文|動脈網
2024年剛一開年,本就表現不佳的醫(yī)療行業(yè)網絡安全紀錄再一次被刷新——聯合健康旗下Change Healthcare所遭遇的數據勒索事件已被認為是迄今為止美國醫(yī)療行業(yè)最嚴重的網絡安全災難。
這起網絡安全事件的影響范圍之廣、影響程度之深,影響時間之長史上罕有,以至于美國國務院辦公廳也在3月27日公開懸賞1000萬美元,鼓勵知情者為抓捕導致本次事件的黑客提供信息。
這一嚴重的網絡安全災難事件為何創(chuàng)造了歷史,究竟可以給我們帶來什么樣的思考和借鑒?動脈網對行業(yè)專家進行了深入了解,希望可以為行業(yè)參考。
醫(yī)療史上最大的網絡安全災難
Change Healthcare成立于2006年,并于2019年上市。到2021年,Change Healthcare已成為全美最大的商業(yè)處方處理商,每年需要處理150億筆交易,大約占全美線上處方的三分之一。其支付結算網絡覆蓋全美約90萬名醫(yī)生、11.8萬名牙醫(yī)、3300家藥店、5500家醫(yī)院和600家實驗室。
2021年,聯合健康子公司Optum以135億美元將Change Healthcare納入帳下。這也是聯合健康成立以來金額最大的收購案,一度導致美國司法部的反壟斷訴訟。雖然最后獲得了放行,但公眾一直質疑此次收購的合理性。
從2024年2月21日開始,Change Healthcare的支付網絡遭到黑客攻擊,導致遍布全美的藥店及醫(yī)療機構無法開具處方,更無法進行保險結算。出于安全考慮,美國醫(yī)院協會(AHA)建議所有使用Change Healthcare結算網絡的醫(yī)療機構考慮主動斷開結算網絡。至此,全美約1/3的醫(yī)療支付結算網絡徹底癱瘓。
一周后的2月28日,曾經在去年對米高梅和凱撒醫(yī)療發(fā)起攻擊的AlphV/BlackCat黑客組織聲明對本次事件負責,并聲稱已竊取高達8TB的數據,包括患者個人信息及企業(yè)數據。黑客組織要求聯合健康支付醫(yī)療行業(yè)創(chuàng)紀錄的2200萬美元贖金,否則將會把竊取全部公開。
聯合健康很快承認了黑客組織的說法。隨后,據外媒報道一個與AlphV關聯的比特幣地址在3月1日的單筆交易中收到了價值2200萬美元的比特幣。盡管聯合健康拒絕承認,但諸多分析認為,基于區(qū)塊鏈的特點,這一交易極有可能是聯合健康支付的贖金。
結算網絡的中斷導致了大量的不便。各方都無法在線上取得處方,也無法通過保險進行結算支付?;颊咧荒茏再M支付買藥,更不要提享受應有的優(yōu)惠。不少醫(yī)療機構無法得到保險支付,大型醫(yī)療機構尚且有有現金流支撐,社區(qū)醫(yī)生則只能動用存款乃至借款勉強應付開支。
迫于無奈,各方都采取了不少臨時措施。比如,美國衛(wèi)生與公眾服務部(HHS)要求醫(yī)保部門在結算網絡中斷期間取消或放寬事先授權要求,并向受攻擊影響最大的醫(yī)療機構提供預付款。此外,部分地區(qū)管理機構也要求接受紙質或傳真的報銷,并延長報銷申請時限。
聯合健康也從3月1日起啟動了臨時資金援助計劃,在支付結算完全恢復前為受到影響的醫(yī)生和醫(yī)療機構提供資金補助,覆蓋醫(yī)生和醫(yī)療機構同期歷史支付水平與網絡中斷后付款的差額。截至4月3日,聯合健康宣稱已提供了近47億美元的補助。
然而,這并不能覆蓋所有損失。因為無論何種替代方案都需要大幅改變工作流程,從而增加大量額外成本。據外媒報道,一名受影響的醫(yī)生表示,這次事件導致其所需額外支付的工資支出高達5萬美元;另一位醫(yī)生則估計,這已導致10萬美元的額外成本。
