醫療資安連環爆，駭客瞄準病患個資：多層防禦刻不容緩

駭客攻擊方式多元，僅靠 EDR 防範無異於盲人摸象，難以掌握全貌，更無法有效抵禦持續變化的威脅。

根據Proofpoint統計，超過99%威脅仰賴「人為互動」觸發，成功的社交工程能誘使人員修改安全性設定、洩漏帳密、下載惡意檔案，甚至直接騙取金錢。 2015 年，美國醫療保險公司 Anthem 遭中國 APT 組織發動釣魚攻擊，造成史上第二大醫療資料外洩事件，導致近 8000 萬筆個資外洩，成為醫療產業的經典慘痛案例。
應對這類入侵手法，建議醫療機構盤點現有的電子郵件防護機制，是否涵蓋 URL/附件掃描、內容分析等功能，同時強化員工資安意識訓練，並導入「可疑郵件回報」通道，讓所有人都能參與聯防，降低風險。

隨著數位轉型與 GenAI 浪潮來襲，即使醫療單位未全面導入雲端，若未明確管控，員工仍可能私自使用雲端應用或 AI 工具。
根據Netskope統計，98% 醫療機構使用含 GenAI 功能的服務，不當使用可能導致機敏資料外洩，甚至淪為惡意程式的傳播平台。
若允許員工使用雲端服務，建議從 SASE/SSE 架構著手，強化雲端環境的管控。同時留意 DLP（資料外洩防護）對雲端機敏資料傳輸，防止機敏資訊被上傳至個人雲端或 ChatGPT 等生成式 AI。

「韌體」（Firmware）位於作業系統之下，是硬體與軟體溝通的橋樑，如 BIOS、UEFI 等。由於處於端點底層，EDR 不但難以偵測，反而可能被韌體反向控制。韌體一旦遭植入惡意程式，將對組織帶來重大風險，且通常無法透過重灌清除。 就在2025 年初，Eclypsium 發現 Illumina 的 DNA 定序儀存在嚴重韌體漏洞，駭客可藉此完全控制設備、持續潛伏，甚至使設備大量徹底癱瘓。
設備漏洞的修補更新須仰賴原廠提供。但醫療機構內部設備種類繁多、元件複雜，更新難度極高。建議定期進行資產盤點、導入韌體完整性驗證機制，並建立供應鏈設備的來源審查與安全標準，補足 EDR 難以覆蓋的盲區。

面對一波波針對醫療產業的攻擊浪潮，資安已不能只依賴防毒軟體或 EDR ，醫療機構若不從郵件、雲端到韌體等多個層面進行整體盤點，將會難以因應現代化的複雜威脅。
大鈞科技擁有多年資安顧問與建置實務經驗，能協助您評估、擬定最適的防禦策略，助您在變局中穩住醫療服務能量。若您正思考資安如何布局，歡迎與我們討論下一步行動。

參考資料

• 2025年2月馬偕醫院遭勒索軟體攻擊事件歷程總整理（持續更新中） | iThome
• 2025年3月彰化基督教醫院遭勒索軟體攻擊事件歷程總整理（持續更新中） | iThome
• 中壢長慎醫院傳出遭駭客組織NightSpire攻擊，駭客聲稱竊得800 GB資料 | iThome
• Healthcare Cybersecurity: The Biggest Stats and Trends in 2024 - Magtech Solutions
• Proofpoint’s Annual Human Factor Report Details Top Cybercriminal Trends: More than 99 Percent of Cyberattacks Need Humans to Click | Proofpoint US
• 美國保險業者Anthem被駭，近8000萬筆資料外洩 | iThome
• Netskope Threat Labs Report: Healthcare 2025 - Netskope
• Genetic Engineering Meets Reverse Engineering: DNA Sequencer's Vulnerable BIOS - Eclypsium | Supply Chain Security for the Modern Enterprise