隨著電子病歷（EMR）系統(tǒng)、醫(yī)學(xué)影像數(shù)字化管理（PACS）系統(tǒng)、實(shí)驗(yàn)室信息管理（LIS）系統(tǒng)、醫(yī)院管理信息（HIS）系統(tǒng)等廣泛使用和醫(yī)療智能化的發(fā)展，醫(yī)療數(shù)據(jù)量正以驚人的速度增長。這些數(shù)據(jù)不僅包括患者的個(gè)人健康信息（PHI），還有可能涉及到藥品配方、治療方法和其他商業(yè)敏感信息，迅速讓醫(yī)療機(jī)構(gòu)成為了黑客攻擊的高價(jià)值目標(biāo)，醫(yī)療衛(wèi)生行業(yè)的信息安全是一個(gè)極其復(fù)雜的議題。

當(dāng)前，醫(yī)療行業(yè)安全痛點(diǎn)主要涉及以下幾個(gè)方面：首先，醫(yī)療設(shè)備和服務(wù)日益數(shù)字化、網(wǎng)絡(luò)化，攻擊面逐漸擴(kuò)大，給外部攻擊者提供了更多的入侵點(diǎn)；其次，醫(yī)療機(jī)構(gòu)內(nèi)部存在信息安全建設(shè)缺位，安全意識不足的情況，加劇了安全風(fēng)險(xiǎn)。

網(wǎng)絡(luò)攻擊日益猖獗，信息泄露與勒索事件頻發(fā)

醫(yī)療保健組織擁有大量寶貴且敏感的數(shù)據(jù)，2023年針對醫(yī)療保健領(lǐng)域的網(wǎng)絡(luò)攻擊比前一年增加了134%。近年來，醫(yī)院把在線技術(shù)應(yīng)用到遠(yuǎn)程醫(yī)療、病例記錄等諸多領(lǐng)域。這令醫(yī)院成為網(wǎng)絡(luò)竊賊的目標(biāo)，他們以系統(tǒng)數(shù)據(jù)等為要挾，索取高額贖金。

針對醫(yī)療交易支付平臺Change Healthcare的攻擊，對全美藥店的交易產(chǎn)生了重大影響。黑客們還竊取了6太字節(jié)（TB）的敏感數(shù)據(jù)，包括美國軍方/海軍人員的個(gè)人身份信息、病例、牙科記錄、付款信息，以及該系統(tǒng)解決方案源代碼和數(shù)千家醫(yī)療保健提供商、藥房及保險(xiǎn)提供商的數(shù)據(jù)。

2024年1月底，美國芝加哥盧里兒童醫(yī)院遭受勒索軟件攻擊，被索要340萬美元贖金。去年12月，ALPHV/BlackCat勒索軟件團(tuán)伙攻擊了全美最大的醫(yī)療交易支付平臺Change Healthcare。

美國《福布斯》雙周刊網(wǎng)站在近日的報(bào)道中指出，醫(yī)療保健機(jī)構(gòu)擁有大量寶貴且敏感的數(shù)據(jù)，已經(jīng)成為黑客的目標(biāo)。針對醫(yī)療保健行業(yè)的網(wǎng)絡(luò)攻擊持續(xù)增加，而且在許多情況下，現(xiàn)有網(wǎng)絡(luò)防御水平根本無法抵擋。人工智能（AI）的加入也讓這場“貓鼠游戲”更加復(fù)雜，保障醫(yī)療網(wǎng)絡(luò)的安全已迫在眉睫。


2021年1月至2月期間進(jìn)行的一項(xiàng)調(diào)查顯示，全球34%的醫(yī)療保健企業(yè)報(bào)告稱前一年經(jīng)歷過勒索軟件攻擊，63%的醫(yī)療保健企業(yè)預(yù)計(jì)未來會受到網(wǎng)絡(luò)攻擊的影響。另一份研究報(bào)告《2022年醫(yī)療保健物聯(lián)網(wǎng)設(shè)備安全狀況》稱，醫(yī)院使用的互聯(lián)網(wǎng)連接設(shè)備中，有一半以上存在漏洞，可能會危及患者安全、機(jī)密數(shù)據(jù)或設(shè)備的可用性。


醫(yī)療系統(tǒng)遭攻擊，可能危及生命

醫(yī)療保健領(lǐng)域的網(wǎng)絡(luò)攻擊與日俱增，對患者安全的影響也越來越大。每年有超過22萬名患者在盧里兒童醫(yī)院接受治療。遭受勒索軟件攻擊后，多臺手術(shù)被延誤，醫(yī)生和患者無法獲得超聲波和CT掃描結(jié)果，處方也只能以紙質(zhì)形式開出。

