今天是病毒来袭的第49天,武汉封城的第26天。我们经历了高铁停运、自我隔离、延长假期、远程办公……1月30日晚,世界卫生组织(WHO)宣布将新型冠状病毒疫情列为“突发公共卫生事件”国际关注”(PHEIC)。中国抗击疫情再次进入小高潮。但我们不仅仅是在与病毒打交道。前几天,看到这样一起APT攻击事件:360SecurityBrain抓拍到一个APT攻击案例,主题是肺炎疫情。执行宏,下载后门文件并执行。比以往更令人愤慨的是,将网络攻击的手段强加于在抗击疫情中不敢停下脚步的医疗工作领域。如果说这次攻击只是网络安全世界的一个小缩影,那么它提醒我们,生死攸关的医疗机构更容易受到网络安全的影响。安全隐患一旦发现“水坑”,所有的捕食者都会蜂拥而至,因为那里会有它们的猎物。1、勒索医院和部分医疗机构的重要性成为其“漏洞百出”的主要原因。医院一旦被攻击,一个短暂的系统中断就可能造成大灾难,关系到患者的生命安全。正因为如此,医院一直是勒索软件的主要目标之一,因为他们不敢支付赎金。此外,随着物联网渗透到医疗领域的各个层面,连接设备上暴露的数据也为恶意行为者发动攻击提供了更多可能性。医疗数据的高价值和巨额勒索也吸引了恶意分子。据了解,2018年以来,我国医疗系统遭受攻击的频率呈明显上升趋势。中国医院发生多起勒索软件事件。攻击者侵入医院信息系统,导致部分文件和应用程序被病毒加密破坏,影响医院正常运营,患者无法正常接受治疗。当前,在新型冠状病毒感染患者确诊和治疗的关键时期,勒索病毒一旦侵入医院,可能会干扰CT扫描、窃听医疗信息、劫持系统,造成无法挽回的损失。2、挖矿木马挖矿木马是一种利用漏洞侵入计算机,植入挖矿软件来挖取加密数字货币的木马。2018年7月,腾讯御见威胁情报中心检测到多家医院服务器被黑。攻击者暴力破解医院服务器的远程登录服务,然后利用云共享文件功能下载各种挖矿木马,挖取假币。导致医院业务系统性能下降,速度变慢,从而错过了患者诊疗的黄金时间。医院的“业务”是什么?救死扶伤。挖矿木马的运行不仅会导致电脑CPU占用率大幅上升、系统卡顿,甚至导致业务服务无法正常使用。另一方面,挖矿木马为了不被清除,还会通过防火墙配置、定时任务修改等方式进行安全对抗,再次影响业务开展。在《2019健康医疗行业网络安全观测报告》,在观察到的15339家医疗卫生相关单位中,已有近400家存在挖矿木马。其中,在疫情重灾区湖北省,报告中《医疗行业网络安全现状》的风险等级为“较高风险”,即威胁种类较多、攻击频率高、安全隐患多。报告还对各省份单位的僵尸、蠕虫等恶意程序占比进行了对比分析,湖北省也排名最高。图:各省存在僵尸、蠕虫等恶意程序的单位比例——《2019健康医疗行业网络安全观测报告》医疗行业网络安全隐患不是废话。在挖木马消耗计算机资源和医疗设备资源的背景下,甚至不排除此类网络攻击造成延误诊治的可能。3、其他安全风险根据以往针对医疗行业的网络攻击,医疗行业还存在网络空间资产开放端口、外网计算机存在高危漏洞等问题,给医疗服务的持续发展带来困扰.加强基础和安全没有人可以独自幸免于难。新型冠状病毒的阴影下,也有网络恶意分子的威胁,但步步为营,我们终将胜利!国家卫健委办公厅在《关于加强信息化支持新型冠状病毒感染的肺炎疫情防控工作的通知》(国卫办规划函〔2020〕100号)中提到,“加强信息化建设基础和安全保障"。在加快推进基础网络升级改造、保障医疗信息系统平稳运行、保障疫情防控指挥系统平稳运行的同时,还要加强网络信息安全工作,重点防范攻击、病毒、篡改、瘫痪、泄密等,畅通信息采集和发布渠道,保障数据规范使用,有效保护个人隐私和安全,防范网络安全突发事件,为疫情防控提供可靠保障。医疗机构的安全风险主要存在于端口漏洞和远程登录、数据库、FTP等敏感服务。因此,在日常管理上,医疗机构要及时修补修复高危漏洞、弱口令,开放内网资产高危端口,加强密码强度,尽可能关闭不必要的服务端口。此外,定期对现有的医疗信息安全系统进行全面体检,选择专业的医疗安全解决方案也是一种有效的安全保障手段。
