卫生部门对网络安全事件缺乏准备
2021年5月14日,爱尔兰卫生部门的IT系统遭遇Conti勒索软件攻击,被索要2000万美元赎金。虽然,爱尔兰卫生部门在发现攻击后关闭了其大部分计算机系统。但是Conti 团伙声称已访问 HSE 网络两周,在此期间,他们窃取了700 GB的未加密文件,包括患者和员工信息、合同、财务报表等。
此外,被盗文件样本还被上传至VirusTotal恶意软件扫描站点。据报道,截至2021年5月25日被盗数据归档在VirusTotal上的下载量为23次。
此次勒索软件攻击成为首次国家级卫生网络系统遭受威胁事件,也是造成服务中断周期最长的事件之一。爱尔兰卫生健康服务署恢复正常工作耗费四个多月,耗资超过6亿美元,其中有1.2亿美元的专项恢复资金用于更换和升级所有被勒索软件感染的系统。
在此次美国卫生与公众服务部发布的简报中,将上述事件中爱尔兰医疗部门对于勒索缺乏响应的行为归因于其自身准备不足。
“在事发期间,爱尔兰卫生健康服务署的高管或中层管理人员中,没有负责网络安全的负责人。该机构也没有专门的委员会,来指导和监督网络安全工作。同时,该机构也没有缓解网络风险的具体措施。”简报指出。
此外,简报认为爱尔兰卫生健康服务署此前没有部署安全监控解决方案,也是其缺乏应对措施的原因,这导致机构无法及时调查与响应在IT环境中检测到的安全威胁。
医疗行业网络信息安全事件频发
事实上,医疗领域是网络攻击的重灾区。《2021年度高级威胁态势研究报告》显示,2021年全球高级威胁攻击事件中,医疗部门成为了攻击的重点目标。
21世纪经济报道记者梳理发现,去年以来全球医疗行业重大网络攻击事件频发。
2021年1月,美国佛蒙特州一家医疗服务提供商遭到网络攻击,导致电子健康记录系统延迟推出,并造成数百万美元的收入损失。
2021年10月,加拿大纽芬兰和拉布拉多省的卫生网络遭到网络攻击瘫痪,导致全省数千人的医疗预约取消,多个地方卫生系统被迫重新使用纸张。
2021年11月,德国医疗软件巨头Medatixx遭到勒索攻击,影响了医疗机构的内部 IT 系统,导致其运营系统瘫痪。
据了解,针对医疗行业以及生物研究行业的攻击主要包括钓鱼攻击、勒索软件攻击以及部分APT攻击,攻击目的为经济获益或信息窃取。攻击者可以通过窃取的患者信息,进一步对受害者发起社会工程攻击,或根据窃取的商业和财务信息对医疗机构或企业展开勒索。
随着医疗行业网络安全问题日趋严重,已有一些国家采取措施推进医疗卫生相关政策法规及标准规范出台。例如,美国推出的《健康保险流通与责任法案》就是国际公认的针对个人健康信息的隐私安全法律保护体系。该法案提出,管理保护中必须遵循信息安全管理程序,具体可以分为风险分析、风险管理、惩罚政策和信息系统日志审查,同时还要求建立独立的健康照顾统计清算中心以防部门内部的信息泄漏、信息安全事件管理程序,突发事件应变计划和商业伙伴协议管理等。
而在我国,自从2017年网络安全领域的基础性法律《网络安全法》实施以来,对于信息安全的保护上升到了法律层面,系列配套的法律法规逐渐发布实施,形成了极具协调性、 整体性及可行性的网络安全保护法律体系。具体到医疗卫生领域,2018 年《全国医院信息化建设标准与规范( 试行) 》出台,以单独的章节重点阐述医院信息化建设的安全防护问题。2020 年 12 月国家标准化管理委员会发布《信息安全技术健康医疗数据安全指南》,从个人信息安全风险的角度出发划分数据分级,提出多场景下安全措施要点并给出安全指南。