根據估算,單是醫(yī)生和醫(yī)療機構每天的損失就超過1億美元,給流動性本就十分緊張的醫(yī)療機構帶來了嚴重的財務挑戰(zhàn)。
美國醫(yī)院協會的統計顯示,94%的受訪醫(yī)院正在經歷網絡攻擊的財務影響,82%的醫(yī)院表示服務中斷影響了他們的現金流,有三成醫(yī)院表示受影響收入達一半以上。此外,近3/4的受訪醫(yī)院表示服務中斷已經對患者治療產生直接影響。
這種不滿自然而然導致了大量針對聯合健康的指責和訴訟。與此同時,要求拆分聯合健康的言論也日益高漲。聯合健康的股價也因此受到嚴重影響,2月21日其收盤價還在521.97美元,此后一路下滑,最低曾跌至439.2美元。雖然第一季度財報公布后一度回升至501的水平,但此后又開始下跌。
在距離事發(fā)超過3周時間后,Change Healthcare的網絡終于陸續(xù)開始恢復。從3月15日開始,平臺的核心功能陸續(xù)恢復,開始處理積壓的140億美元的報銷。但直到4月底,平臺仍未完全恢復,部分功能仍處于不可用狀態(tài)。顯然,這種修復工作并沒有想象中那么容易。
另一方面,原本以為已經完結的數據泄露事件又迎來了戲劇性的升級。一般來說,有組織的數據勒索事件會有多個組織參與,各自具有明確的分工,并按照事前約定共享贖金。但一個名為RansomHub的黑客組織在4月初聲明,AlphV已經卷款跑路,并未向他們支付應有的份額,要求聯合健康支付贖金。
隨后,該組織于4月中旬在暗網上公開展示了一些文件證明其所言不虛,其中包含電子賬單、保險記錄和醫(yī)療信息在內的患者個人信息,以及Change Healthcare與合作伙伴的合同協議。
目前,聯合健康還未回應,事態(tài)將如何發(fā)展令人關注。
醫(yī)療行業(yè)網絡安全現狀堪憂,投入不足是核心
一個顯而易見的問題是,Change Healthcare及其背后的聯合健康毫無疑問是全球醫(yī)療行業(yè)的巔峰所在,理論上其網絡安全防護水平即使在全行業(yè)也應屬于頂尖水平。那么,為什么這樣的巨頭也難以防范網絡攻擊?
深信服安全產品高級專家文槿奕向動脈網介紹到,本次聯合健康旗下Change Healthcare遇到的“三重勒索”是近年來十分流行的黑客攻擊手段,非常難以防范。
“所謂三重勒索混合了三種攻擊手段。其一是侵入系統對核心數據進行加密鎖定,使目標無法使用數據,導致業(yè)務停滯。其二是入侵后對目標服務器和網絡進行過飽和DDoS攻擊,使被侵入的服務器和網絡完全陷入癱瘓。部分案例中,黑客甚至還會對目標高層人員及客戶進行持續(xù)騷擾。其三,黑客在加密數據之前早已將其進行竊取,并威脅將其進行公開?!?/p>
“這種針對性很強的入侵往往準備充分,部分案例準備過程甚至可以年計。即使是聯合健康這樣的巨頭也是防不勝防,不支付贖金直接面臨業(yè)務停擺,即使能夠恢復業(yè)務,也會因核心數據的泄密公開導致巨大的法律風險,導致巨大的經濟損失及長期品牌信譽度的喪失。因此,企業(yè)進退兩難。”文槿奕表示。
令人擔憂的是,醫(yī)療行業(yè)受到黑客攻擊的程度正在迅速加深。網絡安全公司Emsisoft的報告顯示,2023年,美國醫(yī)療行業(yè)遭受網絡攻擊46次,比2022年的25次接近翻番。這些攻擊影響了多達141家醫(yī)療機構,受到影響的人群約占美國人口的三分之一。
黑客們的胃口也越來越大,要求的贖金數量迅速增加。2018年,美國醫(yī)療行業(yè)平均每次數據勒索被要求的贖金還只有5000美元,2023年這一數字已經一舉達到150萬美元,幾年間提升了300倍!
