iThome

勒索軟體資安事件和駭客是醫療業者在2022年要面對的兩大首要風險,又以勒索軟體資安事件的衝擊最大,未來一年也最可能發生。其次,社交工程手段和釣魚網站威脅也是醫療業得留意的次要風險。顧客資安事件是醫院今年突然竄起的風險,不得不防。

根據iThome 2022年資安大調查,今年醫療產業所面臨的資安風險,和去年有很大的不同,去年首要風險有四項,第一項是駭客的威脅,但是在今年調查中,勒索軟體資安事件成了名列第一的風險項目,是醫療產業今年最戒備的威脅。和去年相比,駭客的威脅,不論在衝擊影響程度或是發生機率上,今年都些微下滑,成了名列第二高的風險項目。不過,上述兩項都是今年醫療產業必須高度注意的首要風險,醫院仍然不可大意,輕忽駭客的威脅。

去年首要風險中還有資安漏洞與社交工程手段的威脅,其中,社交工程因為衝擊程度下降了,因此該風險項目今年下滑到成為次要風險之一,而漏洞威脅的影響和發生機率都雙雙下降,在今年調查中,風險排名甚跌到第六名,比資料外洩事件的風險還要低。這2年來,連續發生多次資安漏洞事件,也讓醫院IT越來越熟悉相關資安漏洞發生後的緊急修補作業,這讓資安長在今年對於資安漏洞的影響,更有應變能力,也降低了對這項風險的擔心,因此,漏洞威脅掉出了首要風險範圍,不過,仍舊在第一象限中,不能掉以輕心。

不過,醫院必須留意今年有幾項快速竄升的新風險,第一項是釣魚網站的威脅,越來越多偽裝的釣魚網站,企圖竊取使用者登入憑證,一旦醫院員工誤點了釣魚信件中的釣魚連結,可能就會在醫院電腦中植入了惡意程式,成了惡意程式的入侵破口。隨著醫院越來越依賴行動裝置,醫生甚至醫護人員可以家中連線,登入醫院系統,或者透過外部通訊軟體來提供遠距看診,這些都會讓醫護人員的行動裝置接觸到外部網際網路的環境,也更容易面臨釣魚網站的威脅,提高醫護人員的資安意識成了醫院越來越重要的工作。

今年值得注意的另一項新興威脅是顧客資安事件,這是指發生在病患端的資安事件,今年電商或銀行詐騙電話事件頻傳,在醫療產業也有傳出病患接到捐款詐騙電話,或是繳費詐騙電話的情況,雖然不如電商詐騙事件的頻繁,但是也開始出現零星醫院的病患接到這類電話的情況。這也意味了,詐騙集團可能開始轉向瞄準醫療產業,醫院資安長今年也提高了對顧客資安事件的警戒,因此,這項風險今年首度進入了衝擊高發生機率也高的第一象限。

明年衛福部將進一步放寬遠距醫療的適用情境和範圍,也將全面推廣虛擬健保卡,這兩大措施都會進一步帶動醫院各類應用行動化的趨勢,但也讓來自行動應用的威脅程度升溫,在今年資安大調查中也可以看到,行動應用的攻擊威脅,即將進入第一象限,成了資安長得提前開始因應到高風險項目。

 企業資安風險圖製作說明  在iThome 2022年CIO暨資安大調查中,由企業自評各資安項目的兩項指標,一項是該項目對企業帶來的衝擊程度(衝擊極高和衝擊極低),另一項是這個項目未來1年的發生風險(極可能發生與極不可能發生),再換算成不同程度的量化數據來製圖。垂直軸是該項目對企業的衝擊,位置越往上代表衝擊越大,水平軸是企業未來1 年發生該項目的風險,位置越右,代表可能性越大。紅色文字的項目為今年發生風險明顯提高者。
 問卷說明  大調查執行期間從2022年7月1日到29日,對臺灣大型企業、歷屆CIO大調查企業、政府機關和大學的IT與資安主管,進行線上問卷,有效問卷416家,其中61.9%填答者為企業資安最高主管。
資料來源:2022 iThome CIO大調查,2022年8月

 相關報導  

熱門新聞

Advertisement