想象一個(gè)場(chǎng)景：你正躺在手術(shù)臺(tái)上，醫(yī)生和護(hù)士們都已經(jīng)消完毒，換好無菌手術(shù)服準(zhǔn)備進(jìn)行手術(shù)，此時(shí)醫(yī)院的數(shù)字化系統(tǒng)遭到勒索組織的攻擊，關(guān)鍵的數(shù)字化系統(tǒng)已經(jīng)被加密，不少手術(shù)設(shè)備直接無法再使用。此時(shí)，勒索攻擊者開出了解密系統(tǒng)的贖金，醫(yī)院可以選擇不支付贖金。但對(duì)于急需手術(shù)的病人來說，無異于是一場(chǎng)“謀殺”。

在數(shù)字化道路上狂奔了十年的醫(yī)療行業(yè)，也許正在成為勒索組織眼中一個(gè)裝滿黃金的保險(xiǎn)箱。Obrela最近的一項(xiàng)調(diào)查發(fā)現(xiàn)，81%的英國(guó)醫(yī)療組織在2021年遭受了勒索軟件攻擊。此前某醫(yī)療機(jī)構(gòu)CEO就曾表示，“除了自然災(zāi)害外，網(wǎng)絡(luò)安全是診所面臨的頭號(hào)風(fēng)險(xiǎn)。”2021年，愛爾蘭全國(guó)衛(wèi)生系統(tǒng)遭受勒索軟件攻擊，其相關(guān)負(fù)責(zé)人表示恢復(fù)成本可能超過6億美元。而《醫(yī)療行業(yè)勒索病毒專題報(bào)告》的數(shù)據(jù)顯示，我國(guó)有247家三甲醫(yī)院檢出了勒索病毒，以廣東、湖北、江蘇等地區(qū)檢出勒索病毒最多。

在2022年最后的一個(gè)月，我們觀察到勒索組織對(duì)于醫(yī)療機(jī)構(gòu)的攻擊變的更加頻繁起來，對(duì)于病人的影響也越來越明顯，甚至?xí)?dǎo)致醫(yī)院關(guān)閉，手術(shù)暫停的嚴(yán)重后果。

美國(guó)第二大醫(yī)療機(jī)構(gòu)遭攻擊，泄露62萬(wàn)用戶數(shù)據(jù)

當(dāng)?shù)貢r(shí)間12月1日，美國(guó)美國(guó)第二大衛(wèi)生系統(tǒng)CommonSpirit Health 對(duì)安全事件的最新內(nèi)部調(diào)查結(jié)果，承認(rèn)在10月份發(fā)生的勒索軟件攻擊中，不僅當(dāng)時(shí)醫(yī)療機(jī)構(gòu)的IT系統(tǒng)被癱瘓，還有超過62萬(wàn)患者的敏感數(shù)據(jù)被竊取。

據(jù)悉該機(jī)構(gòu)在21個(gè)州運(yùn)營(yíng)著140家醫(yī)院和1000多個(gè)護(hù)理點(diǎn)，因此其運(yùn)營(yíng)中的任何中斷都具有廣泛的影響潛力。泄露的患者信息包括姓名、家庭住址、電話號(hào)碼、出生日期以及在該醫(yī)院內(nèi)使用的ID號(hào)碼。

CommonSpirit Health 尚未透露進(jìn)行此次攻擊的勒索軟件組織，也沒有任何犯罪活動(dòng)聲稱對(duì)此負(fù)責(zé)。事件發(fā)生后，該醫(yī)療機(jī)構(gòu)承諾會(huì)將數(shù)據(jù)泄露通知給每一位用戶，但當(dāng)時(shí)沒有透露受影響患者的人數(shù)。

毫無疑問，如此敏感的數(shù)據(jù)被攻擊者竊取，不論這些信息是在暗網(wǎng)上兜售，還是以此為基礎(chǔ)進(jìn)行大范圍的欺詐，患者本人及其親屬大概率面臨嚴(yán)峻的釣魚郵件攻擊或者電信欺詐，這樣的操作在歷次的信息泄露事件中已經(jīng)十分常見。而調(diào)查結(jié)果顯示，一份包含保險(xiǎn)文件、醫(yī)療文憑、醫(yī)生執(zhí)照和DEA許可證的醫(yī)療信息在暗網(wǎng)上售價(jià)約500美元，豐厚的利潤(rùn)讓攻擊者動(dòng)力十足。

因遭受勒索攻擊攻擊，病人等待12小時(shí)才能看病

個(gè)人敏感信息泄露還只是醫(yī)療機(jī)構(gòu)被勒索攻擊影響較小的一種，更嚴(yán)重的是，勒索攻擊往往會(huì)加密醫(yī)院的數(shù)字化系統(tǒng)，直接導(dǎo)致醫(yī)院陷入癱瘓狀態(tài)，大大降低了醫(yī)生看病問診的時(shí)間，無數(shù)亟待救治的病人將因此無法得到及時(shí)的治療，將直接引起更加可怕的“災(zāi)難”。

