恐怕谁都没料到,2020年会以这样的方式打开,爆发新型冠状病毒感染肺炎疫情,国家启动一级防疫应急措施,举国防疫救援,高铁停运、自我隔离、假期延长、远程办公……中华民族面临严峻的考验。
但是,我们面对的不仅仅是新冠病毒
近日,360安全大脑捕获了一例黑客组织利用新冠肺炎疫情相关题材投递的攻击案例,攻击者利用肺炎疫情相关题材作为诱饵文档,对抗击疫情的医疗工作领域发动APT攻击。
360方面猜测,黑客组织如此丧尽天良的对我国医疗机构发动定向攻击是有原因的:
1.它们为了获取最新最前沿的医疗新技术;
2.它们为了进一步截取医疗设备数据。为打赢这场异常艰难的疫情之战,我国投入了重大的人力、物力、财力资源,其中尤其在医疗设备上更是重点,所以该组织此次发动攻击,能进一步截取我国更多的医疗设备数据信息;
3.扰乱中国的稳定,制造更多的恐慌。
如果说这次攻击只是网络安全世界的一个小小的缩影,那么,它提醒了我们一个事实:扛起生死的医疗机构,面对网络安全时,却更加脆弱。
医疗机构面临的一些安全隐患
1、勒索病毒
医院和一些医疗机构的重要性成为其“脆弱”的主要原因。一旦医院受到攻击,短暂的系统停摆都会造成重大的灾难,关乎患者的性命,正因为如此,医院一直是勒索软件的主要攻击目标之一,因为他们不敢不支付赎金。此外,随着物联网渗透到医疗领域的各个层面,暴露在联网设备上的数据也为恶意分子发起攻击提供了更多的可能,而医疗数据价值高、勒索金额巨大也吸引着恶意分子。
目前,在新冠病毒感染患者的确认、治疗关键时期,一旦勒索病毒入侵医院,发生干扰CT扫描、窃听诊疗信息或劫持系统的情况,可能造成难以挽回的伤害。
2、挖矿木马
这是一类利用漏洞入侵计算机,并植入挖矿软件以挖掘加密数字货币的木马。挖矿木马的运行不仅会导致计算机CPU占用明显增加、系统卡顿,甚至会使业务服务无法正常使用。另一方面,挖矿木马为了不被清除,还会通过防火墙配置、修改计划任务等方式进行安全对抗,再次影响业务的开展。
在《2019健康医疗行业网络安全观测报告》中,被观测的15339家医疗健康相关单位中近400家单位已经存在挖矿木马。其中,此次疫情重灾区湖北省,在报告中“医疗行业网络安全现状”的风险级别为“较大风险”。
图:各省存在僵木蠕等恶意程序的单位占比情况——《2019健康医疗行业网络安全观测报告》
3、其他安全风险
根据以往针对医疗行业的网络攻击事件,医疗行业还存在网络空间资产端口开放较多、外网电脑存在高危漏洞、“零信任”思想薄弱等问题,为医疗业务的连续性开展带来困扰。2019年,安全机构排查多起在一个地区内,多家医院同时感染勒索病毒导致系统瘫痪的事故原因时发现:这些医院的内部网络安全建设都还说得过去,但对于来自医保网、卫生专网等专业网络中的信息,则是无条件信任的,没有设置任何防护。因此,一旦一家医院被入侵,攻击者再通过这些专网入侵其他医院,就变得易如反掌了。
在万物互联的时代,任何一个设备、任何一个应用、任何一个用户,都有可能是伪造的、恶意的、不可信的。这在技术上叫做“零信任”。
加强基础和安全保障
在国家卫健委办公厅发布的关于加强信息化支撑新型冠状病毒感染的肺炎疫情防控工作的通知(国卫办规划函〔2020〕100号)中,提到了“加强基础和安全保障”。
在加快基础网络升级改造,保障医疗信息系统平稳运行,确保疫情防控指挥体系稳定畅通的同时,也要加强网络信息安全工作,以防攻击、防病毒、防篡改、防瘫痪、防泄密为重点,畅通信息收集发布渠道,保障数据规范使用,切实保护个人隐私安全,防范网络安全突发事件,为疫情防控工作提供可靠支撑。
医疗机构的安全隐患主要在于端口漏洞和远程登录、数据库、FTP 等敏感服务。因此,在日常管理上,医疗机构一定要针对内网资产存在的高危漏洞、弱口令、开放的高危端口等情况,及时进行补丁修补,增强密码强度,并且尽量关闭不必要的服务端口,此外,定期对当前医疗信息化安全系统进行全面体检,选择专业的医疗安全解决方案也是有效的安全保障手段。