国外网络安全事件,损失已经超过50亿,医疗行业必须做好这件事
医疗史上最大的网络安全灾难
2024年刚一开年,国外联合健康旗下Change Healthcare所遭遇的数据勒索事件已被认为是迄今为止美国医疗行业最严重的网络安全灾难。这一严重的网络安全灾难事件为何创造了历史,以至于美国国务院办公厅也在3月27日公开悬赏1000万美元。
Change Healthcare成立于2006年,并于2019年上市。到2021年,Change Healthcare已成为全美最大的商业处方处理商,每年需要处理150亿笔交易,大约占全美线上处方的三分之一。其支付结算网络覆盖全美约90万名医生、11.8万名牙医、3300家药店、5500家医院和600家实验室。
从2024年2月21日开始,Change Healthcare的支付网络遭到黑客攻击,导致遍布全美的药店及医疗机构无法开具处方,更无法进行保险结算。出于安全考虑,美国医院协会(AHA)建议所有使用Change Healthcare结算网络的医疗机构考虑主动断开结算网络。至此,全美约1/3的医疗支付结算网络彻底瘫痪。
一周后的2月28日,曾经在去年对米高梅和凯撒医疗发起攻击的AlphV/BlackCat黑客组织声明对本次事件负责,并声称已窃取高达8TB的数据,包括患者个人信息及企业数据。黑客组织要求联合健康支付医疗行业创纪录的2200万美元赎金,否则将会把窃取全部公开。
结算网络的中断导致了大量的不便。各方都无法在线上取得处方,也无法通过保险进行结算支付。患者只能自费支付买药,更不要提享受应有的优惠。不少医疗机构无法得到保险支付,大型医疗机构尚且有有现金流支撑,社区医生则只能动用存款乃至借款勉强应付开支。
一周后的2月28日,曾经在去年对米高梅和凯撒医疗发起攻击的AlphV/BlackCat黑客组织声明对本次事件负责,并声称已窃取高达8TB的数据,包括患者个人信息及企业数据。黑客组织要求联合健康支付医疗行业创纪录的2200万美元赎金,否则将会把窃取全部公开。
医疗行业网络安全现状堪忧,投入不足是核心
医疗行业受到黑客攻击的程度正在迅速加深。网络安全公司Emsisoft的报告显示,2023年,美国医疗行业遭受网络攻击46次,比2022年的25次接近翻番。这些攻击影响了多达141家医疗机构,受到影响的人群约占美国人口的三分之一。
黑客们的胃口也越来越大,要求的赎金数量迅速增加。2018年,美国医疗行业平均每次数据勒索被要求的赎金还只有5000美元,2023年这一数字已经一举达到150万美元,几年间提升了300倍!
事实上,这不过只是冰山一角,还有多得多的未被公开的网络攻击事件。
医院需要合规的要求很多,每年信息化的投入80-90%都需要花在保障业务运营上。花在安全上的预算很少,基本就是必需的等保测试费用。除此之外,想要做更多的安全保护建设和升级基本上就不太可能了。
国内情况,三级等保只能满足基础,多管齐下方可保网络安全
显然,等保合规可能是目前医院在安全上投资的为数不多的动力。那它是否足以满足网络安全的需要呢?
对于医院来说,通过等保是强制性要求。早在2011年12月,前卫生部就发布《卫生行业信息安全等级保护工作的指导意见》,要求卫生行业按照《信息安全技术信息系统安全等级保护定级指南》开展定级工作,并明确重要卫生信息系统安全保护等级原则上不低于三级。这也就是俗称的等保1.0。
2019年5月,国家市场监督总局和国家标准化管理委员会发布《信息安全技术网络安全等级保护基本要求(GB/T22239-2019)》,并于 2019年12月开始实施,标志着我国进入等保2.0时代。相比等保1.0,等保2.0的要求更加细化,所包含的系统也更加广泛。
2020年底发布的《三级医院评审标准(2020年版)》则开始进一步对安全实施“一票否决制”。在第一部分前置要求中提到“发生大规模医疗数据泄露或其他重大网络安全事件,造成严重后果”将直接延期一年评审。延期期间医院原等次取消,按照“未定等”管理。
这些规定有效地推动了医院对网络安全的重视,尤其是三级医院。在CHIMA《2021-2022年度中国医院信息化状况调查》中,调查样本中三级医院有86.4%的比例通过等保三级评测。
不过,三级以下医院却只有22.22%通过等保三级评测。平均来看,通过等保三级评测的医院仅有63.56%。全面推动三级等保,显然还需要更多的时间。
![image[1].png](/storage/upload/HByz86CZD5eybBUQ5XYclDuUrfPiJ7yldIgilqJE.png)
此外,就目前的情况而言,多数医院对于等保仅仅以最低限度的通过为标准,违背了等级保护的初衷。这其中,仅有一个系统通过三级等保的医院占比最多,达到18.66%;两个系统通过三级等保的医院占比为15.15%,紧随其后。
目前的三级等保已经是在考虑实际落地和投入成本后的最优解,要从整个组织的层面进行规定,又或者在短期内要求医院所有系统通过并不现实。“毕竟每年的信息化投入是有限的。这些系统不仅建设和维护需要花钱,等保测评同样也需要花钱。我们所知三级等保根据地区的不同价格不一样,大概每年需要5-8万元。医院几十个系统下来一年光等保测评费用都需要百万级别。目前来看,全面覆盖是不太现实的。”
当然也有好消息——有14.11%的医院已有5个系统通过三级等保,对比一年前接近翻番。
从技术上而言加强网络安全的措施,比如定期数据备份、安全意识培训、及时升级补丁和更新管理、网络分段、存取控制、重视电子邮件和网络安全、端点保护、制定事件响应计划、定期安全审计、定期进行备份测试和验证等。
通过实施这些缓解策略,医院可以增强其抵御勒索软件攻击的能力,并将对其运营和数据的潜在影响降至最低。但这些措施能够得到多大程度的执行,才是问题的关键。