想象一個場景：你正躺在手術(shù)臺上，醫(yī)生和護士們都已經(jīng)消完毒，換好無菌手術(shù)服準備進行手術(shù)，此時醫(yī)院的數(shù)字化系統(tǒng)遭到勒索組織的攻擊，關(guān)鍵的數(shù)字化系統(tǒng)已經(jīng)被加密，不少手術(shù)設(shè)備直接無法再使用。此時，勒索攻擊者開出了解密系統(tǒng)的贖金，醫(yī)院可以選擇不支付贖金。但對于急需手術(shù)的病人來說，無異于是一場“謀殺”。

在數(shù)字化道路上狂奔了十年的醫(yī)療行業(yè)，也許正在成為勒索組織眼中一個裝滿黃金的保險箱。Obrela最近的一項調(diào)查發(fā)現(xiàn)，81%的英國醫(yī)療組織在2021年遭受了勒索軟件攻擊。此前某醫(yī)療機構(gòu)CEO就曾表示，“除了自然災害外，網(wǎng)絡(luò)安全是診所面臨的頭號風險?！?021年，愛爾蘭全國衛(wèi)生系統(tǒng)遭受勒索軟件攻擊，其相關(guān)負責人表示恢復成本可能超過6億美元。而《醫(yī)療行業(yè)勒索病毒專題報告》的數(shù)據(jù)顯示，我國有247家三甲醫(yī)院檢出了勒索病毒，以廣東、湖北、江蘇等地區(qū)檢出勒索病毒最多。

在2022年最后的一個月，我們觀察到勒索組織對于醫(yī)療機構(gòu)的攻擊變的更加頻繁起來，對于病人的影響也越來越明顯，甚至會導致醫(yī)院關(guān)閉，手術(shù)暫停的嚴重后果。

美國第二大醫(yī)療機構(gòu)遭攻擊，泄露62萬用戶數(shù)據(jù)

當?shù)貢r間12月1日，美國美國第二大衛(wèi)生系統(tǒng)CommonSpirit Health 對安全事件的最新內(nèi)部調(diào)查結(jié)果，承認在10月份發(fā)生的勒索軟件攻擊中，不僅當時醫(yī)療機構(gòu)的IT系統(tǒng)被癱瘓，還有超過62萬患者的敏感數(shù)據(jù)被竊取。

據(jù)悉該機構(gòu)在21個州運營著140家醫(yī)院和1000多個護理點，因此其運營中的任何中斷都具有廣泛的影響潛力。泄露的患者信息包括姓名、家庭住址、電話號碼、出生日期以及在該醫(yī)院內(nèi)使用的ID號碼。

CommonSpirit Health 尚未透露進行此次攻擊的勒索軟件組織，也沒有任何犯罪活動聲稱對此負責。事件發(fā)生后，該醫(yī)療機構(gòu)承諾會將數(shù)據(jù)泄露通知給每一位用戶，但當時沒有透露受影響患者的人數(shù)。

毫無疑問，如此敏感的數(shù)據(jù)被攻擊者竊取，不論這些信息是在暗網(wǎng)上兜售，還是以此為基礎(chǔ)進行大范圍的欺詐，患者本人及其親屬大概率面臨嚴峻的釣魚郵件攻擊或者電信欺詐，這樣的操作在歷次的信息泄露事件中已經(jīng)十分常見。而調(diào)查結(jié)果顯示，一份包含保險文件、醫(yī)療文憑、醫(yī)生執(zhí)照和DEA許可證的醫(yī)療信息在暗網(wǎng)上售價約500美元，豐厚的利潤讓攻擊者動力十足。

因遭受勒索攻擊攻擊，病人等待12小時才能看病

個人敏感信息泄露還只是醫(yī)療機構(gòu)被勒索攻擊影響較小的一種，更嚴重的是，勒索攻擊往往會加密醫(yī)院的數(shù)字化系統(tǒng)，直接導致醫(yī)院陷入癱瘓狀態(tài)，大大降低了醫(yī)生看病問診的時間，無數(shù)亟待救治的病人將因此無法得到及時的治療，將直接引起更加可怕的“災難”。

11月底，跨國醫(yī)療保健機構(gòu)Keralty 跨國醫(yī)療保健遭受了 RansomHouse 勒索軟件攻擊，擾亂了該公司及其子公司的網(wǎng)站和運營。隨后，勒索組織向Keralty公布了贖金，但是該醫(yī)療機構(gòu)并未支付，因此只能被動承受勒索攻擊帶來了巨大影響。

