(JY編譯)網路安全專家警告稱,全國各地的醫院面臨嚴重的網路安全威脅,這些威脅類似於那些導致中西部一家著名兒童醫院營運癱瘓的攻擊。同時,指出美國政府在防止這類違規行為方面採取的行動不足。
近年來,醫院對線上科技的使用範圍已經從遠距醫療、醫療設備到病患記錄等各個方面。美國醫院協會的網路安全顧問約翰·里吉(John Riggi)表示,而今,這些醫院成為了網路小偷的首選目標,他們透過勒索大筆贖金來控制醫院的數據和網路。
里吉說︰「不幸的是,使用所有這些網路和網路連線技術的意外後果是,它擴大了我們的數位攻擊面。這意味著惡意攻擊者有更多機會侵入我們的網絡,從而增加了網路安全的風險。」
網路攻擊者通常來自美國的對手,如俄羅斯、北韓和伊朗等國家。在這些國家,網路攻擊者不僅可以從受害者那裡獲得巨額贖金,而且很少有被懲罰的可能性,這使得他們更加放肆地進行網路攻擊。
去年11月,一家在美國經營30家醫院和200家醫療設施的連鎖醫療機構遭到勒索軟體攻擊,迫使醫生將病患從急診室轉移出去,並推遲了非緊急手術。同時,伊利諾伊州一個鄉村醫院去年宣布永久關閉,原因是無法從網路攻擊中恢復財務。去年,賓夕凡尼亞州一家醫療網路系統遭到黑客攻擊,黑客甚至發布了正在接受治療的乳癌患者的照片和個人資料。
如今,全美最頂尖的兒童醫院之一的芝加哥的安·羅伯特·H·盧里兒童醫院(Ann & Robert H. Lurie Children’s Hospital of Chicago)由於遭受到網絡攻擊,醫院不得不將其電話、電子郵件和醫療記錄系統下線,以應對這一問題。同時,聯邦調查局表示正在對此事進行調查,以追蹤肇事者。
網路安全公司Emsisoft的分析師布雷特·卡羅(Brett Callow)統計,去年有46起針對醫院的網路攻擊,而2022年的數字為25起。同時,網路攻擊者獲得的贖金也顯著增加,平均贖金從2018年的5,000美元增加到去年的150萬美元。
卡羅說︰「如果政府不採取更有意義和更重要的舉措,網路安全問題將會進一步惡化。」
卡羅認為政府應該禁止像醫院、地方政府和學校這樣的網路攻擊受害者支付贖金,以削弱網路攻擊者的動機和行動。他表示︰「當前網路攻擊已經成為了一個賺錢的系統,如果不採取措施阻止支付贖金,問題將會繼續存在並且惡化。」
面對日益嚴峻的網路安全挑戰,國家最高衛生機構認識到了保護醫院免受網路威脅的重要性,因此採取了相應的行動來加強醫院的網路安全措施。
美國衛生與公眾服務部(HHS)表示,將在今年稍後重寫《健康保險可攜性與責任法案》(Health Insurance Portability and Accountability Act)的規則,該法案是一項通常被稱為HIPPA的聯邦法律,要求保險公司和醫療系統保護患者信息,其中包括了針對網路安全的條款。
該部門也正在考慮要求醫院需要符合特定的網路安全標準,才能獲得來自聯邦政府的醫療資金支持。
HHS副部長安德里亞·帕姆(Andrea Palm)指出︰「越是做好充分的準備,就越能夠應對各種挑戰和問題。」
但她補充說,一些醫院,特別是鄉村醫院,可能因為缺乏足夠的資金來更新其網路安全而面臨困難。帕姆表示,衛生與公眾服務部希望從國會獲得更多的資金來解決這個問題,但目前還沒有確切的金額。
帕姆強調︰「不能讓行業缺乏資源而無法滿足網路安全要求,這將對患者信息和醫療系統的安全造成嚴重威脅。」
成為網路攻擊的受害者對醫院來說是一種昂貴的代價。網路攻擊可能會導致醫院的網路系統長時間無法正常運行,這將影響到醫院的日常運作,甚至迫使醫院暫時拒絕接收病患。
在芝加哥,盧里兒童醫院的網路已中斷兩週。該醫院去年為超過26萬名患者提供了服務,目前已建立了一個單獨的呼叫中心來滿足病人的需求,並盡可能恢復了一些醫療服務。
由於網路中斷,無法使用通常的高科技設備,因此上週四,盧里兒童醫院的外科醫生不得不主要依靠人手操作,對傑森·卡斯蒂略(Jason Castillo)的7個月大的女兒進行了手術。
1月31日,醫院遭到網路攻擊後,卡斯蒂略女兒的心臟手術計劃被推遲。在女兒被推入手術室進行六小時手術之前,外科醫生與卡斯蒂略進行了交談,並向他保證,儘管醫院受到網路攻擊的影響,但他有信心能順利完成手術。
幸好卡斯蒂略女兒的康復良好,正在在家裡恢復中,他說︰「她的情況非常好,就像是家中的一片陰霾被一掃而空。」
分析師卡羅指出,即使盧里兒童醫院解決了網路問題,但要使醫院完全恢復正常運作,可能需要進行大量的幕後工作,如對系統進行全面檢查和修復,重新建立數據和文件,以及加強網絡安全等。
卡羅說︰「網路攻擊會干擾患者的護理,影響薪資發放以及其他方面的運作。要讓醫院完全恢復正常運作可能需要數月的時間。」他強調這不是簡單的問題,不能僅僅透過按下一個按鈕就能解決。
Photo by National Cancer Institute on unsplash