事實上,這不過只是冰山一角,還有多得多的未被公開的網絡攻擊事件。
國內醫(yī)療行業(yè)網絡安全的現狀同樣不容樂觀。近年來,坊間不時傳聞國內醫(yī)療機構因遭到數據勒索,不得已支付贖金。
對于國內醫(yī)療行業(yè)面臨的巨大的網絡安全挑戰(zhàn),中電通商數字技術(上海)有限公司副總經理徐輝在與動脈網交流時認為主要有幾個原因。
最為重要的原因是資金預算的不足。“可能一二線城市大三甲醫(yī)院的投入相對會充足一些,但基層乃至偏遠山區(qū)的二級醫(yī)療機構能把正常的醫(yī)療業(yè)務支撐起來就頗為吃力了。在網絡安全的投入上明顯得不到足夠的資金支撐。”他表示。
徐輝認為,在人才分布上各地也不均衡。他提到,網絡安全及數據安全是新興行業(yè),相應的專業(yè)人員奇缺,基本聚集在經濟水平較高的一二線城市:“這些技術力量較難下沉到三四線城市,這些醫(yī)院想找安全企業(yè)咨詢和交流都不是一件容易的事?!?/p>
尤其投入不足嚴重制約了醫(yī)療機構的安全能力。美創(chuàng)科技數據安全技術專家彭克建在與動脈網的交流中就提到多數醫(yī)院投在網絡安全上的預算極為有限:“除了少數知名醫(yī)院具有比較好的信息化能力,多數醫(yī)院信息科人手嚴重不足。有的醫(yī)院總共就只有兩三個人,專業(yè)能力也參差不齊,維持信息化系統運維就已經頗為吃力,更不要說顧及網絡和數據安全。”
“醫(yī)院需要合規(guī)的要求很多,每年信息化的投入80-90%都需要花在保障業(yè)務運營上。花在安全上的預算很少,基本就是必需的等保測試費用。除此之外,想要做更多的安全保護建設和升級基本上就不太可能了?!彼硎?。
“舉個例子,堡壘機是必須的安全機制。正常情況下,第三方運維人員登錄醫(yī)院服務器資源必須通過堡壘機分配獲得賬號,實現安全可控的訪問。不過,我們發(fā)現不少醫(yī)院的堡壘機除了在等保測試和檢查時開啟,平時很少啟用。由于醫(yī)院信息系統較多,幾十個業(yè)務系統可能涉及不同的企業(yè)。運維人員會覺得堡壘機的賬號分配及權限管理增加了很多工作量,加之設置的確需要一定的專業(yè)知識,所以,部分醫(yī)院很少啟用堡壘機?!彼a充道。
彭克建進一步表示,多數醫(yī)院缺乏網絡和數據安全防患于未然的思維:“不少醫(yī)院是采取輪崗方式決定分管信息化的領導,會覺得這么多年不投入安全似乎也沒有出過什么問題。只有真正遇到安全事故后,醫(yī)院才會有所動作。比如遭遇數據勒索,尋求解決方案并部署相應的產品?!?/p>
在具體的技術細節(jié)上,文槿奕則提出了獨到的見解,認為忽視端側防御是目前醫(yī)療行業(yè)存在的通病:“很多醫(yī)院還是傳統思維,希望能夠加固它們的邊界,對態(tài)勢感知、防火墻等網關測的安全層層加固。它們希望盡可能把網絡威脅擋在‘墻’外。對于網絡安全最后一公里的端側安全,雖然這兩年稍微有所改善,但起碼毛估不少于2/3的醫(yī)療客戶實際上是比較忽略的?!?/p>
“我見過很多客戶要么什么都不裝,要么只是裝一個最基礎的傳統殺毒軟件。傳統殺毒軟件基于庫及規(guī)則的簡單對比來識別威脅,對于日新月異的變種威脅力不從心。新威脅不僅容易繞過傳統殺軟檢測,還極有可能直接卸載掉殺軟,讓端側失去防護,基本就等同于什么都不裝了?!?/p>
堡壘往往是從內部被攻破,幾千年前的特洛伊木馬如此,如今的網絡安全依然如此。
“傳統的‘重網輕端’的防御思路已經不可取了。這次聯合健康被入侵成功很大可能就是從端側投毒成功。企業(yè)規(guī)模越大,端側設備的數量也更龐大,更分散。要應對這些新威脅,也需要把端點安全,尤其是服務器端進行統一加固?!?/p>
