医疗健康领域的网络安全:CSIRT CeZ团队揭示了什么?

本文深入探讨了波兰医疗健康领域面临的网络安全挑战,CSIRT CeZ团队的工作内容,医院网络安全现状分析,以及关于漏洞扫描、威胁追踪和跨团队协作的技术细节。

Cyberbezpieczeństwo w ochronie zdrowia: co zdradził nam zespół CSIRT CeZ?

Wprowadzenie

在2025年9月24日举行的CSIRT CeZ会议上,Sebastian Jeż代表我们出席。Sebastian提出的问题揭示了CSIRT CeZ自2023年12月成立以来所面临挑战的规模。

根据多份报告,由于地缘政治原因,波兰在欧盟国家中遭受的网络攻击数量最多。仅在医疗健康领域,截至8月底已记录946起网络安全事件——几乎与2024年全年相当。因此,CSIRT CeZ作为健康领域唯一的行业网络安全团队,每天都在支持医疗机构应对日益增长的威胁。

今年全球医疗健康领域数据泄露的平均成本计算为742万美元[1]。

Czym zajmuje się CSIRT CeZ?

CSIRT CeZ是与CSIRT KNF并列的两个专注于特定行业(此处为医疗健康)网络安全的团队之一。该团队每周工作七天,监控漏洞、发布威胁警告、支持机构处理事件、开展教育并为多个受众群体定期组织培训。

CSIRT CeZ的主要职能:

  • 应对威胁:分发警告、发布信息和建议 (仅在2025年第一季度,就检测并描述了医疗健康机构IT基础设施中的120多个漏洞:包括医院、初级保健诊所、专科门诊等)

  • 通过发布专业指南和文章进行教育

  • 在组织的研讨会中培训——已培训超过1300名医疗机构工作人员

  • 接收和处理安全事件报告

  • 根据报告事件提供相应支持

“网络罪犯在我们最意想不到的时候发动攻击。因此CSIRT CeZ每周工作七天,以支持医疗机构构建数字韧性。我们的目标不仅是响应,更重要的是预防,即网络安全领域的预防措施。"——CSIRT CeZ全权代表、电信信息系统运营部主任Tomasz Jeruzalski强调。

Diagnoza cyberodporności szpitali: wciąż wiele do zrobienia

波兰医疗健康领域报告数量之高并非偶然。CSIRT CeZ在医院进行的分析结果[2]显示,许多医院仍未实施关键安全措施和程序:

  • 60%的实体根本不监控出现的漏洞
  • 不到60%的单位执行定期备份和恢复测试
  • 近9%缺乏基本保护机制,如防病毒软件、EDR/XDR系统(终端设备和网络威胁分析)或防火墙
  • 多因素认证/多步登录(MFA)仍未普及——在实体中的实施是零散的,这仅创造了安全性的错觉

Niektóre z pytań jakie zadaliśmy…

与CSIRT NASK和其他国家团队的合作 这是Sekuraku/Securitum也密切关注的领域——我们定期向各种CSIRT团队报告漏洞,这些漏洞经常涉及CSIRT CeZ的工作范围。

回答: 日常保持联系——使用专用通信工具,利用动态通信路径。对于严重事件,立即建立联合作战室,持续协调行动和决策。

归因问题 Sebastian还询问了归因问题——CSIRT CeZ是否指出攻击背后是谁。

回答: 团队进行入侵后分析和威胁追踪,研究攻击技术和向量,但不进行公开归因。结论主要用于内部操作模式和与其他CSIRT团队的合作。

基础设施扫描:边界还是LAN? 回答: 目前团队主要执行网络边界的漏洞扫描,即对外暴露的服务。LAN扫描尚未进行——这需要额外的法律规定并带来一系列其他问题。但未来不排除CSIRT会扩大其活动范围。

CSIRT CeZ沿攻击链提供的支持范围 另一个问题涉及CSIRT CeZ沿攻击链提供的支持范围——从检测到威胁的第一个迹象,到事件处理,再到入侵后分析。

回答: 团队代表解释说,CSIRT CeZ可以在每个阶段支持机构——无论是通过快速预警和咨询,还是在攻击期间进行分析,或事件后提供建议。目标不仅是限制攻击影响,还包括为未来加强数字韧性提供结论和建议。

Podsumowanie

照片中从左至右:Sebastian Jeż - Sekurak/Securitum代表,Jeremi Olechnowicz - CSIRT CeZ经理,dr Tomasz Jeruzalski - 电信信息系统运营部主任、CSIRT CeZ全权代表,Mikołaj Dreger - CSIRT CeZ,Sebastian Bukowski - 安全部门总监,Bartosz Borysewicz - 安全部门副总监。

照片中还有电子健康中心新闻发言人Tomasz Kulas及会议其他成员。

~Sebastian Jeż

[1] 2025年IBM"数据泄露成本"报告 [2] 今年由CSIRT CeZ实施的研究

评论部分

wk - 2025年9月29日 | 上午9:13

目前我还不太理解不进行网络扫描的CSIRT理念。根据描述,这听起来像纯咨询机构,但我可能错了。也许你们可以采访一些深入参与其活动的人?比如医院如何回应他们,阻力在哪里,根据数据拥有"基本保护机制"的91%医院是同时拥有还是单独拥有(例如只有防病毒软件,只有防火墙等)。安全测试是只针对办公部分,还是也包括OT系统(医疗设备)。总的来说,这将是一个非常有用的CSIRT,但我是第一次听说它,有时我看到了医院的安全状况(这不是积极的印象)。哦,还有,除了医院之外的其他医疗机构呢。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次