2月初,黑客“黑”進好萊塢一家醫院的電腦系統,將包括患者病歷和個人信息在內的所有電子資料加密,以此索要上百萬美元贖金。
這不是黑客第一次找醫院下“黑”手。近年來美國醫院遭黑客攻擊案件頻現,引起關注:黑客們為何盯上了醫院?又為何頻頻得手?醫院該如何自保?
【黑客突襲 醫院抓狂】
2月5日一早,好萊塢長老會醫學中心的工作人員發現,儲存病患信息的電子數據資料庫怎么都打不開。一開始,他們以為是電腦故障,但很快發現不對勁兒。
到了中午,這家擁有434張床位、近百年歷史的醫院亂作一團,侵入服務器的黑客在屏幕上留言:拿出9000個比特幣,我就還你資料。
比特幣是一種全球通用虛擬貨幣,可以兌換成大多數國家的貨幣。媒體估算,這次黑客的要價,換算成美元,約合340萬至365萬美元。
院方立即報警,并邀請計算機專家協助破案、破解密鑰。但問題一時難以解決,醫院不得不宣布內部進入緊急狀態。
等候解鎖時間,由于惡意軟件攻擊,電腦無法聯網,計算機斷層掃描和磁共振掃描等診斷無法開展,患者檢查結果和病歷無法查閱,甚至有媒體報道,部分危重患者不得不轉院治療。
整個醫院被生生拉回到幾十年前的狀態:收治病人手續統統靠手寫,病歷醫囑靠手寫,檢查單和通知單全部只有紙質,信息共享只能靠打電話、發傳真甚至遞送手寫單。
更讓人擔憂的是,由于數據庫內含病人聯系方式、住址、信用卡號、醫保號碼等個人信息,一旦泄露出去,后果不堪設想。
10天過去了,洛杉磯警察局、聯邦調查局和多路專家那里沒有絲毫進展。按照院方說法,這次攻擊系黑客隨機選擇,經過一番討價還價,醫院最后向黑客支付40個比特幣(約合1.7萬美元),拿到密鑰。
“我們要想重新恢復系統、恢復正常管理,最快、最高效的辦法就是支付贖金、取得密鑰,”醫學中心院長艾倫·斯特凡內克發表聲明說,“我們這么做是為了恢復正常運轉,這最符合(醫院)利益。”
【新式勒索 無計可施?】
好萊塢長老會醫學中心是一種名為“勒索軟件”的惡意程序受害者。這種軟件惡名遠揚,日益猖獗,甚至連警察局也被迫就范。
美國殺毒軟件巨頭賽門鐵克公司報告顯示,僅在2013年,全美勒索軟件攻擊次數由1月的10萬次上升到12月的60萬次。
英特爾公司旗下軟件專業安全技術公司邁克菲實驗室2015年底預測,由于勒索軟件不斷升級,2016年同類網絡攻擊次數可能會進一步增長。
按照網絡安全公司比特梵德的說法,超過半數的美國勒索軟件受害者最終向黑客支付了贖金。研究顯示,黑客們因此在2個月內聚斂3.25億美元。
馬薩諸塞州、田納西州和新罕布什爾州各有一家小型警察局先后遭遇勒索軟件攻擊。為了拿回對它們而言至關重要的數據,警局不得不向黑客支付價值500美元至750美元不等的贖金。
那么,勒索軟件到底有何能耐、連警察都束手無策呢?
專家介紹,這種惡意軟件常以電子郵件附件、網頁木馬病毒等形式在網絡上“廣撒網”,平時深藏不漏,一旦有人點擊它藏身的電子郵件、社交媒體或其他網站鏈接,就會自動下載并運行,非正常加密用戶數據,讓用戶無法正常使用,以此勒索錢財。支付形式目前以比特幣等虛擬貨幣為主。
勒索軟件在歐洲已流行二十多年,技術含量并不是特別高,罪犯使用的加密方法在網上隨處可見。但按照《大西洋月刊》說法,他們一旦將文件加密,即使是聯邦調查局也不見得能破解密鑰。
更何況,這種惡意軟件隱蔽性很強,讓人防不勝防又難以追查,對用戶數據安全帶來的危害越來越不容小覷。
一方面,為了避免自身被安全人員分析,勒索軟件不會像蠕蟲病毒那樣傳播,它通常在加密用戶文件并生成提示用戶的文本后就會自動刪除,警方和專家很難找到源頭。另一方面,由于比特幣具有匿名性,目前技術手段基本上查不到它的來源和去向,所以一旦以比特幣為支付贖金的方式,基本上別指望警方能追蹤到罪犯行跡。
另外,除非黑客知道自己“黑”了富人或有錢機構的重要資料,他們通常索要的贖金金額并不大,平均300美元,警方有時覺得不值得興師動眾去調查。
按照美聯社說法,聯邦調查局以往甚至會勸受害者:“您就破破財吧。這么大動干戈不值當。”
