文|動脈網(wǎng)

2024年剛一開年，本就表現(xiàn)不佳的醫(yī)療行業(yè)網(wǎng)絡(luò)安全紀錄再一次被刷新——聯(lián)合健康旗下Change Healthcare所遭遇的數(shù)據(jù)勒索事件已被認為是迄今為止美國醫(yī)療行業(yè)最嚴重的網(wǎng)絡(luò)安全災難。

這起網(wǎng)絡(luò)安全事件的影響范圍之廣、影響程度之深，影響時間之長史上罕有，以至于美國國務院辦公廳也在3月27日公開懸賞1000萬美元，鼓勵知情者為抓捕導致本次事件的黑客提供信息。

這一嚴重的網(wǎng)絡(luò)安全災難事件為何創(chuàng)造了歷史，究竟可以給我們帶來什么樣的思考和借鑒？動脈網(wǎng)對行業(yè)專家進行了深入了解，希望可以為行業(yè)參考。

醫(yī)療史上最大的網(wǎng)絡(luò)安全災難

Change Healthcare成立于2006年，并于2019年上市。到2021年，Change Healthcare已成為全美最大的商業(yè)處方處理商，每年需要處理150億筆交易，大約占全美線上處方的三分之一。其支付結(jié)算網(wǎng)絡(luò)覆蓋全美約90萬名醫(yī)生、11.8萬名牙醫(yī)、3300家藥店、5500家醫(yī)院和600家實驗室。

2021年，聯(lián)合健康子公司Optum以135億美元將Change Healthcare納入帳下。這也是聯(lián)合健康成立以來金額最大的收購案，一度導致美國司法部的反壟斷訴訟。雖然最后獲得了放行，但公眾一直質(zhì)疑此次收購的合理性。

從2024年2月21日開始，Change Healthcare的支付網(wǎng)絡(luò)遭到黑客攻擊，導致遍布全美的藥店及醫(yī)療機構(gòu)無法開具處方，更無法進行保險結(jié)算。出于安全考慮，美國醫(yī)院協(xié)會（AHA）建議所有使用Change Healthcare結(jié)算網(wǎng)絡(luò)的醫(yī)療機構(gòu)考慮主動斷開結(jié)算網(wǎng)絡(luò)。至此，全美約1/3的醫(yī)療支付結(jié)算網(wǎng)絡(luò)徹底癱瘓。

一周后的2月28日，曾經(jīng)在去年對米高梅和凱撒醫(yī)療發(fā)起攻擊的AlphV/BlackCat黑客組織聲明對本次事件負責，并聲稱已竊取高達8TB的數(shù)據(jù)，包括患者個人信息及企業(yè)數(shù)據(jù)。黑客組織要求聯(lián)合健康支付醫(yī)療行業(yè)創(chuàng)紀錄的2200萬美元贖金，否則將會把竊取全部公開。

聯(lián)合健康很快承認了黑客組織的說法。隨后，據(jù)外媒報道一個與AlphV關(guān)聯(lián)的比特幣地址在3月1日的單筆交易中收到了價值2200萬美元的比特幣。盡管聯(lián)合健康拒絕承認，但諸多分析認為，基于區(qū)塊鏈的特點，這一交易極有可能是聯(lián)合健康支付的贖金。

結(jié)算網(wǎng)絡(luò)的中斷導致了大量的不便。各方都無法在線上取得處方，也無法通過保險進行結(jié)算支付?；颊咧荒茏再M支付買藥，更不要提享受應有的優(yōu)惠。不少醫(yī)療機構(gòu)無法得到保險支付，大型醫(yī)療機構(gòu)尚且有有現(xiàn)金流支撐，社區(qū)醫(yī)生則只能動用存款乃至借款勉強應付開支。

迫于無奈，各方都采取了不少臨時措施。比如，美國衛(wèi)生與公眾服務部（HHS）要求醫(yī)保部門在結(jié)算網(wǎng)絡(luò)中斷期間取消或放寬事先授權(quán)要求，并向受攻擊影響最大的醫(yī)療機構(gòu)提供預付款。此外，部分地區(qū)管理機構(gòu)也要求接受紙質(zhì)或傳真的報銷，并延長報銷申請時限。

