醫療行業中的勒索軟體危及患者

語言: CN / TW / HK

在過去的兩年裡,考慮到疫情給患者造成的巨大損失,COVID-19病毒一直醫療保健組織的心腹之患——這是理所當然的。但另一個造成巨大傷害的威脅受到的關注比起COVID-19則微不足道——勒索軟體。雖然勒索軟體攻擊佔據了很多頭條新聞,但經常在討論中缺失的這種威脅可能給患者造成的不可挽回的傷害。

網路攻擊是一種不同型別的流行病,在過去幾年中大幅增加。它們已成為醫療保健行業所要應對的日常現實問題。醫療保健組織的領導者明白網路威脅成為了一種“新常態”。但關於網路風險的對話通常集中在底線,例如緩解、不合規或訴訟的成本。

對於一個以提高我們生活質量為使命的行業來說,令人驚訝的是,最大的網路安全問題的關注視角始終圍繞著財務損失。醫療保健領導者、醫生和其他護理人員需要從一個新的視角——患者健康和安全——來看待網路安全風險。

勒索軟體和健康專業人士承諾“不傷害”

醫療保健專業人員致力於保護患者免受傷害。在當今的數字世界中,這項任務不再侷限於直接護理服務。勒索軟體攻擊使患者面臨身體風險,並與可能危及生命的疾病一樣具有破壞性。

以2020年秋季使佛蒙特大學醫學中心(UVMC)運營癱瘓的襲擊為例。在勒索軟體關閉了對電子健康記錄等系統的訪問近一個月後,UVMC的癌症中心不得不拒絕數百名化療患者。

癌症診所主要為農村地區服務,因此網路攻擊不僅讓許多患者感到恐懼、痛苦和流淚,而且沒有其他治療方法。《紐約時報》援引一名護士的話說:“(我)看著病患的眼睛,告訴他們不能接受延長生命或挽救生命的治療,這太可怕了,而且完全令人心碎。”

像UVMC患者這樣的故事很少在公共場合得到討論,但它們遠非獨一無二。根據Ponemon Institute最近的一份報告(PDF)顯示,在過去兩年中,43%的接受調查的醫療保健提供組織遭到勒索軟體攻擊。這其中導致的後果包括由於程式或測試延遲而導致的結果不佳(70%受勒索軟體影響的醫院經歷過),醫療程式併發症增加(36%),死亡率上升(22%)。

重新思考網路安全的重要性

ECRI是一家專注於患者安全的非營利組織,他們將網路安全攻擊評為2022年最大的健康技術危害(PDF)。影響排名的因素包括嚴重性、頻率、廣度和可預防性。歐洲反對種族主義和不容忍委員會的報告強調,網路安全事件“不僅會干擾業務運營——還可以擾亂患者護理,構成真正的人身傷害威脅”。

預計隨著威脅行為者以驚人的速度瞄準該行業,解決這種風險帶來的不利影響將迫在眉睫。UVMC就是一個很好的例子——就在幾天前,美國政府官員警告俄羅斯黑客即將對美國醫院進行網路攻擊,他們襲擊了醫療中心。這不是第一次這樣的警報。

當然,網路安全對該行業來說不是一個新問題。長期以來,IT和網路安全專業人士一直敲響警笛,表明醫療保健是許多其他行業實施強大防禦的幕後黑手。但勒索軟體威脅重新揭示了網路安全的不足,因為對患者的影響是立竿見影的,其危害比資料洩露之類的東西大得多。

現在是決策者和醫療保健專業人員理解網路安全對人類的好處以及網路安全缺失或失敗時的人員損失的時候了。患者來到醫院或診所等待治療,通常是緊急的。如果醫療保健提供商因網路犯罪分子劫持他們的系統而無法提供這些服務,那麼他們就會侵犯患者的信任,並危及生命。考慮到該行業網路攻擊的快速增長,像我們在UVMC看到的改變生活的情況將變得普遍。

投資於重要的事情

網路安全在任何部門都不是容易解決的問題,但在醫療保健領域更是如此。環境的複雜性,包括連線的醫療裝置、多個位置和遺留系統,造成了許多挑戰。一個典型的醫療保健組織擁有最低的IT預算遠遠不足以實施有效的網路安全解決方案,這杯水車薪,無濟於事。

讓IT團隊幾乎沒有資源來抵禦網路攻擊不再是一種選擇。雖然醫療保健組織將大部分資金用於提供護理,但他們還需要認識到,在當今的環境中,護理的提供不僅依賴於醫療裝置和人員,還依賴於強大的網路安全防禦。如果網路安全是低優先順序,那麼護理的提供將受到影響。

你如何迫使決策者從新的角度看待他們的責任?首先就要告訴他們他們需要聽的故事。關於兩個孩子的母親被剝奪了救生待遇的故事。或者,護士將在受勒索軟體影響的醫療中心工作比作在波士頓馬拉松爆炸案後在燒傷病房工作。或者一位悲痛欲絕的母親將孩子死亡歸咎於勒索軟體攻擊。

這些不是恐嚇策略。它們是那種有助於將網路安全風險轉化為人類影響的資訊。如果這不能迫使董事會或其他決策者對網路安全進行投資,會發生什麼?