去年 9 月,传染病医生 Hana Akselrod 已经深陷 COVID-19 大流行的泥沼,这时又一场危机爆发了:黑客在乔治华盛顿大学医院的设备网络上部署了索要赎金的恶意软件(通常称为勒索软件)。Akselrod 和同事突然无法使用电子健康记录等促进快速高效护理的资源。与今年 5 月发生的科洛尼尔管道勒索软件攻击类似,医院系统的大部分关键基础设施戛然而止。
随着医院转为离线状态,工作人员回到了二十年前:就像 Akselrod 在医学院时期一样,医院不得不依靠纸质文件,并仔细检查计算机通常会修正的任何错误。这场危机不仅造成了不便,还危及生命。医院被迫转移救护车,因为不堪重负的工作人员无法接收新病人。此次泄露还干扰了紧急化验结果。例如,医科实习生通常可以刷新患者的病历,以便在重要化验结果到达时立即收到。在网络攻击之后,实习生们在各个楼层之间奔波,与实验室核实并向医生汇报。
Akselrod 解释说,此类延误可能代价高昂:如果化验结果显示 MRSA 等快速传播的感染,医生需要尽快知道,并在病情恶化前保持患者稳定。更复杂的是,快速 COVID-19 PCR 检测可以确定即将入院的患者是否可以共用房间或需要隔离。在 9 月份的危机中,一项沟通错误的检测结果导致 Akselrod 的同事意外暴露于冠状病毒。“在传染病(医学)中,实验室、医疗团队、护士和药房之间的快速沟通能力能够保障患者和团队的安全,并使我们能够快速治疗这些感染,这对于患者的治疗效果至关重要,”Akselrod 说,她最近被选为 GW 医学院联合会 COVID-19 应对负责人。
总而言之,此次事件影响了 Universal Health Services 系统(UHS)的 250 个地点。这对于大多数办公室工作来说都会带来头痛,但对于生命悬于一线的场所来说,尤其令人担忧。
攻击最脆弱人群
虽然针对医疗服务提供者的网络攻击早在2000 年代初就已出现,但该领域的勒索软件攻击在 2020 年几乎翻了一番。也许最广为人知的例子是,2017 年 WannaCry 勒索软件攻击英国国民医疗服务体系(NHS),影响了超过 80,000 家医院,导致手术取消并关闭了某些急诊科。根据英国网络安全公司 Sophos 的一项调查,去年超过三分之一的医疗组织表示他们曾遇到过勒索软件。攻击者的经济索赔急剧上升:在最令人震惊的例子中,爱尔兰的卫生服务系统今年 5 月遭受了近 2000 万美元的勒索(官员发誓不支付)。
此外,许多此类事件未被报道,因为医院仅在黑客访问受保护信息时才需要披露。2020 年,超过 1800 万美国患者记录被泄露。除了泄露个人 HIV 状况等敏感信息外,这些攻击还会浪费宝贵时间,甚至可能导致死亡。去年,德国检察官指责杜塞尔多夫一家诊所的事件导致一名妇女死亡。她曾患有需要立即治疗的动脉瘤,但在转到更远的医院后去世。出于类似原因,医院黑客攻击也与心脏病发作死亡相关。
网络犯罪增加的一个潜在解释是:医疗组织是一个诱人的目标。庞大的医疗保健系统可以将成千上万个通过有线和无线网络运行的地点连接起来。一旦通过像网络钓鱼邮件这样简单的方式渗透到网络中,黑客就可以在不同地理位置之间移动。
加州大学圣地亚哥分校的急诊医生和临床信息学家 Christian Dameff 表示,大多数这些攻击的发生仅仅是因为黑客扫描互联网以寻找易受攻击的系统进行攻击——根据现有信息,他们可能甚至不知道自己侵入了医院。他还担任加州大学圣地亚哥分校的网络安全医学主任,并敦促国会加强政府应对黑客威胁的努力。
事实上,勒索软件组织(很可能在俄罗斯和东欧开展业务)可能只是发现了渗透广泛网络的绝佳机会。Dameff 引用 NHS 事件作为无差别攻击的例子。该事件的犯罪分子还袭击了德国铁路公司和法国汽车制造商雷诺等公司。“我认为绝大多数攻击医疗保健机构的攻击都是无意的,”他说。“仅仅因为它们是医院并且照顾病人,它们并没有一些神奇的边界将它们与网络犯罪分子隔离开来。”