聯(lián)合健康也從3月1日起啟動了臨時資金援助計劃，在支付結(jié)算完全恢復前為受到影響的醫(yī)生和醫(yī)療機構(gòu)提供資金補助，覆蓋醫(yī)生和醫(yī)療機構(gòu)同期歷史支付水平與網(wǎng)絡(luò)中斷后付款的差額。截至4月3日，聯(lián)合健康宣稱已提供了近47億美元的補助。

然而，這并不能覆蓋所有損失。因為無論何種替代方案都需要大幅改變工作流程，從而增加大量額外成本。據(jù)外媒報道，一名受影響的醫(yī)生表示，這次事件導致其所需額外支付的工資支出高達5萬美元；另一位醫(yī)生則估計，這已導致10萬美元的額外成本。

根據(jù)估算，單是醫(yī)生和醫(yī)療機構(gòu)每天的損失就超過1億美元，給流動性本就十分緊張的醫(yī)療機構(gòu)帶來了嚴重的財務挑戰(zhàn)。

美國醫(yī)院協(xié)會的統(tǒng)計顯示，94%的受訪醫(yī)院正在經(jīng)歷網(wǎng)絡(luò)攻擊的財務影響，82%的醫(yī)院表示服務中斷影響了他們的現(xiàn)金流，有三成醫(yī)院表示受影響收入達一半以上。此外，近3/4的受訪醫(yī)院表示服務中斷已經(jīng)對患者治療產(chǎn)生直接影響。

這種不滿自然而然導致了大量針對聯(lián)合健康的指責和訴訟。與此同時，要求拆分聯(lián)合健康的言論也日益高漲。聯(lián)合健康的股價也因此受到嚴重影響，2月21日其收盤價還在521.97美元，此后一路下滑，最低曾跌至439.2美元。雖然第一季度財報公布后一度回升至501的水平，但此后又開始下跌。

在距離事發(fā)超過3周時間后，Change Healthcare的網(wǎng)絡(luò)終于陸續(xù)開始恢復。從3月15日開始，平臺的核心功能陸續(xù)恢復，開始處理積壓的140億美元的報銷。但直到4月底，平臺仍未完全恢復，部分功能仍處于不可用狀態(tài)。顯然，這種修復工作并沒有想象中那么容易。

另一方面，原本以為已經(jīng)完結(jié)的數(shù)據(jù)泄露事件又迎來了戲劇性的升級。一般來說，有組織的數(shù)據(jù)勒索事件會有多個組織參與，各自具有明確的分工，并按照事前約定共享贖金。但一個名為RansomHub的黑客組織在4月初聲明，AlphV已經(jīng)卷款跑路，并未向他們支付應有的份額，要求聯(lián)合健康支付贖金。

隨后，該組織于4月中旬在暗網(wǎng)上公開展示了一些文件證明其所言不虛，其中包含電子賬單、保險記錄和醫(yī)療信息在內(nèi)的患者個人信息，以及Change Healthcare與合作伙伴的合同協(xié)議。

目前，聯(lián)合健康還未回應，事態(tài)將如何發(fā)展令人關(guān)注。

醫(yī)療行業(yè)網(wǎng)絡(luò)安全現(xiàn)狀堪憂，投入不足是核心

一個顯而易見的問題是，Change Healthcare及其背后的聯(lián)合健康毫無疑問是全球醫(yī)療行業(yè)的巔峰所在，理論上其網(wǎng)絡(luò)安全防護水平即使在全行業(yè)也應屬于頂尖水平。那么，為什么這樣的巨頭也難以防范網(wǎng)絡(luò)攻擊？

深信服安全產(chǎn)品高級專家文槿奕向動脈網(wǎng)介紹到，本次聯(lián)合健康旗下Change Healthcare遇到的“三重勒索”是近年來十分流行的黑客攻擊手段，非常難以防范。

“所謂三重勒索混合了三種攻擊手段。其一是侵入系統(tǒng)對核心數(shù)據(jù)進行加密鎖定，使目標無法使用數(shù)據(jù)，導致業(yè)務停滯。其二是入侵后對目標服務器和網(wǎng)絡(luò)進行過飽和DDoS攻擊，使被侵入的服務器和網(wǎng)絡(luò)完全陷入癱瘓。部分案例中，黑客甚至還會對目標高層人員及客戶進行持續(xù)騷擾。其三，黑客在加密數(shù)據(jù)之前早已將其進行竊取，并威脅將其進行公開?！?/p>

