2月初,黑客“黑”進好萊塢一家醫(yī)院的電腦系統(tǒng),將包括患者病歷和個人信息在內(nèi)的所有電子資料加密,以此索要上百萬美元贖金。
這不是黑客第一次找醫(yī)院下“黑”手。近年來美國醫(yī)院遭黑客攻擊案件頻現(xiàn),引起關注:黑客們?yōu)楹味⑸狭酸t(yī)院?又為何頻頻得手?醫(yī)院該如何自保?
【黑客突襲 醫(yī)院抓狂】
2月5日一早,好萊塢長老會醫(yī)學中心的工作人員發(fā)現(xiàn),儲存病患信息的電子數(shù)據(jù)資料庫怎么都打不開。一開始,他們以為是電腦故障,但很快發(fā)現(xiàn)不對勁兒。
到了中午,這家擁有434張床位、近百年歷史的醫(yī)院亂作一團,侵入服務器的黑客在屏幕上留言:拿出9000個比特幣,我就還你資料。
比特幣是一種全球通用虛擬貨幣,可以兌換成大多數(shù)國家的貨幣。媒體估算,這次黑客的要價,換算成美元,約合340萬至365萬美元。
院方立即報警,并邀請計算機專家協(xié)助破案、破解密鑰。但問題一時難以解決,醫(yī)院不得不宣布內(nèi)部進入緊急狀態(tài)。
等候解鎖時間,由于惡意軟件攻擊,電腦無法聯(lián)網(wǎng),計算機斷層掃描和磁共振掃描等診斷無法開展,患者檢查結果和病歷無法查閱,甚至有媒體報道,部分危重患者不得不轉院治療。
整個醫(yī)院被生生拉回到幾十年前的狀態(tài):收治病人手續(xù)統(tǒng)統(tǒng)靠手寫,病歷醫(yī)囑靠手寫,檢查單和通知單全部只有紙質,信息共享只能靠打電話、發(fā)傳真甚至遞送手寫單。
更讓人擔憂的是,由于數(shù)據(jù)庫內(nèi)含病人聯(lián)系方式、住址、信用卡號、醫(yī)保號碼等個人信息,一旦泄露出去,后果不堪設想。
10天過去了,洛杉磯警察局、聯(lián)邦調查局和多路專家那里沒有絲毫進展。按照院方說法,這次攻擊系黑客隨機選擇,經(jīng)過一番討價還價,醫(yī)院最后向黑客支付40個比特幣(約合1.7萬美元),拿到密鑰。
“我們要想重新恢復系統(tǒng)、恢復正常管理,最快、最高效的辦法就是支付贖金、取得密鑰,”醫(yī)學中心院長艾倫·斯特凡內(nèi)克發(fā)表聲明說,“我們這么做是為了恢復正常運轉,這最符合(醫(yī)院)利益。”
【新式勒索 無計可施?】
好萊塢長老會醫(yī)學中心是一種名為“勒索軟件”的惡意程序受害者。這種軟件惡名遠揚,日益猖獗,甚至連警察局也被迫就范。
美國殺毒軟件巨頭賽門鐵克公司報告顯示,僅在2013年,全美勒索軟件攻擊次數(shù)由1月的10萬次上升到12月的60萬次。
英特爾公司旗下軟件專業(yè)安全技術公司邁克菲實驗室2015年底預測,由于勒索軟件不斷升級,2016年同類網(wǎng)絡攻擊次數(shù)可能會進一步增長。
按照網(wǎng)絡安全公司比特梵德的說法,超過半數(shù)的美國勒索軟件受害者最終向黑客支付了贖金。研究顯示,黑客們因此在2個月內(nèi)聚斂3.25億美元。
馬薩諸塞州、田納西州和新罕布什爾州各有一家小型警察局先后遭遇勒索軟件攻擊。為了拿回對它們而言至關重要的數(shù)據(jù),警局不得不向黑客支付價值500美元至750美元不等的贖金。
那么,勒索軟件到底有何能耐、連警察都束手無策呢?
專家介紹,這種惡意軟件常以電子郵件附件、網(wǎng)頁木馬病毒等形式在網(wǎng)絡上“廣撒網(wǎng)”,平時深藏不漏,一旦有人點擊它藏身的電子郵件、社交媒體或其他網(wǎng)站鏈接,就會自動下載并運行,非正常加密用戶數(shù)據(jù),讓用戶無法正常使用,以此勒索錢財。支付形式目前以比特幣等虛擬貨幣為主。
勒索軟件在歐洲已流行二十多年,技術含量并不是特別高,罪犯使用的加密方法在網(wǎng)上隨處可見。但按照《大西洋月刊》說法,他們一旦將文件加密,即使是聯(lián)邦調查局也不見得能破解密鑰。
更何況,這種惡意軟件隱蔽性很強,讓人防不勝防又難以追查,對用戶數(shù)據(jù)安全帶來的危害越來越不容小覷。
一方面,為了避免自身被安全人員分析,勒索軟件不會像蠕蟲病毒那樣傳播,它通常在加密用戶文件并生成提示用戶的文本后就會自動刪除,警方和專家很難找到源頭。另一方面,由于比特幣具有匿名性,目前技術手段基本上查不到它的來源和去向,所以一旦以比特幣為支付贖金的方式,基本上別指望警方能追蹤到罪犯行跡。
另外,除非黑客知道自己“黑”了富人或有錢機構的重要資料,他們通常索要的贖金金額并不大,平均300美元,警方有時覺得不值得興師動眾去調查。
按照美聯(lián)社說法,聯(lián)邦調查局以往甚至會勸受害者:“您就破破財吧。這么大動干戈不值當。”
