2月初,黑客“黑”进好莱坞一家医院的电脑系统,将包括患者病历和个人信息在内的所有电子资料加密,以此索要上百万美元赎金。
这不是黑客第一次找医院下“黑”手。近年来美国医院遭黑客攻击案件频现,引起关注:黑客们为何盯上了医院?又为何频频得手?医院该如何自保?
【黑客突袭 医院抓狂】
2月5日一早,好莱坞长老会医学中心的工作人员发现,储存病患信息的电子数据资料库怎么都打不开。一开始,他们以为是电脑故障,但很快发现不对劲儿。
到了中午,这家拥有434张床位、近百年历史的医院乱作一团,侵入服务器的黑客在屏幕上留言:拿出9000个比特币,我就还你资料。
比特币是一种全球通用虚拟货币,可以兑换成大多数国家的货币。媒体估算,这次黑客的要价,换算成美元,约合340万至365万美元。
院方立即报警,并邀请计算机专家协助破案、破解密钥。但问题一时难以解决,医院不得不宣布内部进入紧急状态。
等候解锁时间,由于恶意软件攻击,电脑无法联网,计算机断层扫描和磁共振扫描等诊断无法开展,患者检查结果和病历无法查阅,甚至有媒体报道,部分危重患者不得不转院治疗。
整个医院被生生拉回到几十年前的状态:收治病人手续统统靠手写,病历医嘱靠手写,检查单和通知单全部只有纸质,信息共享只能靠打电话、发传真甚至递送手写单。
更让人担忧的是,由于数据库内含病人联系方式、住址、信用卡号、医保号码等个人信息,一旦泄露出去,后果不堪设想。
10天过去了,洛杉矶警察局、联邦调查局和多路专家那里没有丝毫进展。按照院方说法,这次攻击系黑客随机选择,经过一番讨价还价,医院最后向黑客支付40个比特币(约合1.7万美元),拿到密钥。
“我们要想重新恢复系统、恢复正常管理,最快、最高效的办法就是支付赎金、取得密钥,”医学中心院长艾伦·斯特凡内克发表声明说,“我们这么做是为了恢复正常运转,这最符合(医院)利益。”
【新式勒索 无计可施?】
好莱坞长老会医学中心是一种名为“勒索软件”的恶意程序受害者。这种软件恶名远扬,日益猖獗,甚至连警察局也被迫就范。
美国杀毒软件巨头赛门铁克公司报告显示,仅在2013年,全美勒索软件攻击次数由1月的10万次上升到12月的60万次。
英特尔公司旗下软件专业安全技术公司迈克菲实验室2015年底预测,由于勒索软件不断升级,2016年同类网络攻击次数可能会进一步增长。
按照网络安全公司比特梵德的说法,超过半数的美国勒索软件受害者最终向黑客支付了赎金。研究显示,黑客们因此在2个月内聚敛3.25亿美元。
马萨诸塞州、田纳西州和新罕布什尔州各有一家小型警察局先后遭遇勒索软件攻击。为了拿回对它们而言至关重要的数据,警局不得不向黑客支付价值500美元至750美元不等的赎金。
那么,勒索软件到底有何能耐、连警察都束手无策呢?
专家介绍,这种恶意软件常以电子邮件附件、网页木马病毒等形式在网络上“广撒网”,平时深藏不漏,一旦有人点击它藏身的电子邮件、社交媒体或其他网站链接,就会自动下载并运行,非正常加密用户数据,让用户无法正常使用,以此勒索钱财。支付形式目前以比特币等虚拟货币为主。
勒索软件在欧洲已流行二十多年,技术含量并不是特别高,罪犯使用的加密方法在网上随处可见。但按照《大西洋月刊》说法,他们一旦将文件加密,即使是联邦调查局也不见得能破解密钥。
更何况,这种恶意软件隐蔽性很强,让人防不胜防又难以追查,对用户数据安全带来的危害越来越不容小觑。
一方面,为了避免自身被安全人员分析,勒索软件不会像蠕虫病毒那样传播,它通常在加密用户文件并生成提示用户的文本后就会自动删除,警方和专家很难找到源头。另一方面,由于比特币具有匿名性,目前技术手段基本上查不到它的来源和去向,所以一旦以比特币为支付赎金的方式,基本上别指望警方能追踪到罪犯行迹。
另外,除非黑客知道自己“黑”了富人或有钱机构的重要资料,他们通常索要的赎金金额并不大,平均300美元,警方有时觉得不值得兴师动众去调查。
按照美联社说法,联邦调查局以往甚至会劝受害者:“您就破破财吧。这么大动干戈不值当。”
