問題。這種做法可能會鼓勵更多勒索攻擊。
7、醫療產業威脅日益增加:醫療機構成為主要目標,因其敏感資料和高度依賴系統。這次攻擊凸顯醫療機構需要加強網路安全措施。
8、勒索軟體持續威脅:雖然ALPHV詐騙組織解散,但勒索軟體市場依然活躍。勒索軟體攻擊數量持續增加,成為CISO最關注的威脅之一。
從教訓中學習
Change Healthcare的勒索軟體攻擊事件是嚴重的警訊,顯示醫療產業必須加強網路安全,從多因素驗證到系統分段,再到併購後的網路安全盡職調查,每步都是關鍵,應確保適當的網路保險及高標準的安全措施,並建立強大的監控和應急機制。
資料來源:CSO Online
瀏覽 296 次