思想坦克》駭客組織威脅我國醫療體系所須的應變策略
2025年2月,馬偕醫院遭受駭客組織CrazyHunter的勒索軟體攻擊(以下簡稱: CrazyHunter攻擊案),導致系統加密並影響醫療運作。僅一個月後,彰化基督教醫院亦偵測到類似的駭侵手法。隨後,該駭客組織更在網路論壇欲販賣逾 1600 萬筆病患個資,甚至有詐騙集團聲稱用新台幣328萬元高價收購。衛福部迅速成立緊急應變小組,並聯手數位部發布《醫院面對勒索軟體攻擊的應變指南》。
再者,據媒體報導,國安會為落實賴總統政見,將在全社會防衛的基礎上打造國家資安韌性,即將正式公布《國家資通安全戰略2025》。
因此,為因應此威脅,本文從政策面、技術面及管理面進行分析,並提出應變策略,以供《國家資通安全戰略2025》及醫療機構參考及政策推動與落實。
一、政策面分析與策略
去年(2024)2月,美國醫療產業亦遭受駭客組織ALPHV BlackCat攻擊,針對 UnitedHealth Group 子公司Change Healthcare,加密並癱瘓其關鍵系統,導致美國醫療體系大規模癱瘓(以下簡稱ALPHV BlackCat攻擊事件)。主因,Change Healthcare 每年處理150億筆醫療交易,影響全美約三分之一的病患紀錄,衝擊醫療保險審核、處方藥申請與醫療費用支付等業務,並外洩1億筆病患數據,創下美國醫療史上最大數據洩漏事件。
FBI調查發現該駭客組織是全球第二大「勒索軟體即服務」供應者,能提供勒索病毒等惡意軟體予其他駭客組織;再者,此駭客組織所利用ScreenConnect驗證繞過漏洞(CVE-2024-1709)等技術,執行「核心供應鏈攻擊」策略,讓第三方供應商成醫療業最大資安風險破口,影響全國數千家醫療機構,凸顯醫療供應鏈資安威脅逐步升高。
他山之石可以攻錯,故本文將借鏡美國國土安全部網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)及美國衛生及公共服務部(United States Department of Health and Human Services, HHS)所提出的相關資安應變政策,供我國參考。
1.從政策面強化醫療資安基礎建設及聯防
該月(2024年2月)FBI發布官方技術面的調查報告,藉由分享情資與資安聯防體系,降低再次入侵可能性。美國健康產業基礎建設協調委員會(HSCC)所成立「資安工作小組(CWG)」,更發布「健康產業資安戰略計劃(2024-2029)」,除強調確保醫療供應鏈資安韌性的重要性外,亦說明執行資料隱私保護及敏感個資去識別化的重要性。
資安工作小組(CWG)是2019年由醫療相關產業組成「健康產業基礎建設協調委員會」(Health Sector Coordination Council, HSCC),所成立資安工作小組(Cybersecurity Working Group, CWG),協助受監管的醫療保健組織及相關行業協會等單位,建構資安聯防量能,故所公布的「健康產業資安戰略計劃 (2024-2029)」,將做為後續醫療相關組織提升資安量能:
(1)強化網路韌性:強調資安是病人安全的核心要素。
(2)保障數位健康基礎設施:確保醫療設備及資訊相關系統符合「安全設計」原則。
(3)提升風險管理:加強對第三方醫療供應商的資安監控與管理。
(4)加強資料隱私與保護:確保病患個資、醫療紀錄,及相關智慧財產權及研究數據的安全性,及落實個資去識別化等防護機制。
(5)發展醫療資安專業人才:提出醫療資安人才培訓計畫,弭補資安人力短缺問題。
(6)推動公私部門合作:促進醫療機構、產業與政府間的合作,共同應對網路威脅。
(7)建立緊急應變機制:醫療體系應制定快速應變計畫,以減少資安事件的影響。
2.從管理及技術面降低醫療體系的資安風險