像好莱坞长老会医学中心这样一下被勒索上百万美元的案例实属罕见。但即使警方和专家鼎力合作数日,到底也没能找到嫌疑人、查清医院如何感染上这种病毒,最终也只是怀疑可能有人不小心点错了链接。
虽然美联社建议大家一旦遭遇类似事件,需要尽快报警,但也无奈提醒:“您心里要有底,到末了估计还得掏赎金。”
【医院为何老被“黑”?】
算上好莱坞长老会医学中心,今年头两个月至少有4家医院受勒索软件攻击。事实上,以医院为目标的黑客攻击案件近年来越来越多。
2015年7月,加利福尼亚大学洛杉矶分校医疗系统遭遇网络袭击,旗下4家医院大约450万个人的私人信息可能存在安全隐患。虽然院方坚称尚无证据表明黑客已“获得某个个体的私人或医疗信息”,但医院还是向可能受影响的个人免费提供为期一年的身份防盗服务和信用监督保护。
《华盛顿邮报》分析卫生与公众服务部数据后发现,仅在2015年3月,全国医疗系统遭遇超过1100次黑客攻击,逾1.2亿人利益受损害。
为何黑客对医院青睐有加?专家认为,医院掌握的特有资源令不法分子垂涎三尺,而医院相对落后的信息安全系统又给了这些人可乘之机。
按照《基督教科学箴言报》的说法,医疗系统在黑客眼中简直就是个大金库,内有个人姓名、住址、联系方式、社会保险号码、银行账号信息、索赔数据和临床资料等海量信息。这些信息不只能拿到黑市上买个好价钱、供人盗用身份,还能让人非法获取处方药、甚至骗取保险。一旦有人因此被窃取身份,小到寻医问药、大到医疗保险、信用记录都可能受影响,风险着实不容忽视。
美国知名网络安全研究机构波内蒙研究所数据显示,2014年医疗身份失窃影响了大约230万人的生活,比前一年上升21%,因此给受害者造成人均1.35万美元的损失。
更有甚者,部分不法分子会盯上名人健康隐私,或以此相要挟索要金钱,或转手卖给他人获利。
长期报道网络安全的记者贾伊库马尔·维贾扬认为,由于美国大力推进电子病历记录项目,眼下全国医疗系统的病历档案统统联网,这为黑客们拿医院下手提供了便利。而医院和保险公司的信息安全技术更新换代比较慢,安全意识又普遍较弱——服务器管理不设权限,设备不更改初始密码或设置过于简单,无线网络密码几乎人人能猜到……这样的例子比比皆是,黑客们才得以频频得手、日渐猖狂。
【怎样才能更安全?】
虽然迄今尚无报告显示黑客对医院的攻击造成病患伤亡,但不少业内人士呼吁,医院亟需加强数据安全工作,尤其在医疗设备上更要下工夫防范风险。
约翰斯·霍普金斯大学计算机学教授、网络安全专家阿维·鲁宾1月参加一个关于医学网络安全的大会时说,早在上世纪90年代,他参观东海岸医院时就发现不少医院计算机实验室密码保护过于简单,安全程序被随意更改,软件控制的药物调剂机器人缺少必要的保护程序。
“一旦(调剂药物的)软件出故障怎么办?要是有人攻击这个系统、导致药全都配错了怎么办?”鲁宾忧心忡忡地说。
眼下,美国不少医疗设备生产商开始和监管者一起,加强安全措施,防范网络袭击——
2013年,食品和药物管理局向医疗保健设备生产厂家发布网络安全备忘录,建议对方评估设备及相关网络安全;2014年,食品和药物管理局发布指导准则,要求医学设备上市前必须接受网络安全测试;2015年,食品和药物管理局联手国土安全部向医院发布警告,指出一种植入式药泵设计存在严重缺陷,能给黑客可乘之机;2016年1月,食品和药物管理局起草文件,要求设备生产商展开安全自检,同时允许第三方研究人员标注安全风险。
医学设备技术安全顾问斯科特·埃芬斯认为,如何平衡医学创新和监管之间的关系至关重要,但这一切不应以人的生命为代价。
埃芬斯说,虽然目前尚未发现有人蓄意针对医学设备发动网络攻击,但风险犹存。靠内部自省与外部监管不断完善是个漫长的过程,医院眼下至少还能做些补充防范措施,例如将安全风险最大的设备与外部网络断开,要求技术人员删除预设的安全凭证信息,加强无线网络安全,淘汰安全隐患较大的设备等。
本文转自d1net(转载)