美國網絡安全公司FireEye最近發表調查報告,指由去年十月初至今年三月尾,地下討論區內出現大量出售病人私隱資料的廣告。這當中包含可識辨個人身分的資料(PII)及受保護之健康資訊(PHI),如電郵地址、駕駛執照、郵政編號及醫療保險資料等,受害人則主要來自美國、英國、加拿大、澳洲及印度等地,而一宗涉及20萬病人資料的交易,索價亦不過是200美元。除此以外,亦有駭客放售醫療機構的登入資料,令人可自由進出醫療網絡,植入木馬程式,甚至橫向發展,感染不同醫療機構的系統。
據報告內容,來自中國的駭客團體 APT對醫療機構的癌症研究資料最感興趣。而今年四月初,多個中國駭客團體試圖向美國一家醫療中心的系統發動攻擊,偷偷潛入系統以接觸癌症醫療報告,專家們估計,此一舉動的背後,是因為中國醫療企業想了解美國治癌的最新發展,希望能搶先西方對手,將新藥物推出市場。
報告最後提出,隨著越多越多具備聯網功能的醫療器材會用於日常運作,而當中記錄的個人資料相當敏感,醫療體系有必要建立一套更完善的網絡安全標準,以面對日趨嚴峻的保安挑戰。
