近日,华盛顿地区最大的医疗保健机构——MedStar Health遭到网络攻击。相关安全专家和医疗官员认为此事件预示着,医疗服务和诊疗数字化将面临日益严峻的安全危胁,而且到目前为止但该领域尚未做好应对相关问题的准备。
多年以来,医疗健康领域一直将保护患者数据安全作为首要任务,但包括MedStar在内的多个美国医疗机构遭到黑客攻击的事件表明,医疗数据安全仍然存在严重弊端:对于众多依赖电子系统来协调护理,传达重要健康数据、避免用药错误的医疗机构来说,一旦黑客发动攻击,患者的健康岌岌可危。
在科学技术的不断更迭下,医疗机构追逐创新已逐渐成为习惯,但现实让它们迅速意识到,保护患者数据安全、确保机构系统免受黑客攻击尤为重要。数字化时代的到来对历来只将小部分预算用于网络防御的医疗机构提出重大挑战:在数字化建设的过程中,医疗机构只有不断提升医护人员对网络安全的防范意识、夯实技术系统,才有能力应对黑客层出不穷的“花式攻击”。
“数字化建设”为何给医疗机构频频“招黑”?
1. 防护机制不够完善
医疗行业是一个相对保守的行业,相对于其他行业(如银行和IT业)来说,它的安全保障机制仍不够成熟。波士顿贝思·伊斯雷尔女执事医疗中心的首席信息官John Halamka表示,目前金融服务公司将预算的约三分之一用于提升IT能力,而医院在这方面的支出却只有总预算的2%至3%。
2. 数据所涉及的利害关系巨大
医院常常部署电子系统用来避免错误,医护人员也需要依靠医疗数据进行具有时效性的、性命攸关的工作。要是没有计算机系统,药剂师就无法轻松查看患者的化验结果、查询患者服用的其他药物,或者在给药之前搞清楚患者可能有什么过敏症。管理药物的护士也无法扫描药物和患者的腕带,作为确保正确给药的最后一道核查。化验结果只存在于患者纸质档案中时,繁忙的医护人员可能会意外导致化验结果丢失。
2014年4月曾遭到黑客组织Anonymous攻击的波士顿儿童医院的首席信息官Daniel Nigrin说:“近几个月的现状表明,医疗健康领域已经迅速成为黑客攻击的目标。受到攻击后,真相令人震惊——来自黑客的这些攻击不仅仅获取能够获取患者数据,甚至还会破坏医疗系统的日常运营。”
在短短的几周时间内,全美已经有多家医疗机构受到黑客攻击,在攻击事件愈演愈烈的同时,黑客们也变得更加狡猾、更加猖獗。
MedStar连锁医疗集团是巴尔的摩-华盛顿地区最大的雇主之一,旗下拥有10家医院以及250家诊所及其他医疗网点。在受到黑客攻击后,虽然其发言人Ann Nickels女士拒绝详细透露这家医院遭到了哪种软件攻击,但仍有几名员工表示,他们看到了“勒索软件”的内容:除非受害者用比特币支付赎金,否则这种软件让受害者无法使用系统。Medstar方声称:“目前没有任何迹象表明数据离开了我们的系统,也没有任何患者的隐私受到了侵害。此外,我们也没有交纳任何类型的赎金。”周五下午,MedStar在其发布的最新声明中表示,目前系统90%的功能已经恢复。
3. 机构被迫妥协,助长黑客“威风”
虽然“勒索病毒”的出现在网络安全领域已经不是什么新鲜事,但网络安全专家和联邦调查局的数据表明,勒索软件仍然层出不穷,且威胁到了众多行业。在2014年的九个月内,联邦调查局接到了1838起关于勒索软件的投诉,估计受害者损失超过2370万美元。次年,它接到了2453起投诉,受害者损失2410万美元。联邦调查局表示无法容忍支付赎金的行为,但不得不承认许多公司面对这样的状况通常都会面临艰难抉择,甚至被迫妥协。
Fidelis Cyber security首席安全官Justin Harvey表示,黑客进行勒索后得逞会让他们越发大胆,这样发展下去,美国的关键基础设施岌岌可危。“我无法就美国联邦航空局和所有电网是否符合要求发表评论。但现状表明,一旦此类机构的安全保障不符合要求,就会面临严重问题。”
面对高科技“黑子”,医院如何应对?
某网络安全研究部门安全推广经理Craig Williams表示,可观的获利是导致勒索软件使用量呈井喷势头的主要原因。他说:“恶意软件行业瞄准勒索软件的真正原因是因为勒索软件的利润完全超过了其他类型的犯罪活动。”目前,黑客入侵系统的方式通常是借助网络钓鱼攻击(说服毫无戒心的员工点击电子邮件中的链接或附件),或者找到网络的安全漏洞。Williams还说,没有全职网络安全专家的公司难以解决在网络安全方面遇到的问题,也很难随时跟上最新的补丁。因此建立可靠的网络防御机制固然重要,但提升机构内员工的警惕性也非常关键。
专家们表示,目前遭受到的黑客攻击似乎来自东欧,但很难说清究竟是应该由一个团伙对此负责。但让人担忧的是,随着黑客攻击逐渐受到广大媒体的关注后,可能会激发更多的模仿者使用同样的手法攻击其他易受攻击的网络。
目前,关于MedStar具体情况的详细信息(包括可能使用了哪种版本的勒索软件、它如何潜入系统)仍在调查中。联邦调查局发言人拒绝透露包括勒索软件类型在内的任何细节,只表明联邦调查局“意识到了这起事件,正在调查此事的性质和范围。”