Keralty 是哥倫比亞的一家醫(yī)療保健提供商，在拉丁美洲、西班牙、美國和亞洲運營著一個由 12 家醫(yī)院和 371 個醫(yī)療中心組成的國際網(wǎng)絡(luò)。該集團擁有 24000 名員工和 10000 名醫(yī)生，為超過 600 萬患者提供醫(yī)療服務(wù)。

在遭遇勒索攻擊后，Keralty 及其子公司 EPS Sanitas 和 Colsanitas 的 IT 運營、醫(yī)療預約安排及其網(wǎng)站都受到了干擾。而最嚴重的當屬IT系統(tǒng)中斷帶來的惡劣影響，不少患者甚至排隊就醫(yī)時間甚至已經(jīng)超過12小時，一些患者因缺乏醫(yī)療護理而暈倒，極大地影響了患者就醫(yī)秩序和危重病人的救治時間。

法國一家醫(yī)院因勒索攻擊關(guān)閉，重癥患者緊急被轉(zhuǎn)移

如果說Keralty及其子公司遭遇勒索攻擊只是增加了患者的排隊時間，那么法國這家醫(yī)院真正因為勒索攻擊而導致已經(jīng)安排好的患者手術(shù)不得不臨時取消，并將患者緊急轉(zhuǎn)移至其他醫(yī)院進行治療。

12月初，法國衛(wèi)生部宣布凡爾賽醫(yī)院中心在周末遭到網(wǎng)絡(luò)攻擊，包括 Andre-Mignot 醫(yī)院、Richaud 醫(yī)院和 Despagne 養(yǎng)老院在內(nèi)的凡爾賽醫(yī)院中心關(guān)閉了醫(yī)院，取消了部分需要進行的手術(shù)，并轉(zhuǎn)移了患者，其中三名在重癥監(jiān)護室，三名來自新生兒病房。

根據(jù) RFI 的網(wǎng)站，醫(yī)院的計算機感染了勒索軟件，攻擊背后的勒索組織者要求贖金。但是該醫(yī)療機構(gòu)公開表示，目前確實收到贖金要求，但是我們并不打算支付。警方對敲詐勒索未遂展開調(diào)查，醫(yī)院方面也提出了正式投訴。

法國衛(wèi)生部長Francois Braun在法新社的采訪中指出，這并不是第一次襲擊法國醫(yī)療保健行業(yè)的黑客攻擊，“醫(yī)療系統(tǒng)每天都在遭受攻擊”，而且“絕大多數(shù)此類攻擊都被阻止了”。

在2022年8 月，巴黎東南部的一家醫(yī)院 Centre Hospitalier Sud Francilien (CHSF) 在周末遭受了勒索軟件攻擊。這次襲擊擾亂了緊急服務(wù)和手術(shù)，迫使醫(yī)院將病人轉(zhuǎn)診到其他機構(gòu)。據(jù)當?shù)孛襟w報道，威脅行為者要求 1000 萬美元的贖金，以提供解密密鑰以恢復加密數(shù)據(jù)。

結(jié)語

卡巴斯基全球研究和分析團隊亞太區(qū)總監(jiān)Vitaly Kamluk指出，醫(yī)療機構(gòu)并沒有為網(wǎng)絡(luò)安全環(huán)境的變化做好準備，他們更渴望投資新設(shè)備，而不是投資保護舊設(shè)備。不少醫(yī)療設(shè)備價格很好、質(zhì)量很好，能夠保證運行十年以上，但是同時意味著軟件更新也很慢。

這也是勒索組織針對醫(yī)療機構(gòu)頻頻發(fā)起攻擊的原因，低門檻高回報讓這些利益團隊蠢蠢欲動，因此不少安全專家認為，醫(yī)療機構(gòu)應(yīng)該建設(shè)更加具有針對性的安全框架，以此保護IT系統(tǒng)和敏感數(shù)據(jù)安全，同時也要加大對網(wǎng)絡(luò)安全的投入，積極培養(yǎng)員工網(wǎng)絡(luò)安全意識，全面提升整體安全防護能力。

畢竟，這不僅僅是一個網(wǎng)絡(luò)安全問題，更是一個事關(guān)病人就診甚至是生命安全。