美国大力推进电子病历记录项目,医疗系统的病历档案全部联网,这为黑客们向医院下手提供了便利。大量的患者信息被窃取,个人利益严重受损。这也在提醒管理者:如何平衡医学创新和监管之间的关系,已经成为一个不可忽视的课题
2月初,黑客“黑”进好莱坞一家医院的电脑系统,将包括患者病历和个人信息在内的所有电子资料加密,以此索要上百万美元赎金。这已经不是黑客第一次找医院下“黑”手了。近年来美国医院遭黑客攻击案件频现,引起广泛关注。
医院进入紧急状态
2月5日一早,好莱坞长老会医学中心的工作人员发现,储存病患信息的电子数据资料库怎么都打不开。一开始,他们以为是电脑故障,但很快发现不对劲儿。
到了中午,这家拥有434张床位、近百年历史的医院乱作一团,侵入服务器的黑客在屏幕上留言:拿出9000个比特币,我就还你资料。
比特币是一种全球通用虚拟货币,可以兑换成大多数国家的货币。媒体估算,这次黑客的要价,换算成美元,约合340万至365万美元。
院方立即报警,并邀请计算机专家协助破案、破解密钥。但问题一时难以解决,医院不得不宣布内部进入紧急状态。
等候解锁时间,由于恶意软件攻击,电脑无法联网,计算机断层扫描和磁共振扫描等诊断无法开展,患者检查结果和病历无法查阅,甚至有媒体报道,部分危重患者不得不转院治疗。
整个医院被生生拉回到几十年前的状态:收治病人手续统统靠手写,病历医嘱靠手写,检查单和通知单全部只有纸质,信息共享只能靠打电话、发传真甚至递送手写单。更让人担忧的是,由于数据库内含病人联系方式、住址、信用卡号、医保号码等个人信息,一旦泄露出去,后果不堪设想。
日子一天天过去,洛杉矶警察局、联邦调查局和多路专家那里没有丝毫进展。按照院方说法,这次攻击系黑客随机选择,经过一番讨价还价,医院最后向黑客支付40个比特币(约合1.7万美元),拿到密钥。“我们要想重新恢复系统、恢复正常管理,最快、最高效的办法就是支付赎金、取得密钥,”医学中心院长艾伦·斯特凡内克发表声明说,“我们这么做是为了恢复正常运转,这最符合(医院)利益。”
为什么受伤的总是医院
好莱坞长老会医学中心是一种名为“勒索软件”的恶意程序受害者。这种软件恶名远扬,日益猖獗。专家介绍,这种恶意软件常以电子邮件附件、网页木马病毒等形式在网络上“广撒网”,平时深藏不露,一旦有人点击它藏身的电子邮件、社交媒体或其他网站链接,就会自动下载并运行,非正常加密用户数据,让用户无法正常使用,以此勒索钱财。支付形式目前以比特币等虚拟货币为主。
算上好莱坞长老会医学中心,今年头两个月至少有4家医院受勒索软件攻击。在美国,以医院为目标的黑客攻击案件近年来越来越多。2015年7月,加利福尼亚大学洛杉矶分校医疗系统遭遇网络袭击,旗下4家医院约450万人的私人信息可能存在安全隐患。虽然院方坚称尚无证据表明黑客已“获得某个个体的私人或医疗信息”,但医院还是向可能受影响的个人免费提供为期一年的身份防盗服务和信用监督保护。
《华盛顿邮报》分析卫生与公众服务部数据后发现,仅2015年3月,美医疗系统就遭遇了1100多次黑客攻击,逾1.2亿人利益受损。
为何黑客对医院青睐有加?专家认为,医院掌握的特有资源令不法分子垂涎三尺,而医院相对落后的信息安全系统又给了这些人可乘之机。
按照《基督教科学箴言报》的说法,医疗系统在黑客眼中简直就是个大金库,内有个人姓名、住址、联系方式、社会保险号码、银行账号信息、索赔数据和临床资料等海量信息。这些信息不只能拿到黑市上卖个好价钱、供人盗用身份,还能让人非法获取处方药、甚至骗取保险。一旦有人因此被窃取身份,小到寻医问药、大到医疗保险、信用记录都可能受影响,风险着实不容忽视。
美国知名网络安全研究机构波内蒙研究所数据显示,2014年医疗身份失窃影响了大约230万人的生活,比前一年上升21%,因此给受害者造成人均1.35万美元的损失。
长期报道网络安全的记者贾伊库马尔·维贾扬认为,由于美国大力推进电子病历记录项目,眼下全国医疗系统的病历档案统统联网,这为黑客们向医院下手提供了便利。而医院和保险公司的信息安全技术更新换代比较慢,安全意识又普遍较弱——服务器管理不设权限,设备不更改初始密码或设置过于简单,无线网络密码几乎人人能猜到……这样的例子比比皆是,黑客们才得以频频得手、日渐猖狂。
还有更多安全隐患
虽然迄今尚无报告显示黑客对医院的攻击造成病患伤亡,但不少业内人士呼吁,医院亟需加强数据安全工作,尤其在医疗设备上更要下功夫防范风险。
约翰斯·霍普金斯大学计算机学教授、网络安全专家阿维·鲁宾1月参加一个关于医学网络安全的大会时说,早在上世纪90年代,他参观东海岸医院时就发现不少医院计算机实验室密码保护过于简单,安全程序被随意更改,软件控制的药物调剂机器人缺少必要的保护程序。
“一旦(调剂药物的)软件出故障怎么办?要是有人攻击这个系统、导致药全都配错了怎么办?”鲁宾忧心忡忡地说。
眼下,美国不少医疗设备生产商开始和监管者一起,加强安全措施,防范网络袭击——
2013年,食品和药物管理局向医疗保健设备生产厂家发布网络安全备忘录,建议对方评估设备及相关网络安全;2014年,食品和药物管理局发布指导准则,要求医学设备上市前必须接受网络安全测试;2015年,食品和药物管理局联手国土安全部向医院发布警告,指出一种植入式药泵设计存在严重缺陷,能给黑客可乘之机;2016年1月,食品和药物管理局起草文件,要求设备生产商展开安全自检,同时允许第三方研究人员标注安全风险。
医学设备技术安全顾问斯科特·埃芬斯认为,如何平衡医学创新和监管之间的关系至关重要,但这一切不应以人的生命为代价。
埃芬斯说,虽然目前尚未发现有人蓄意针对医学设备发动网络攻击,但风险犹存。靠内部自省与外部监管不断完善是个漫长的过程,医院眼下至少还能做些补充防范措施,例如将安全风险最大的设备与外部网络断开,要求技术人员删除预设的安全凭证信息,加强无线网络安全,淘汰安全隐患较大的设备等。
本文转自d1net(转载)