这些泄露事件通过利用该行业过去二十年的数字化推动而成功。最终,这场持续的技术革命旨在提高医生同时治疗更多患者的能力,Akselrod 表示她在日常工作中观察到了这一点。但它确实带来了缺点。
医疗保健的危险数字化革命
转向技术效率并不总是包含人员配备齐全的 IT 团队或严格的安全协议。例如,新的医疗设备需要数年时间才能获得 FDA 批准,因此可能附带过时的软件和操作系统,缺乏最新的安全机制。这使得勒索软件能够利用某些漏洞并禁用 MRI 等医疗成像设备。除了关闭机器,黑客甚至可以对其进行直接篡改。最近,德国医疗设备制造商 B. Braun 表示,其 IV 泵存在一个漏洞,可以使黑客远程更改药物剂量。
随着服务提供商拥抱云计算,这些危险可能会加剧,云计算可以将给定机构的众多设备连接起来,并促进更快的接管。“我认为我们将面临网络犯罪分子不再仅仅攻击单个设备并寻找它们,而是攻击关键的云基础设施以产生更大的影响,这可能非常令人担忧,”Dameff 说。
大型医疗保健提供商还拥有海量敏感的患者数据。事实上,2009 年的一项法律强制 Medicare 和 Medicaid 提供商采用电子健康记录——从而为全国各地的机构带来了新的安全风险。然后,这些数据可能在网上出售,黑客要求数百万美元的赎金才能将其归还。
尽管有明显的警告,医疗保健管理人员并不总是采取措施保护自己的工作场所。根据医疗保健信息和管理系统协会(HIMSS)的一项2018 年调查,40% 到60% 的这些组织不进行黑客攻击期间可能出现的技术故障的模拟。Dameff 解释说,部分原因是提供商已经有很多事情要做。COVID-19已引发广泛的员工倦怠,并摧毁了本已现金紧张的医院的预算。他补充说,即使组织确实寻找网络安全专家,国家也面临着由于各行业需求不断增长而导致的短缺。此外,HIMSS 报告显示,大多数接受调查的医疗组织将 6% 或更少的 IT 预算用于网络安全。
网络攻击只会加剧日益影响患者护理的紧急情况,包括气候变化和新发大流行病。安全网诊所和医院——它们提供医疗服务而无论支付能力——能够提供的针对这些危害的防御能力远不如富裕机构。Dameff 补充说,一些机构可能不得不在加强网络安全和购买 CT 扫描仪等挽救生命的设备来检测癌症之间做出选择。
通过与 HIV(以及最近的 COVID-19)患者合作,Akselrod 长期以来一直目睹财富和种族差异如何渗透到医疗保健中。网络攻击的脆弱性也不例外:在她医院的一名患者在去年的泄露事件中经历了手术延误,并最终因为无法支付延长住院期间的费用而放弃了手术。“网络威胁是否是许多新出现的威胁中的又一个,这些威胁以低收入人群为目标?”Akselrod 说。“在一定程度上是,因为系统性投资不足。在另一方面,这些人是个人层面最无力承担下一个威胁所产生的任何额外费用的群体。”
姗姗来迟的投资
Dameff 提出了高科技和低科技的解决方案来应对即将到来的网络危害浪潮。例如,医疗服务提供者可以对他们的网络进行分区,从而更难同时攻击大量关键技术。例如,医院可以将呼吸机等关键设备与计算机工作站分开,作为另一道防线。
此外,虽然用户可能会觉得有点恼人,但多因素身份验证可以保护员工在机构网站(常见入口点)上的帐户,从而阻止犯罪分子。同时,管理员可以准备员工通过定期模拟进行离线工作——这有助于建立可靠的纸质流程,以防电子健康记录和其他重要设备发生故障。
而且我们仍然不完全了解这些事件的程度。为了评估美国网络犯罪的全部范围及其影响,Dameff 设想建立一个全面的国家登记处,其中包括相应的死亡人数。
对 Akselrod 来说,医疗领域缺乏网络犯罪防范能力是更广泛问题的症状。就像新发大流行一样,人们更倾向于在危机发生后应对这些挑战,而不是在它们发生之前就着手解决。正如向预防医学的转变一样,她希望医疗服务提供者也能通过听取专家的意见,在网络攻击发生之前就做好准备。“我们拥有关于这些复合威胁的大量专业知识,但我们倾向于被动地使用这些专业知识——在危机已经发生之后,”Akselrod 说。“我们需要今天(甚至昨天)进行投资,为明天即将来临的下一场危机做好准备。”