“這種針對性很強的入侵往往準備充分，部分案例準備過程甚至可以年計。即使是聯(lián)合健康這樣的巨頭也是防不勝防，不支付贖金直接面臨業(yè)務停擺，即使能夠恢復業(yè)務，也會因核心數(shù)據(jù)的泄密公開導致巨大的法律風險，導致巨大的經(jīng)濟損失及長期品牌信譽度的喪失。因此，企業(yè)進退兩難?！蔽拈绒缺硎?。

令人擔憂的是，醫(yī)療行業(yè)受到黑客攻擊的程度正在迅速加深。網(wǎng)絡(luò)安全公司Emsisoft的報告顯示，2023年，美國醫(yī)療行業(yè)遭受網(wǎng)絡(luò)攻擊46次，比2022年的25次接近翻番。這些攻擊影響了多達141家醫(yī)療機構(gòu)，受到影響的人群約占美國人口的三分之一。

黑客們的胃口也越來越大，要求的贖金數(shù)量迅速增加。2018年，美國醫(yī)療行業(yè)平均每次數(shù)據(jù)勒索被要求的贖金還只有5000美元，2023年這一數(shù)字已經(jīng)一舉達到150萬美元，幾年間提升了300倍！

事實上，這不過只是冰山一角，還有多得多的未被公開的網(wǎng)絡(luò)攻擊事件。

國內(nèi)醫(yī)療行業(yè)網(wǎng)絡(luò)安全的現(xiàn)狀同樣不容樂觀。近年來，坊間不時傳聞國內(nèi)醫(yī)療機構(gòu)因遭到數(shù)據(jù)勒索，不得已支付贖金。

對于國內(nèi)醫(yī)療行業(yè)面臨的巨大的網(wǎng)絡(luò)安全挑戰(zhàn)，中電通商數(shù)字技術(shù)(上海)有限公司副總經(jīng)理徐輝在與動脈網(wǎng)交流時認為主要有幾個原因。

最為重要的原因是資金預算的不足?！翱赡芤欢€城市大三甲醫(yī)院的投入相對會充足一些，但基層乃至偏遠山區(qū)的二級醫(yī)療機構(gòu)能把正常的醫(yī)療業(yè)務支撐起來就頗為吃力了。在網(wǎng)絡(luò)安全的投入上明顯得不到足夠的資金支撐。”他表示。

徐輝認為，在人才分布上各地也不均衡。他提到，網(wǎng)絡(luò)安全及數(shù)據(jù)安全是新興行業(yè)，相應的專業(yè)人員奇缺，基本聚集在經(jīng)濟水平較高的一二線城市：“這些技術(shù)力量較難下沉到三四線城市，這些醫(yī)院想找安全企業(yè)咨詢和交流都不是一件容易的事。”

尤其投入不足嚴重制約了醫(yī)療機構(gòu)的安全能力。美創(chuàng)科技數(shù)據(jù)安全技術(shù)專家彭克建在與動脈網(wǎng)的交流中就提到多數(shù)醫(yī)院投在網(wǎng)絡(luò)安全上的預算極為有限：“除了少數(shù)知名醫(yī)院具有比較好的信息化能力，多數(shù)醫(yī)院信息科人手嚴重不足。有的醫(yī)院總共就只有兩三個人，專業(yè)能力也參差不齊，維持信息化系統(tǒng)運維就已經(jīng)頗為吃力，更不要說顧及網(wǎng)絡(luò)和數(shù)據(jù)安全?！?/p>

“醫(yī)院需要合規(guī)的要求很多，每年信息化的投入80-90%都需要花在保障業(yè)務運營上。花在安全上的預算很少，基本就是必需的等保測試費用。除此之外，想要做更多的安全保護建設(shè)和升級基本上就不太可能了?！彼硎?。

“舉個例子，堡壘機是必須的安全機制。正常情況下，第三方運維人員登錄醫(yī)院服務器資源必須通過堡壘機分配獲得賬號，實現(xiàn)安全可控的訪問。不過，我們發(fā)現(xiàn)不少醫(yī)院的堡壘機除了在等保測試和檢查時開啟，平時很少啟用。由于醫(yī)院信息系統(tǒng)較多，幾十個業(yè)務系統(tǒng)可能涉及不同的企業(yè)。運維人員會覺得堡壘機的賬號分配及權(quán)限管理增加了很多工作量，加之設(shè)置的確需要一定的專業(yè)知識，所以，部分醫(yī)院很少啟用堡壘機?！彼a充道。