當(dāng)遭受攻擊時(shí)，醫(yī)院不得不關(guān)閉網(wǎng)絡(luò)，中斷互聯(lián)網(wǎng)連接。這意味著很多醫(yī)療技術(shù)無法施行，會對患者健康造成直接風(fēng)險(xiǎn)，并可能威脅生命。此外，當(dāng)醫(yī)院遭受攻擊時(shí)，有些中風(fēng)、心臟病發(fā)作患者需要轉(zhuǎn)移。如果臨近醫(yī)院也因?yàn)槔账鬈浖舳P(guān)閉，很可能嚴(yán)重延誤患者治療。由于網(wǎng)絡(luò)攻擊，醫(yī)生無法在線查看患者的電子病歷，因此無法快速確定患者對哪些藥物過敏，也會影響治療進(jìn)度。

早在2021年世界經(jīng)濟(jì)論壇上，網(wǎng)絡(luò)和平研究所首席執(zhí)行官斯蒂芬妮·杜金就曾表示，對醫(yī)療保健領(lǐng)域的網(wǎng)絡(luò)攻擊不僅是對計(jì)算機(jī)的攻擊，也是對弱勢群體和護(hù)理人員的攻擊，甚至是對其生命的剝奪。美國聯(lián)邦當(dāng)局正在將針對醫(yī)院和醫(yī)療機(jī)構(gòu)的網(wǎng)絡(luò)攻擊視為“威脅生命”的犯罪。

安全建設(shè)較為基礎(chǔ)，網(wǎng)絡(luò)安全培訓(xùn)亟需加強(qiáng)

《醫(yī)院信息安全調(diào)查報(bào)告》指出，受訪醫(yī)院設(shè)置專門信息安全員的受訪者只占 18.19%，仍然有部分受訪者表示其所在醫(yī)院未設(shè)信息安全員”“10.1%的受訪者表示沒有受到專業(yè)的網(wǎng)絡(luò)安全培訓(xùn)?？梢?，網(wǎng)絡(luò)安全培訓(xùn)需增加并形成常態(tài)化，必要時(shí)應(yīng)在全院進(jìn)行培訓(xùn)，以提高工作人員的專業(yè)素養(yǎng)和技能。CISAW-HSP作為國內(nèi)唯一一個(gè)針對醫(yī)療行業(yè)信息安全保障人員的認(rèn)證培訓(xùn)，將從安全合規(guī)、管理辦法、信息安全技術(shù)和安全管理等方面展開培訓(xùn)。

目前醫(yī)院對網(wǎng)絡(luò)安全重視程度已大幅提高，采取多項(xiàng)措施保障網(wǎng)絡(luò)安全。不過，調(diào)查顯示仍有少部分醫(yī)院未做基本的網(wǎng)絡(luò)安全防護(hù)或防范形式單一，使網(wǎng)絡(luò)面臨風(fēng)險(xiǎn)。醫(yī)院對信息系統(tǒng)開展定期滲透測試的重要性未得到重視，網(wǎng)絡(luò)滲透測試的頻率偏低。



AI工具升級網(wǎng)絡(luò)攻防

人們普遍認(rèn)為，AI將改變醫(yī)療保健行業(yè)的面貌。AI工具在保護(hù)醫(yī)療保健系統(tǒng)免受勒索軟件攻擊方面可能非常重要，這些工具可幫助檢測出軟件漏洞。但與此同時(shí)，勒索軟件組織也在利用AI工具實(shí)施攻擊。

從積極一面來看，AI工具可幫助人們快速掃描網(wǎng)絡(luò)、識別和修補(bǔ)漏洞。但壞人也在使用AI編寫網(wǎng)絡(luò)釣魚電子郵件、惡意軟件和代碼。這些惡意軟件和代碼可快速掃描醫(yī)療網(wǎng)絡(luò)，找出漏洞，根據(jù)這些漏洞快速開發(fā)惡意軟件予以攻擊。AI驅(qū)動的網(wǎng)絡(luò)攻擊或是2023年更多人受到健康數(shù)據(jù)泄露影響的一個(gè)因素。

美國醫(yī)院協(xié)會網(wǎng)絡(luò)安全顧問約翰·里吉強(qiáng)調(diào)，鑒于醫(yī)療保健領(lǐng)域的重要性，保障醫(yī)療保健網(wǎng)絡(luò)安全勢在必行。醫(yī)院和衛(wèi)生系統(tǒng)應(yīng)將網(wǎng)絡(luò)安全視為重中之重，政府也要更加積極地打擊勒索軟件組織，包括對勒索組織的財(cái)務(wù)進(jìn)行攔截等。

來源：科技日報(bào)