像好萊塢長老會醫學中心這樣一下被勒索上百萬美元的案例實屬罕見。但即使警方和專家鼎力合作數日,到底也沒能找到嫌疑人、查清醫院如何感染上這種病毒,最終也只是懷疑可能有人不小心點錯了鏈接。
雖然美聯社建議大家一旦遭遇類似事件,需要盡快報警,但也無奈提醒:“您心里要有底,到末了估計還得掏贖金。”
【醫院為何老被“黑”?】
算上好萊塢長老會醫學中心,今年頭兩個月至少有4家醫院受勒索軟件攻擊。事實上,以醫院為目標的黑客攻擊案件近年來越來越多。
2015年7月,加利福尼亞大學洛杉磯分校醫療系統遭遇網絡襲擊,旗下4家醫院大約450萬個人的私人信息可能存在安全隱患。雖然院方堅稱尚無證據表明黑客已“獲得某個個體的私人或醫療信息”,但醫院還是向可能受影響的個人免費提供為期一年的身份防盜服務和信用監督保護。
《華盛頓郵報》分析衛生與公眾服務部數據后發現,僅在2015年3月,全國醫療系統遭遇超過1100次黑客攻擊,逾1.2億人利益受損害。
為何黑客對醫院青睞有加?專家認為,醫院掌握的特有資源令不法分子垂涎三尺,而醫院相對落后的信息安全系統又給了這些人可乘之機。
按照《基督教科學箴言報》的說法,醫療系統在黑客眼中簡直就是個大金庫,內有個人姓名、住址、聯系方式、社會保險號碼、銀行賬號信息、索賠數據和臨床資料等海量信息。這些信息不只能拿到黑市上買個好價錢、供人盜用身份,還能讓人非法獲取處方藥、甚至騙取保險。一旦有人因此被竊取身份,小到尋醫問藥、大到醫療保險、信用記錄都可能受影響,風險著實不容忽視。
美國知名網絡安全研究機構波內蒙研究所數據顯示,2014年醫療身份失竊影響了大約230萬人的生活,比前一年上升21%,因此給受害者造成人均1.35萬美元的損失。
更有甚者,部分不法分子會盯上名人健康隱私,或以此相要挾索要金錢,或轉手賣給他人獲利。
長期報道網絡安全的記者賈伊庫馬爾·維賈揚認為,由于美國大力推進電子病歷記錄項目,眼下全國醫療系統的病歷檔案統統聯網,這為黑客們拿醫院下手提供了便利。而醫院和保險公司的信息安全技術更新換代比較慢,安全意識又普遍較弱——服務器管理不設權限,設備不更改初始密碼或設置過于簡單,無線網絡密碼幾乎人人能猜到……這樣的例子比比皆是,黑客們才得以頻頻得手、日漸猖狂。
【怎樣才能更安全?】
雖然迄今尚無報告顯示黑客對醫院的攻擊造成病患傷亡,但不少業內人士呼吁,醫院亟需加強數據安全工作,尤其在醫療設備上更要下工夫防范風險。
約翰斯·霍普金斯大學計算機學教授、網絡安全專家阿維·魯賓1月參加一個關于醫學網絡安全的大會時說,早在上世紀90年代,他參觀東海岸醫院時就發現不少醫院計算機實驗室密碼保護過于簡單,安全程序被隨意更改,軟件控制的藥物調劑機器人缺少必要的保護程序。
“一旦(調劑藥物的)軟件出故障怎么辦?要是有人攻擊這個系統、導致藥全都配錯了怎么辦?”魯賓憂心忡忡地說。
眼下,美國不少醫療設備生產商開始和監管者一起,加強安全措施,防范網絡襲擊——
2013年,食品和藥物管理局向醫療保健設備生產廠家發布網絡安全備忘錄,建議對方評估設備及相關網絡安全;2014年,食品和藥物管理局發布指導準則,要求醫學設備上市前必須接受網絡安全測試;2015年,食品和藥物管理局聯手國土安全部向醫院發布警告,指出一種植入式藥泵設計存在嚴重缺陷,能給黑客可乘之機;2016年1月,食品和藥物管理局起草文件,要求設備生產商展開安全自檢,同時允許第三方研究人員標注安全風險。
醫學設備技術安全顧問斯科特·埃芬斯認為,如何平衡醫學創新和監管之間的關系至關重要,但這一切不應以人的生命為代價。
埃芬斯說,雖然目前尚未發現有人蓄意針對醫學設備發動網絡攻擊,但風險猶存。靠內部自省與外部監管不斷完善是個漫長的過程,醫院眼下至少還能做些補充防范措施,例如將安全風險最大的設備與外部網絡斷開,要求技術人員刪除預設的安全憑證信息,加強無線網絡安全,淘汰安全隱患較大的設備等。
京公網安備 11010502049343號