生技醫療業的資安風險管理
大數據與互聯網應用加速了生醫產業在研發、製造與服務各階段的蓬勃發展,人類因此更容易取得前沿與精準的醫療資源,提升健康與福祉。
然而,隨著企業營運與網際網路產生密不可分的緊密連結,加諸國際對於個資隱私的重視日趨嚴峻,建置完善資訊安全系統以防止駭客惡意攻擊,已成生醫產業資安風險管理的首要之務。
為何生技醫藥企業是駭客攻擊的重點目標?
高價值的醫療數據與研發成果,致使生技醫藥公司成為駭客最炙手可熱的目標之一。駭客往往透過竊取營業秘密、勒索敏感個資、癱瘓電腦系統等方式攻擊,使組織面臨喪失智慧財產權、機敏資訊責任、提供錯誤數據或診斷意見等財務與法律上的風險。
生技醫療公司常見因資安問題造成的企業風險
- 醫療院所: 系統遭駭客攻擊,影響使用者安全、敏感個資外洩
- 生技業製藥業: 創新研發成果被竊、產線癱瘓造成營運中斷、客戶機密資料外洩
- 科技醫材: 產線癱瘓造成營運中斷、客戶機密資料外洩、系統遭害影響使用者安全
- 預防醫學: 創新研發成果被竊、產線癱瘓造成營運中斷、客戶機密資料外洩
- 綠能農業: 產線癱瘓造成營運中斷、客戶機密資料外洩
根據埃森哲公司的研究報告,自2019至2024年全球生醫產業將因資安攻擊遭受美金6,420億元的損失。資安事故已成「新常態」,如地震洪水一般無可避免地存在於組織的日常營運。企業必須挹注資源全力預防、實施緊急應變計畫,以移轉其可能發生的風險。
資安風險管理絕非僅是資安人員的責任,而須組織由上至下的跨部門協作。「預防」是資安管理第一步,亦是最重要的基礎工程。建置完善風險管理框架、確實執行防護措施、提升組織成員資安意識,能有效降低資安事故對企業造成的損害。
怡安作為全球資安風險管理先驅,建議生醫業者從六個面向著手:
- 制定危機應變與災後復原計畫
接受「資安事故的必然性」奠定資安風險管理的基石。建立營運持續與災後復原計劃,貫徹危機應變演練計畫,是降低資安事故損失的最佳策略。
- 提升組織成員資安危機意識
80%的惡意攻擊始於密碼設定疏失,企業必須強化員工資安意識,定期進行(每年至少一次)教育訓練,讓員工熟稔最新的資安攻擊手法,預防社交工程攻擊陷阱。同時建立高強度密碼規則和管制公司內的特權帳號使用者數量,記錄操作軌跡。
- 建置網路防火牆
駭客常利用釣魚郵件取得初級存取權限,藉以入侵組織網路後潛伏,伺機橫向移動攻擊高價值資產,如:資料庫伺服器或機密資訊。
建置網路防火牆可由三面向實施:
一、OT 環境與 IT 系統聯網分離,提升橫向移動困難度;
二、建立老舊作業系統或終止更新軟體(end-of-life, EOL)清單與退役時間表,以防攻擊者利用系統盲點滲入;
三、定期進行漏洞掃描和滲透測試,識別且實施漏洞修補流程。
- 落實定期備份資料
定期備份關鍵資料,並將備份資料離線儲存或存於與主網獨立的雲端,能實質預防勒索軟體或釣魚攻擊所造成的資料損失。使用託管式服務供應商(MSP)將備份過程自動化可以事半功倍。
- 施行多因素身份驗證(MFA)
多因素身份驗證(MFA)能保護企業機敏資料免受網路釣魚攻擊或帳戶盜用,特別是對遠端存取使用者、管理員權限帳戶與雲端管理者。
- 配置端點偵測及回應工具(EDR/XDR/MDR)
配置端點偵測及回應工具可以降低勒索軟體攻擊的風險;長期而言,對於事故調查和危機應變有很大助益。
完整全文已經於十月刊登在生策會網頁,如有相關需求或交流請洽本公司。