文槿奕認為,導致“重網輕端”思路的原因主要有三類。第一類是因為醫(yī)院信息人員對網絡安全的認識還停留在過往,對這類思路比較認同。
第二類是因為醫(yī)院規(guī)模較大,包括PC和服務器在內的端點數非常多,運維管理非常困難?!八X得這種方式還會加大日常安全運維的難度。原來的方式下,醫(yī)生說電腦很卡,信息科派人過去看一下,或者裝個殺毒軟件就可以了。加強端側安全會提升對運維的要求,搞不好會把一些業(yè)務相關的進程直接做隔離,進而影響業(yè)務——畢竟醫(yī)院那么多信息化系統,質量和來源參差不齊。這對于信息科來說反而就有點吃力不討好了。”
第三類則是出于成本的考慮。一方面,端點安全投入成本不低;另一方面,部署對于運維來說也是一大難題。“大三甲醫(yī)院的PC和服務器等端側數量龐大。先不考慮安全方案的費用,僅僅怎么去做一個批量的快捷部署安裝,怎么保證安裝部署之后不會影響業(yè)務都是需要考慮的。醫(yī)院的電腦可能很多年都沒有更新了,光硬件更新也是一筆不小的費用。”
不難發(fā)現,后兩類原因本質上還是因為投入不足所導致。
“大多數醫(yī)院還是只滿足國家政策強制要求的等保合規(guī),其實也只是要求他去裝個最基礎的殺毒軟件而已。滿足這樣的要求就好,只要沒有出安全事件?!?文槿奕補充道。
三級等保只能滿足基礎,多管齊下方可保網絡安全
顯然,等保合規(guī)可能是目前醫(yī)院在安全上投資的為數不多的動力。那它是否足以滿足網絡安全的需要呢?
對于醫(yī)院來說,通過等保是強制性要求。早在2011年12月,前衛(wèi)生部就發(fā)布《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》,要求衛(wèi)生行業(yè)按照《信息安全技術信息系統安全等級保護定級指南》開展定級工作,并明確重要衛(wèi)生信息系統安全保護等級原則上不低于三級。這也就是俗稱的等保1.0。
2019年5月,國家市場監(jiān)督總局和國家標準化管理委員會發(fā)布《信息安全技術網絡安全等級保護基本要求(GB/T22239-2019)》,并于 2019年12月開始實施,標志著我國進入等保2.0時代。相比等保1.0,等保2.0的要求更加細化,所包含的系統也更加廣泛。
2020年底發(fā)布的《三級醫(yī)院評審標準(2020年版)》則開始進一步對安全實施“一票否決制”。在第一部分前置要求中提到“發(fā)生大規(guī)模醫(yī)療數據泄露或其他重大網絡安全事件,造成嚴重后果”將直接延期一年評審。延期期間醫(yī)院原等次取消,按照“未定等”管理。
這些規(guī)定有效地推動了醫(yī)院對網絡安全的重視,尤其是三級醫(yī)院。在CHIMA《2021-2022年度中國醫(yī)院信息化狀況調查》中,調查樣本中三級醫(yī)院有86.4%的比例通過等保三級評測。
不過,三級以下醫(yī)院卻只有22.22%通過等保三級評測。平均來看,通過等保三級評測的醫(yī)院僅有63.56%。全面推動三級等保,顯然還需要更多的時間。
此外,就目前的情況而言,多數醫(yī)院對于等保僅僅以最低限度的通過為標準,違背了等級保護的初衷。這其中,僅有一個系統通過三級等保的醫(yī)院占比最多,達到18.66%;兩個系統通過三級等保的醫(yī)院占比為15.15%,緊隨其后。
當然也有好消息——有14.11%的醫(yī)院已有5個系統通過三級等保,對比一年前接近翻番。
即便如此,三級等保也只是滿足了最為基本的網絡安全要求。彭克建對此表示:“醫(yī)院滿足三級等保做到了網絡安全基本要求。最近幾年數字化的進程非???,新業(yè)務、新場景也很多,坦率地說,三級等保是合規(guī)基線,需要充分考慮業(yè)務場景帶來的網絡和數據安全風險,構建一個多層次的安全防護。”
