昂貴的一課 從Change Healthcare勒索軟體攻擊學習

2023年2月美國Change Healthcare遭遇一次嚴重的勒索軟體攻擊，這突顯出醫療產業在網路安全方面的巨大脆弱性。攻擊發生後，全美國的醫療保險理賠處理陷入混亂，診所、藥局和病患無法完成事先授權的處方或醫療治療。由於系統被迫關閉，Change Healthcare負責處理的醫療服務支付流動也因此中斷，對整個醫療體系造成嚴重影響。

編譯／Cynthia

2023年2月美國Change Healthcare遭遇一次嚴重的勒索軟體攻擊，這突顯出醫療產業在網路安全方面的巨大脆弱性。攻擊發生後，全美國的醫療保險理賠處理陷入混亂，診所、藥局和病患無法完成事先授權的處方或醫療治療。由於系統被迫關閉，Change Healthcare負責處理的醫療服務支付流動也因此中斷，對整個醫療體系造成嚴重影響。

攻擊重創小型醫療機構

此次攻擊對小型醫療診所和藥局的影響尤為嚴重，許多機構因收入損失而面臨破產風險。事件可能暴露約三分之一美國公民的個人資料，導致母公司UnitedHealth Group（UHG）損失超過8.72億美元（新台幣約281.92億元）。UHG不得不提供加速支付和免息貸款給數千家供應商，並投入大量資源重建Change Healthcare的系統。

更多新聞：帳號劫持超越勒索軟體 成企業最大威脅

勒索軟體災難的8個重要教訓

1、多因素驗證（MFA）的重要性：Change Healthcare的Citrix入口未使用MFA，使得攻擊者能夠輕易進入系統。這顯示即使是最基本的安全措施也能大大減少攻擊風險。

2、系統分段：攻擊者在系統內部橫向移動，顯示Change Healthcare缺乏有效的系統分段。透過分段可以阻止攻擊者在網路上自由移動，減少攻擊範圍。

3、併購活動需重視網路安全盡職調查：UnitedHealth Group（UHG）收購Change Healthcare後，未立即統一安全政策，為攻擊者提供漏洞。併購後應進行全面的安全審核和評估。

4、不應自行承擔風險：Change Healthcare選擇自行承擔網路風險，而未購買網路保險。這種做法未能實施足夠的安全措施。

5、監控入侵行為：攻擊者在Change Healthcare系統中潛伏九天，顯示需要加強持續監控和早期偵測系統入侵的能力。

6、支付贖金的兩難：UHG支付大額贖金，但攻擊者未履行承諾，進一步揭示支付贖金的風險和倫理問題。這種做法可能會鼓勵更多勒索攻擊。

7、醫療產業威脅日益增加：醫療機構成為主要目標，因其敏感資料和高度依賴系統。這次攻擊凸顯醫療機構需要加強網路安全措施。

8、勒索軟體持續威脅：雖然ALPHV詐騙組織解散，但勒索軟體市場依然活躍。勒索軟體攻擊數量持續增加，成為CISO最關注的威脅之一。

從教訓中學習

Change Healthcare的勒索軟體攻擊事件是嚴重的警訊，顯示醫療產業必須加強網路安全，從多因素驗證到系統分段，再到併購後的網路安全盡職調查，每步都是關鍵，應確保適當的網路保險及高標準的安全措施，並建立強大的監控和應急機制。

資料來源：CSO Online

這篇文章 昂貴的一課 從Change Healthcare勒索軟體攻擊學習 最早出現於 TechNice科技島-掌握科技與行銷最新動態。