美國大力推進電子病歷記錄項目,醫療系統的病歷檔案全部聯網,這為黑客們向醫院下手提供了便利。大量的患者信息被竊取,個人利益嚴重受損。這也在提醒管理者:如何平衡醫學創新和監管之間的關系,已經成為一個不可忽視的課題
2月初,黑客“黑”進好萊塢一家醫院的電腦系統,將包括患者病歷和個人信息在內的所有電子資料加密,以此索要上百萬美元贖金。這已經不是黑客第一次找醫院下“黑”手了。近年來美國醫院遭黑客攻擊案件頻現,引起廣泛關注。
醫院進入緊急狀態
2月5日一早,好萊塢長老會醫學中心的工作人員發現,儲存病患信息的電子數據資料庫怎么都打不開。一開始,他們以為是電腦故障,但很快發現不對勁兒。
到了中午,這家擁有434張床位、近百年歷史的醫院亂作一團,侵入服務器的黑客在屏幕上留言:拿出9000個比特幣,我就還你資料。
比特幣是一種全球通用虛擬貨幣,可以兌換成大多數國家的貨幣。媒體估算,這次黑客的要價,換算成美元,約合340萬至365萬美元。
院方立即報警,并邀請計算機專家協助破案、破解密鑰。但問題一時難以解決,醫院不得不宣布內部進入緊急狀態。
等候解鎖時間,由于惡意軟件攻擊,電腦無法聯網,計算機斷層掃描和磁共振掃描等診斷無法開展,患者檢查結果和病歷無法查閱,甚至有媒體報道,部分危重患者不得不轉院治療。
整個醫院被生生拉回到幾十年前的狀態:收治病人手續統統靠手寫,病歷醫囑靠手寫,檢查單和通知單全部只有紙質,信息共享只能靠打電話、發傳真甚至遞送手寫單。更讓人擔憂的是,由于數據庫內含病人聯系方式、住址、信用卡號、醫保號碼等個人信息,一旦泄露出去,后果不堪設想。
日子一天天過去,洛杉磯警察局、聯邦調查局和多路專家那里沒有絲毫進展。按照院方說法,這次攻擊系黑客隨機選擇,經過一番討價還價,醫院最后向黑客支付40個比特幣(約合1.7萬美元),拿到密鑰。“我們要想重新恢復系統、恢復正常管理,最快、最高效的辦法就是支付贖金、取得密鑰,”醫學中心院長艾倫·斯特凡內克發表聲明說,“我們這么做是為了恢復正常運轉,這最符合(醫院)利益。”
為什么受傷的總是醫院
好萊塢長老會醫學中心是一種名為“勒索軟件”的惡意程序受害者。這種軟件惡名遠揚,日益猖獗。專家介紹,這種惡意軟件常以電子郵件附件、網頁木馬病毒等形式在網絡上“廣撒網”,平時深藏不露,一旦有人點擊它藏身的電子郵件、社交媒體或其他網站鏈接,就會自動下載并運行,非正常加密用戶數據,讓用戶無法正常使用,以此勒索錢財。支付形式目前以比特幣等虛擬貨幣為主。
算上好萊塢長老會醫學中心,今年頭兩個月至少有4家醫院受勒索軟件攻擊。在美國,以醫院為目標的黑客攻擊案件近年來越來越多。2015年7月,加利福尼亞大學洛杉磯分校醫療系統遭遇網絡襲擊,旗下4家醫院約450萬人的私人信息可能存在安全隱患。雖然院方堅稱尚無證據表明黑客已“獲得某個個體的私人或醫療信息”,但醫院還是向可能受影響的個人免費提供為期一年的身份防盜服務和信用監督保護。
《華盛頓郵報》分析衛生與公眾服務部數據后發現,僅2015年3月,美醫療系統就遭遇了1100多次黑客攻擊,逾1.2億人利益受損。
為何黑客對醫院青睞有加?專家認為,醫院掌握的特有資源令不法分子垂涎三尺,而醫院相對落后的信息安全系統又給了這些人可乘之機。
按照《基督教科學箴言報》的說法,醫療系統在黑客眼中簡直就是個大金庫,內有個人姓名、住址、聯系方式、社會保險號碼、銀行賬號信息、索賠數據和臨床資料等海量信息。這些信息不只能拿到黑市上賣個好價錢、供人盜用身份,還能讓人非法獲取處方藥、甚至騙取保險。一旦有人因此被竊取身份,小到尋醫問藥、大到醫療保險、信用記錄都可能受影響,風險著實不容忽視。
美國知名網絡安全研究機構波內蒙研究所數據顯示,2014年醫療身份失竊影響了大約230萬人的生活,比前一年上升21%,因此給受害者造成人均1.35萬美元的損失。
長期報道網絡安全的記者賈伊庫馬爾·維賈揚認為,由于美國大力推進電子病歷記錄項目,眼下全國醫療系統的病歷檔案統統聯網,這為黑客們向醫院下手提供了便利。而醫院和保險公司的信息安全技術更新換代比較慢,安全意識又普遍較弱——服務器管理不設權限,設備不更改初始密碼或設置過于簡單,無線網絡密碼幾乎人人能猜到……這樣的例子比比皆是,黑客們才得以頻頻得手、日漸猖狂。
還有更多安全隱患
雖然迄今尚無報告顯示黑客對醫院的攻擊造成病患傷亡,但不少業內人士呼吁,醫院亟需加強數據安全工作,尤其在醫療設備上更要下功夫防范風險。
約翰斯·霍普金斯大學計算機學教授、網絡安全專家阿維·魯賓1月參加一個關于醫學網絡安全的大會時說,早在上世紀90年代,他參觀東海岸醫院時就發現不少醫院計算機實驗室密碼保護過于簡單,安全程序被隨意更改,軟件控制的藥物調劑機器人缺少必要的保護程序。
“一旦(調劑藥物的)軟件出故障怎么辦?要是有人攻擊這個系統、導致藥全都配錯了怎么辦?”魯賓憂心忡忡地說。
眼下,美國不少醫療設備生產商開始和監管者一起,加強安全措施,防范網絡襲擊——
2013年,食品和藥物管理局向醫療保健設備生產廠家發布網絡安全備忘錄,建議對方評估設備及相關網絡安全;2014年,食品和藥物管理局發布指導準則,要求醫學設備上市前必須接受網絡安全測試;2015年,食品和藥物管理局聯手國土安全部向醫院發布警告,指出一種植入式藥泵設計存在嚴重缺陷,能給黑客可乘之機;2016年1月,食品和藥物管理局起草文件,要求設備生產商展開安全自檢,同時允許第三方研究人員標注安全風險。
醫學設備技術安全顧問斯科特·埃芬斯認為,如何平衡醫學創新和監管之間的關系至關重要,但這一切不應以人的生命為代價。
埃芬斯說,雖然目前尚未發現有人蓄意針對醫學設備發動網絡攻擊,但風險猶存。靠內部自省與外部監管不斷完善是個漫長的過程,醫院眼下至少還能做些補充防范措施,例如將安全風險最大的設備與外部網絡斷開,要求技術人員刪除預設的安全憑證信息,加強無線網絡安全,淘汰安全隱患較大的設備等。