安恒信息數據安全產品總監(jiān)林鷺也表達了同樣的觀點:“三級等??梢蕴峁┗镜陌踩芰?。從法律及合規(guī)的角度來講,三級等保對醫(yī)院也是必須的。但我覺得單單三級等保并不能保證醫(yī)院能夠應對諸如數據勒索等新型的網絡攻擊?!?/p>
“等保測評其實是針對于某個組織的某個系統進行等保定級。它不是對于一個醫(yī)院整體安全的等級測評。對于黑客而言,他并不需要從你等保級別最高,也就是通過三級等保的系統來突破。他往往是從你對外暴露最多的保護級別最低的系統來突破,隨后慢慢滲透到核心系統。這也就是我們安全里面講的一個木桶原理?!?/p>
林鷺表示,目前的三級等保已經是在考慮實際落地和投入成本后的最優(yōu)解,要從整個組織的層面進行規(guī)定,又或者在短期內要求醫(yī)院所有系統通過并不現實?!爱吘姑磕甑男畔⒒度胧怯邢薜?。這些系統不僅建設和維護需要花錢,等保測評同樣也需要花錢。我們所知三級等保根據地區(qū)的不同價格不一樣,大概每年需要5-8萬元。醫(yī)院幾十個系統下來一年光等保測評費用都需要百萬級別。目前來看,全面覆蓋是不太現實的。”
從技術上而言,加強網絡安全的措施可謂老生常談,比如定期數據備份、安全意識培訓、及時升級補丁和更新管理、網絡分段、存取控制、重視電子郵件和網絡安全、端點保護、制定事件響應計劃、定期安全審計、定期進行備份測試和驗證等。
通過實施這些緩解策略,醫(yī)院可以增強其抵御勒索軟件攻擊的能力,并將對其運營和數據的潛在影響降至最低。但這些措施能夠得到多大程度的執(zhí)行,才是問題的關鍵。
對于如何幫助醫(yī)療行業(yè)應對網絡安全的挑戰(zhàn),徐輝給出了幾點思考。他認為,首先需要健全醫(yī)療行業(yè)領域的安全管理制度和流程,除了加強整個技術防范的措施,更要建立相關的安全管理的體系和能力。
“說到底,三分技術七分管理,健全整個安全管理制度和流程機制非常關鍵。雖然三級等保只提供基礎的安全能力,但它在管理上有14個方面300多項要求,對于醫(yī)院管理制度的建立是有很大指導意義的?!彼硎尽?/p>
其次,徐輝認為涉及安全的各方,包括政府部門、行業(yè)協會、服務企業(yè)和醫(yī)療機構都需要加強合作:“我們說加強合作,不是指單純站在各自的立場以單一維度去看這件事。比如,我們從事網絡安全和數據安全的服務企業(yè)對醫(yī)療行業(yè)的理解是不足的,需要結合場景實踐、法律合規(guī)和醫(yī)院管理。黑客的核心是數據,數據是在不斷流動的,動態(tài)性很強,很難靠單一維度理清楚,需要各方共同梳理,找到合理有效的解決方案?!?/p>
“醫(yī)療行業(yè)所擁有的高凈值數據,才是數據勒索的核心目標。所以,我國在《網絡安全法》以后又迅速出臺了《數據安全法》,對原有網絡安全無法覆蓋的部分進行了擴展延伸。除了現有的網絡安全三級等保,數據安全等級保護的相關標準可能會在6月出臺,相信后續(xù)還會有更多的政策規(guī)范和行業(yè)標準密集發(fā)布。”他補充說道。
徐輝進一步提到,目前,數據安全的頂層設計在行業(yè)適配層面做的不夠,其基礎是數據的分級分類,這部分和傳統網絡安全有很大不同,需要非常強的技術和行業(yè)的適配結合。從每個醫(yī)院的角度,其對數據的使用、管理、流程都不一致。因此,需要在細節(jié)標準去更加細化。
寫在最后
醫(yī)療行業(yè)的網絡安全及更進一步的數據安全,無疑是一個巨大而長期的挑戰(zhàn),需要各方面的共同努力。動脈網一直持續(xù)關注醫(yī)療行業(yè)的網絡安全和數據安全,也希望本文能夠拋磚引玉,歡迎行業(yè)人士提供話題和線索。