从最大的医疗公司到单人诊所,医学领域的每个组织都面临着代价高昂的网络攻击风险。近年来,黑客威胁要泄露患者和员工的个人信息或使在线系统瘫痪,除非支付赎金。公司应该支付赎金吗?这并不是一个容易回答的问题。两位专家在10月18日的美国医学会(AMA)网络安全网络研讨会上告诉同事,无论选择支付还是不支付,最终都可能代价高昂。
这只是美国医疗系统在网络安全方面面临的新挑战之一,演讲者表示。其他挑战包括黑客可能操纵患者数据(例如将阳性检测结果改为阴性)以及利用人工智能(AI)的能力。
AMA举办此次网络研讨会是为了教育医生关于网络安全风险和防御措施,尤其是在今年春季Change Healthcare遭到黑客攻击之后。该事件已导致UnitedHealth Group损失约25亿美元,并严重扰乱了美国医疗系统。
告诫性的案例比比皆是。Greg Garcia是医疗部门协调委员会(由多个医疗行业组织组成的联盟)的网络安全执行主任,他提到了宾夕法尼亚州一家诊所拒绝支付500万美元赎金以防止数百张乳腺癌患者的半裸照片被泄露的案例。Garcia告诉网络研讨会参与者,黑客发布了这些照片,该中心据报道同意以6500万美元解决集体诉讼。“他们用500万美元换取了6000万美元,”Garcia说,稍有夸大了和解金额。
风险选择
虽然联邦调查局建议不要支付赎金,但这是一个有风险的选择,Garcia说。黑客发布了照片,该中心据报道同意以6500万美元解决集体诉讼。“他们用500万美元换取了6000万美元,”Garcia说,稍有夸大了和解金额。
医疗系统对于是否支付赎金以防止私人数据在网络攻击中被公开一直保持谨慎。如果要求支付赎金,“每个组织都得自己决定,”Garcia说。
他强调了芬兰一家精神病诊所连锁在2020年遭受勒索软件攻击的案例。黑客联系了患者并说:“嘿,给你的诊所打电话,告诉他们支付赎金。否则,我们将把所有你的精神科病历公之于众。”
网络攻击仍在继续。本月早些时候,波士顿儿童健康医师宣布其遭受了一起“最近的安全事件”,涉及患者和员工的数据,可能包括社会保障号码和治疗信息。一个黑客团体声称对此负责,并要求该系统(拥有超过300名临床医生)支付赎金,否则将泄露被盗信息。
支付赎金应成为犯罪吗?
UC圣地亚哥的医疗网络安全中心主任、急诊医学医师Christian Dameff博士指出,有人正努力将支付赎金定为犯罪。“如果人们不再支付赎金,那么勒索软件操作员将转向其他能赚钱的方式,”Dameff说。
Dameff敦促同事们理解,我们不再生活在一个只有在需要IT部门帮助重置密码时才考虑技术的世界。“我们如何在这个时代开发更好的策略、停机程序和安全临床护理,当我们的关键技术可能消失,不仅仅是几个小时,而是像这些勒索软件攻击一样,有时会持续几周甚至几个月?”他说。
Garcia表示,网络安全是每个人的责任,包括一线临床医生。“因为你们接触数据,接触技术,接触患者,所有这些结合在一起,在数字世界中呈现了一些漏洞。”
下一个前沿:黑客可能操纵患者数据
Dameff表示,未来的黑客可能会利用AI以威胁患者健康的方式操纵个人患者数据。“如果我在你的电子健康记录中删除你的过敏史,或者操纵你的胸部X光片,或者改变你的实验室值,使其看起来你处于糖尿病酮症酸中毒状态而实际上不是,从而导致临床医生给你不必要的胰岛素,会怎么样?”他说。
Garcia强调了另一个新威胁:由于AI的帮助,钓鱼攻击变得更加难以忽视。“黑客入侵、破坏系统和窃取数据最成功的方式之一是通过电子邮件钓鱼,而且这种情况只会因人工智能而变得更糟。”他说,“你不会再看到由尼日利亚或中国的黑客团体写的邮件中有拼写错误。它看起来会非常完美。”
医疗机构和医疗系统可以做些什么?Garcia强调了联邦卫生机构鼓励组织采用最佳网络安全实践的努力。“如果你发生了数据泄露,并且能够向美国卫生与公共服务部(HHS)证明你在过去一年中实施了普遍认可的网络安全控制措施,你已经尽力了,你做了正确的事情,但仍然被攻击,HHS将指示对你网开一面,”他说。“这是一种积极的激励。”
正在编写的勒索软件指南
Dameff表示,UC圣地亚哥的医疗网络安全中心计划明年发布一份免费的网络安全指南,其中将包括针对心脏病学、创伤外科和儿科等医学专业的具体勒索软件攻击信息。“然后,如果你被勒索,你可以查阅这份指南。你会知道会发生什么,可以更好地准备应对这些影响。”
未来总统是否会优先考虑医疗网络安全?目前尚不清楚,但危机确实有能力集中人们的注意力,专家们说。国家首都“记忆短暂,注意力集中时间短。政策制定者倾向于反应式行动,”Dameff说。“只要再发生一次像Change Healthcare那样的攻击,影响30%或更多的国家医疗系统,政策制定者就会坐起来注意,并尝试提出解决方案。”
此外,他说,每天估计发生两次数据泄露/勒索软件攻击。“事实上,我们都是患者,从美国总统到每一位国会议员都是患者。”“有一个非常现实、非常明显的认识:网络安全即患者安全,网络不安全即患者不安全,”Dameff说。
(全文结束)