ALPHV BlackCat攻擊事件發生後,當月底聯邦調查局(FBI)、網路安全和基礎設施安全局(CISA),以及衛生與公眾服務部(HHS)發布聯合網路安全告警 (This joint Cybersecurity Advisory, CSA),以分享相關的已知入侵指標(Indicators of Compromise, IoC)及攻防的戰術、技術與程序(Tactics, Techniques and Procedures, TTPs),供醫療體系及資安公司建立資安防護機制,降低被入侵及感染勒索病毒之風險。
FBI及相關單位從技術面破壞BlackCat的運營,包括下架暗網(如洋蔥路由(The Onion Router))及相關洩密網站。
但因該駭客組織仍然存在,所以美國國務院提供高額懸賞檢舉獎金,希望能追查此駭客組織。
二、技術面分析與防護策略
依據我國知名資安企業及相關研究,所建構CrazyHunter攻擊案的MITRE ATT&CK分析框架(詳見下表1),了解駭客可能利用釣魚郵件當作入侵點,再使用驅動程式掩護,而執行權限提升,進而利用Active Directory (AD)群組原則物件(GPO)的設定功能,快速散播勒索軟體及竊取敏感個資。
就上述駭客入侵模式,相關組織若遭遇類似事件,除參考《醫院面對勒索軟體攻擊的應變指南》外,依據上述知名企業及相關單位分析,建議資安技術與管理應重視:
(1)建立DNS保護性措施:在連線之前封鎖惡意網址(或網域),是防止勒索軟體感染的最簡單、最有效的方法,但因惡意網址變動太快,故需要定時接收情資,修改組態控管及阻擋機制。
(2)網路分段:落實核心系統應的網段管理措施,例如使用防火牆等方式區分核心網段,降低惡意程式橫向移動之風險。
(3)備份與復原機制:建立離線備份,並確保備份數據完整性與異地存放。
(4)建立AD (Active Directory)權限安全管理機制:定期審核AD權限變更、強制執行多因素身份驗證機制,並監控異常群組原則物件(AD GPO)修改。
(5)導入端點防護與異常偵測模組:部署 EDR/XDR(端點偵測與應變)等端點防護系統,以即時監控異常行為。
(6)資安演練與紅隊測試:定期執行滲透測試(Penetration Testing),及模擬演練勒索軟體入侵程序,以強化資安應變能力。
三、管理面分析與政策建議
依筆者多年參與資安政策制定,及協調資安事件調查與稽核經驗,經觀察發現,我國醫療機關(構)依資安管理法,規模可分為A至E級,具規模的A至C級醫院普遍面臨資安人力與經費不足的問題,而存在極高的資安風險:
A 級醫院:雖具備資安團隊,但應變能量有限,仍需外部專家協助。
B 級醫院:資安團隊人數少,資安監控與防禦能量不足。
C 級醫院:有專責資安人員,但難建立完整資安團隊,資源極度有限,易成為駭客目標。
1.提高資安經費:建議衛服部對於醫療機構的相關補助案中,須特別規定資安經費項目,且須專款專用,達成每年提升的目標。
2.提升資安職系人員的質與量:建議衛服部對醫療院所設定,維持醫院系統安全維運,所需的資安人力比重,例如:病患服務人數/資安人力的比重。
3.落實資料隱私與保護:確保病患個資、醫療紀錄,及相關智慧財產權及研究數據的安全性,及落實數發部所公布的「隱私強化技術(Privacy Enhancing Technologies, PETs)」等防護機制。
4.升級醫療資安聯防量能:建議我國應參考美國 HSCC 資安工作小組(CWG)架構,成立「全國醫療資安聯防中心」(NHCC)的經驗,衛生福利部資安資訊分享與分析中心(H-ISAC)整合醫療機構的資安資源,邀請國內資安廠商、資安相關法人、資安專家或學者,成立醫療資安聯防與應變小組,派員駐點輔導醫療機關構,以升級醫療資安聯防量能。
5.強化國際合作以共同打擊APT駭客組織:我國的國安及檢警調系統應強化與美國FBI等相關組織合作,從技術面破壞黑帽駭客組織運營,及下架暗網中的洩密個資。