11月底，跨國(guó)醫(yī)療保健機(jī)構(gòu)Keralty 跨國(guó)醫(yī)療保健遭受了 RansomHouse 勒索軟件攻擊，擾亂了該公司及其子公司的網(wǎng)站和運(yùn)營(yíng)。隨后，勒索組織向Keralty公布了贖金，但是該醫(yī)療機(jī)構(gòu)并未支付，因此只能被動(dòng)承受勒索攻擊帶來了巨大影響。

Keralty 是哥倫比亞的一家醫(yī)療保健提供商，在拉丁美洲、西班牙、美國(guó)和亞洲運(yùn)營(yíng)著一個(gè)由 12 家醫(yī)院和 371 個(gè)醫(yī)療中心組成的國(guó)際網(wǎng)絡(luò)。該集團(tuán)擁有 24000 名員工和 10000 名醫(yī)生，為超過 600 萬(wàn)患者提供醫(yī)療服務(wù)。

在遭遇勒索攻擊后，Keralty 及其子公司 EPS Sanitas 和 Colsanitas 的 IT 運(yùn)營(yíng)、醫(yī)療預(yù)約安排及其網(wǎng)站都受到了干擾。而最嚴(yán)重的當(dāng)屬IT系統(tǒng)中斷帶來的惡劣影響，不少患者甚至排隊(duì)就醫(yī)時(shí)間甚至已經(jīng)超過12小時(shí)，一些患者因缺乏醫(yī)療護(hù)理而暈倒，極大地影響了患者就醫(yī)秩序和危重病人的救治時(shí)間。

法國(guó)一家醫(yī)院因勒索攻擊關(guān)閉，重癥患者緊急被轉(zhuǎn)移

如果說Keralty及其子公司遭遇勒索攻擊只是增加了患者的排隊(duì)時(shí)間，那么法國(guó)這家醫(yī)院真正因?yàn)槔账鞴舳鴮?dǎo)致已經(jīng)安排好的患者手術(shù)不得不臨時(shí)取消，并將患者緊急轉(zhuǎn)移至其他醫(yī)院進(jìn)行治療。

12月初，法國(guó)衛(wèi)生部宣布凡爾賽醫(yī)院中心在周末遭到網(wǎng)絡(luò)攻擊，包括 Andre-Mignot 醫(yī)院、Richaud 醫(yī)院和 Despagne 養(yǎng)老院在內(nèi)的凡爾賽醫(yī)院中心關(guān)閉了醫(yī)院，取消了部分需要進(jìn)行的手術(shù)，并轉(zhuǎn)移了患者，其中三名在重癥監(jiān)護(hù)室，三名來自新生兒病房。

根據(jù) RFI 的網(wǎng)站，醫(yī)院的計(jì)算機(jī)感染了勒索軟件，攻擊背后的勒索組織者要求贖金。但是該醫(yī)療機(jī)構(gòu)公開表示，目前確實(shí)收到贖金要求，但是我們并不打算支付。警方對(duì)敲詐勒索未遂展開調(diào)查，醫(yī)院方面也提出了正式投訴。

法國(guó)衛(wèi)生部長(zhǎng)Francois Braun在法新社的采訪中指出，這并不是第一次襲擊法國(guó)醫(yī)療保健行業(yè)的黑客攻擊，“醫(yī)療系統(tǒng)每天都在遭受攻擊”，而且“絕大多數(shù)此類攻擊都被阻止了”。

在2022年8 月，巴黎東南部的一家醫(yī)院 Centre Hospitalier Sud Francilien (CHSF) 在周末遭受了勒索軟件攻擊。這次襲擊擾亂了緊急服務(wù)和手術(shù)，迫使醫(yī)院將病人轉(zhuǎn)診到其他機(jī)構(gòu)。據(jù)當(dāng)?shù)孛襟w報(bào)道，威脅行為者要求 1000 萬(wàn)美元的贖金，以提供解密密鑰以恢復(fù)加密數(shù)據(jù)。

結(jié)語(yǔ)

卡巴斯基全球研究和分析團(tuán)隊(duì)亞太區(qū)總監(jiān)Vitaly Kamluk指出，醫(yī)療機(jī)構(gòu)并沒有為網(wǎng)絡(luò)安全環(huán)境的變化做好準(zhǔn)備，他們更渴望投資新設(shè)備，而不是投資保護(hù)舊設(shè)備。不少醫(yī)療設(shè)備價(jià)格很好、質(zhì)量很好，能夠保證運(yùn)行十年以上，但是同時(shí)意味著軟件更新也很慢。

這也是勒索組織針對(duì)醫(yī)療機(jī)構(gòu)頻頻發(fā)起攻擊的原因，低門檻高回報(bào)讓這些利益團(tuán)隊(duì)蠢蠢欲動(dòng)，因此不少安全專家認(rèn)為，醫(yī)療機(jī)構(gòu)應(yīng)該建設(shè)更加具有針對(duì)性的安全框架，以此保護(hù)IT系統(tǒng)和敏感數(shù)據(jù)安全，同時(shí)也要加大對(duì)網(wǎng)絡(luò)安全的投入，積極培養(yǎng)員工網(wǎng)絡(luò)安全意識(shí)，全面提升整體安全防護(hù)能力。

畢竟，這不僅僅是一個(gè)網(wǎng)絡(luò)安全問題，更是一個(gè)事關(guān)病人就診甚至是生命安全。