想象一个场景:你正躺在手术台上,医生和护士们都已经消完毒,换好无菌手术服准备进行手术,此时医院的数字化系统遭到勒索组织的攻击,关键的数字化系统已经被加密,不少手术设备直接无法再使用。此时,勒索攻击者开出了解密系统的赎金,医院可以选择不支付赎金。但对于急需手术的病人来说,无异于是一场“谋杀”。
在数字化道路上狂奔了十年的医疗行业,也许正在成为勒索组织眼中一个装满黄金的保险箱。Obrela最近的一项调查发现,81%的英国医疗组织在2021年遭受了勒索软件攻击。此前某医疗机构CEO就曾表示,“除了自然灾害外,网络安全是诊所面临的头号风险。”2021年,爱尔兰全国卫生系统遭受勒索软件攻击,其相关负责人表示恢复成本可能超过6亿美元。而《医疗行业勒索病毒专题报告》的数据显示,我国有247家三甲医院检出了勒索病毒,以广东、湖北、江苏等地区检出勒索病毒最多。
在2022年最后的一个月,我们观察到勒索组织对于医疗机构的攻击变的更加频繁起来,对于病人的影响也越来越明显,甚至会导致医院关闭,手术暂停的严重后果。
美国第二大医疗机构遭攻击,泄露62万用户数据
当地时间12月1日,美国美国第二大卫生系统CommonSpirit Health 对安全事件的最新内部调查结果,承认在10月份发生的勒索软件攻击中,不仅当时医疗机构的IT系统被瘫痪,还有超过62万患者的敏感数据被窃取。
据悉该机构在21个州运营着140家医院和1000多个护理点,因此其运营中的任何中断都具有广泛的影响潜力。泄露的患者信息包括姓名、家庭住址、电话号码、出生日期以及在该医院内使用的ID号码。
CommonSpirit Health 尚未透露进行此次攻击的勒索软件组织,也没有任何犯罪活动声称对此负责。事件发生后,该医疗机构承诺会将数据泄露通知给每一位用户,但当时没有透露受影响患者的人数。
毫无疑问,如此敏感的数据被攻击者窃取,不论这些信息是在暗网上兜售,还是以此为基础进行大范围的欺诈,患者本人及其亲属大概率面临严峻的钓鱼邮件攻击或者电信欺诈,这样的操作在历次的信息泄露事件中已经十分常见。而调查结果显示,一份包含保险文件、医疗文凭、医生执照和DEA许可证的医疗信息在暗网上售价约500美元,丰厚的利润让攻击者动力十足。
因遭受勒索攻击攻击,病人等待12小时才能看病
个人敏感信息泄露还只是医疗机构被勒索攻击影响较小的一种,更严重的是,勒索攻击往往会加密医院的数字化系统,直接导致医院陷入瘫痪状态,大大降低了医生看病问诊的时间,无数亟待救治的病人将因此无法得到及时的治疗,将直接引起更加可怕的“灾难”。
11月底,跨国医疗保健机构Keralty 跨国医疗保健遭受了 RansomHouse 勒索软件攻击,扰乱了该公司及其子公司的网站和运营。随后,勒索组织向Keralty公布了赎金,但是该医疗机构并未支付,因此只能被动承受勒索攻击带来了巨大影响。
Keralty 是哥伦比亚的一家医疗保健提供商,在拉丁美洲、西班牙、美国和亚洲运营着一个由 12 家医院和 371 个医疗中心组成的国际网络。该集团拥有 24000 名员工和 10000 名医生,为超过 600 万患者提供医疗服务。
在遭遇勒索攻击后,Keralty 及其子公司 EPS Sanitas 和 Colsanitas 的 IT 运营、医疗预约安排及其网站都受到了干扰。而最严重的当属IT系统中断带来的恶劣影响,不少患者甚至排队就医时间甚至已经超过12小时,一些患者因缺乏医疗护理而晕倒,极大地影响了患者就医秩序和危重病人的救治时间。
法国一家医院因勒索攻击关闭,重症患者紧急被转移
如果说Keralty及其子公司遭遇勒索攻击只是增加了患者的排队时间,那么法国这家医院真正因为勒索攻击而导致已经安排好的患者手术不得不临时取消,并将患者紧急转移至其他医院进行治疗。
12月初,法国卫生部宣布凡尔赛医院中心在周末遭到网络攻击,包括 Andre-Mignot 医院、Richaud 医院和 Despagne 养老院在内的凡尔赛医院中心关闭了医院,取消了部分需要进行的手术,并转移了患者,其中三名在重症监护室,三名来自新生儿病房。
根据 RFI 的网站,医院的计算机感染了勒索软件,攻击背后的勒索组织者要求赎金。但是该医疗机构公开表示,目前确实收到赎金要求,但是我们并不打算支付。警方对敲诈勒索未遂展开调查,医院方面也提出了正式投诉。
法国卫生部长Francois Braun在法新社的采访中指出,这并不是第一次袭击法国医疗保健行业的黑客攻击,“医疗系统每天都在遭受攻击”,而且“绝大多数此类攻击都被阻止了”。
在2022年8 月,巴黎东南部的一家医院 Centre Hospitalier Sud Francilien (CHSF) 在周末遭受了勒索软件攻击。这次袭击扰乱了紧急服务和手术,迫使医院将病人转诊到其他机构。据当地媒体报道,威胁行为者要求 1000 万美元的赎金,以提供解密密钥以恢复加密数据。
结语
卡巴斯基全球研究和分析团队亚太区总监Vitaly Kamluk指出,医疗机构并没有为网络安全环境的变化做好准备,他们更渴望投资新设备,而不是投资保护旧设备。不少医疗设备价格很好、质量很好,能够保证运行十年以上,但是同时意味着软件更新也很慢。
这也是勒索组织针对医疗机构频频发起攻击的原因,低门槛高回报让这些利益团队蠢蠢欲动,因此不少安全专家认为,医疗机构应该建设更加具有针对性的安全框架,以此保护IT系统和敏感数据安全,同时也要加大对网络安全的投入,积极培养员工网络安全意识,全面提升整体安全防护能力。
毕竟,这不仅仅是一个网络安全问题,更是一个事关病人就诊甚至是生命安全。