像好萊塢長老會醫(yī)學中心這樣一下被勒索上百萬美元的案例實屬罕見。但即使警方和專家鼎力合作數(shù)日,到底也沒能找到嫌疑人、查清醫(yī)院如何感染上這種病毒,最終也只是懷疑可能有人不小心點錯了鏈接。
雖然美聯(lián)社建議大家一旦遭遇類似事件,需要盡快報警,但也無奈提醒:“您心里要有底,到末了估計還得掏贖金。”
【醫(yī)院為何老被“黑”?】
算上好萊塢長老會醫(yī)學中心,今年頭兩個月至少有4家醫(yī)院受勒索軟件攻擊。事實上,以醫(yī)院為目標的黑客攻擊案件近年來越來越多。
2015年7月,加利福尼亞大學洛杉磯分校醫(yī)療系統(tǒng)遭遇網(wǎng)絡襲擊,旗下4家醫(yī)院大約450萬個人的私人信息可能存在安全隱患。雖然院方堅稱尚無證據(jù)表明黑客已“獲得某個個體的私人或醫(yī)療信息”,但醫(yī)院還是向可能受影響的個人免費提供為期一年的身份防盜服務和信用監(jiān)督保護。
《華盛頓郵報》分析衛(wèi)生與公眾服務部數(shù)據(jù)后發(fā)現(xiàn),僅在2015年3月,全國醫(yī)療系統(tǒng)遭遇超過1100次黑客攻擊,逾1.2億人利益受損害。
為何黑客對醫(yī)院青睞有加?專家認為,醫(yī)院掌握的特有資源令不法分子垂涎三尺,而醫(yī)院相對落后的信息安全系統(tǒng)又給了這些人可乘之機。
按照《基督教科學箴言報》的說法,醫(yī)療系統(tǒng)在黑客眼中簡直就是個大金庫,內(nèi)有個人姓名、住址、聯(lián)系方式、社會保險號碼、銀行賬號信息、索賠數(shù)據(jù)和臨床資料等海量信息。這些信息不只能拿到黑市上買個好價錢、供人盜用身份,還能讓人非法獲取處方藥、甚至騙取保險。一旦有人因此被竊取身份,小到尋醫(yī)問藥、大到醫(yī)療保險、信用記錄都可能受影響,風險著實不容忽視。
美國知名網(wǎng)絡安全研究機構波內(nèi)蒙研究所數(shù)據(jù)顯示,2014年醫(yī)療身份失竊影響了大約230萬人的生活,比前一年上升21%,因此給受害者造成人均1.35萬美元的損失。
更有甚者,部分不法分子會盯上名人健康隱私,或以此相要挾索要金錢,或轉手賣給他人獲利。
長期報道網(wǎng)絡安全的記者賈伊庫馬爾·維賈揚認為,由于美國大力推進電子病歷記錄項目,眼下全國醫(yī)療系統(tǒng)的病歷檔案統(tǒng)統(tǒng)聯(lián)網(wǎng),這為黑客們拿醫(yī)院下手提供了便利。而醫(yī)院和保險公司的信息安全技術更新?lián)Q代比較慢,安全意識又普遍較弱——服務器管理不設權限,設備不更改初始密碼或設置過于簡單,無線網(wǎng)絡密碼幾乎人人能猜到……這樣的例子比比皆是,黑客們才得以頻頻得手、日漸猖狂。
【怎樣才能更安全?】
雖然迄今尚無報告顯示黑客對醫(yī)院的攻擊造成病患傷亡,但不少業(yè)內(nèi)人士呼吁,醫(yī)院亟需加強數(shù)據(jù)安全工作,尤其在醫(yī)療設備上更要下工夫防范風險。
約翰斯·霍普金斯大學計算機學教授、網(wǎng)絡安全專家阿維·魯賓1月參加一個關于醫(yī)學網(wǎng)絡安全的大會時說,早在上世紀90年代,他參觀東海岸醫(yī)院時就發(fā)現(xiàn)不少醫(yī)院計算機實驗室密碼保護過于簡單,安全程序被隨意更改,軟件控制的藥物調劑機器人缺少必要的保護程序。
“一旦(調劑藥物的)軟件出故障怎么辦?要是有人攻擊這個系統(tǒng)、導致藥全都配錯了怎么辦?”魯賓憂心忡忡地說。
眼下,美國不少醫(yī)療設備生產(chǎn)商開始和監(jiān)管者一起,加強安全措施,防范網(wǎng)絡襲擊——
2013年,食品和藥物管理局向醫(yī)療保健設備生產(chǎn)廠家發(fā)布網(wǎng)絡安全備忘錄,建議對方評估設備及相關網(wǎng)絡安全;2014年,食品和藥物管理局發(fā)布指導準則,要求醫(yī)學設備上市前必須接受網(wǎng)絡安全測試;2015年,食品和藥物管理局聯(lián)手國土安全部向醫(yī)院發(fā)布警告,指出一種植入式藥泵設計存在嚴重缺陷,能給黑客可乘之機;2016年1月,食品和藥物管理局起草文件,要求設備生產(chǎn)商展開安全自檢,同時允許第三方研究人員標注安全風險。
醫(yī)學設備技術安全顧問斯科特·埃芬斯認為,如何平衡醫(yī)學創(chuàng)新和監(jiān)管之間的關系至關重要,但這一切不應以人的生命為代價。
埃芬斯說,雖然目前尚未發(fā)現(xiàn)有人蓄意針對醫(yī)學設備發(fā)動網(wǎng)絡攻擊,但風險猶存??績?nèi)部自省與外部監(jiān)管不斷完善是個漫長的過程,醫(yī)院眼下至少還能做些補充防范措施,例如將安全風險最大的設備與外部網(wǎng)絡斷開,要求技術人員刪除預設的安全憑證信息,加強無線網(wǎng)絡安全,淘汰安全隱患較大的設備等。