为什么受伤的总是医院

好莱坞长老会医学中心是一种名为“勒索软件”的恶意程序受害者。这种软件恶名远扬,日益猖獗。专家介绍,这种恶意软件常以电子邮件附件、网页木马病毒等形式在网络上“广撒网”,平时深藏不露,一旦有人点击它藏身的电子邮件、社交媒体或其他网站链接,就会自动下载并运行,非正常加密用户数据,让用户无法正常使用,以此勒索钱财。支付形式目前以比特币等虚拟货币为主。

算上好莱坞长老会医学中心,今年头两个月至少有4家医院受勒索软件攻击。在美国,以医院为目标的黑客攻击案件近年来越来越多。2015年7月,加利福尼亚大学洛杉矶分校医疗系统遭遇网络袭击,旗下4家医院约450万人的私人信息可能存在安全隐患。虽然院方坚称尚无证据表明黑客已“获得某个个体的私人或医疗信息”,但医院还是向可能受影响的个人免费提供为期一年的身份防盗服务和信用监督保护。

《华盛顿邮报》分析卫生与公众服务部数据后发现,仅2015年3月,美医疗系统就遭遇了1100多次黑客攻击,逾1.2亿人利益受损。

为何黑客对医院青睐有加?专家认为,医院掌握的特有资源令不法分子垂涎三尺,而医院相对落后的信息安全系统又给了这些人可乘之机。

按照《基督教科学箴言报》的说法,医疗系统在黑客眼中简直就是个大金库,内有个人姓名、住址、联系方式、社会保险号码、银行账号信息、索赔数据和临床资料等海量信息。这些信息不只能拿到黑市上卖个好价钱、供人盗用身份,还能让人非法获取处方药、甚至骗取保险。一旦有人因此被窃取身份,小到寻医问药、大到医疗保险、信用记录都可能受影响,风险着实不容忽视。

美国知名网络安全研究机构波内蒙研究所数据显示,2014年医疗身份失窃影响了大约230万人的生活,比前一年上升21%,因此给受害者造成人均1.35万美元的损失。

长期报道网络安全的记者贾伊库马尔·维贾扬认为,由于美国大力推进电子病历记录项目,眼下全国医疗系统的病历档案统统联网,这为黑客们向医院下手提供了便利。而医院和保险公司的信息安全技术更新换代比较慢,安全意识又普遍较弱——服务器管理不设权限,设备不更改初始密码或设置过于简单,无线网络密码几乎人人能猜到……这样的例子比比皆是,黑客们才得以频频得手、日渐猖狂。

还有更多安全隐患

虽然迄今尚无报告显示黑客对医院的攻击造成病患伤亡,但不少业内人士呼吁,医院亟需加强数据安全工作,尤其在医疗设备上更要下功夫防范风险。

约翰斯·霍普金斯大学计算机学教授、网络安全专家阿维·鲁宾1月参加一个关于医学网络安全的大会时说,早在上世纪90年代,他参观东海岸医院时就发现不少医院计算机实验室密码保护过于简单,安全程序被随意更改,软件控制的药物调剂机器人缺少必要的保护程序。

“一旦(调剂药物的)软件出故障怎么办?要是有人攻击这个系统、导致药全都配错了怎么办?”鲁宾忧心忡忡地说。

眼下,美国不少医疗设备生产商开始和监管者一起,加强安全措施,防范网络袭击——

2013年,食品和药物管理局向医疗保健设备生产厂家发布网络安全备忘录,建议对方评估设备及相关网络安全；2014年,食品和药物管理局发布指导准则,要求医学设备上市前必须接受网络安全测试；2015年,食品和药物管理局联手国土安全部向医院发布警告,指出一种植入式药泵设计存在严重缺陷,能给黑客可乘之机；2016年1月,食品和药物管理局起草文件,要求设备生产商展开安全自检,同时允许第三方研究人员标注安全风险。

医学设备技术安全顾问斯科特·埃芬斯认为,如何平衡医学创新和监管之间的关系至关重要,但这一切不应以人的生命为代价。

埃芬斯说,虽然目前尚未发现有人蓄意针对医学设备发动网络攻击,但风险犹存。靠内部自省与外部监管不断完善是个漫长的过程,医院眼下至少还能做些补充防范措施,例如将安全风险最大的设备与外部网络断开,要求技术人员删除预设的安全凭证信息,加强无线网络安全,淘汰安全隐患较大的设备等。（新华社记者王鑫方）

分享让更多人看到