彭克建進一步表示，多數(shù)醫(yī)院缺乏網(wǎng)絡(luò)和數(shù)據(jù)安全防患于未然的思維：“不少醫(yī)院是采取輪崗方式?jīng)Q定分管信息化的領(lǐng)導，會覺得這么多年不投入安全似乎也沒有出過什么問題。只有真正遇到安全事故后，醫(yī)院才會有所動作。比如遭遇數(shù)據(jù)勒索，尋求解決方案并部署相應的產(chǎn)品?！?/p>

在具體的技術(shù)細節(jié)上，文槿奕則提出了獨到的見解，認為忽視端側(cè)防御是目前醫(yī)療行業(yè)存在的通病：“很多醫(yī)院還是傳統(tǒng)思維，希望能夠加固它們的邊界，對態(tài)勢感知、防火墻等網(wǎng)關(guān)測的安全層層加固。它們希望盡可能把網(wǎng)絡(luò)威脅擋在‘墻’外。對于網(wǎng)絡(luò)安全最后一公里的端側(cè)安全，雖然這兩年稍微有所改善，但起碼毛估不少于2/3的醫(yī)療客戶實際上是比較忽略的?！?/p>

“我見過很多客戶要么什么都不裝，要么只是裝一個最基礎(chǔ)的傳統(tǒng)殺毒軟件。傳統(tǒng)殺毒軟件基于庫及規(guī)則的簡單對比來識別威脅，對于日新月異的變種威脅力不從心。新威脅不僅容易繞過傳統(tǒng)殺軟檢測，還極有可能直接卸載掉殺軟，讓端側(cè)失去防護，基本就等同于什么都不裝了?！?/p>

堡壘往往是從內(nèi)部被攻破，幾千年前的特洛伊木馬如此，如今的網(wǎng)絡(luò)安全依然如此。

“傳統(tǒng)的‘重網(wǎng)輕端’的防御思路已經(jīng)不可取了。這次聯(lián)合健康被入侵成功很大可能就是從端側(cè)投毒成功。企業(yè)規(guī)模越大，端側(cè)設(shè)備的數(shù)量也更龐大，更分散。要應對這些新威脅，也需要把端點安全，尤其是服務器端進行統(tǒng)一加固?！?/p>

文槿奕認為，導致“重網(wǎng)輕端”思路的原因主要有三類。第一類是因為醫(yī)院信息人員對網(wǎng)絡(luò)安全的認識還停留在過往，對這類思路比較認同。

第二類是因為醫(yī)院規(guī)模較大，包括PC和服務器在內(nèi)的端點數(shù)非常多，運維管理非常困難?！八X得這種方式還會加大日常安全運維的難度。原來的方式下，醫(yī)生說電腦很卡，信息科派人過去看一下，或者裝個殺毒軟件就可以了。加強端側(cè)安全會提升對運維的要求，搞不好會把一些業(yè)務相關(guān)的進程直接做隔離，進而影響業(yè)務——畢竟醫(yī)院那么多信息化系統(tǒng)，質(zhì)量和來源參差不齊。這對于信息科來說反而就有點吃力不討好了?！?/p>

第三類則是出于成本的考慮。一方面，端點安全投入成本不低；另一方面，部署對于運維來說也是一大難題?！按笕揍t(yī)院的PC和服務器等端側(cè)數(shù)量龐大。先不考慮安全方案的費用，僅僅怎么去做一個批量的快捷部署安裝，怎么保證安裝部署之后不會影響業(yè)務都是需要考慮的。醫(yī)院的電腦可能很多年都沒有更新了，光硬件更新也是一筆不小的費用?！?/p>

不難發(fā)現(xiàn)，后兩類原因本質(zhì)上還是因為投入不足所導致。

“大多數(shù)醫(yī)院還是只滿足國家政策強制要求的等保合規(guī)，其實也只是要求他去裝個最基礎(chǔ)的殺毒軟件而已。滿足這樣的要求就好，只要沒有出安全事件。” 文槿奕補充道。

三級等保只能滿足基礎(chǔ)，多管齊下方可保網(wǎng)絡(luò)安全

顯然，等保合規(guī)可能是目前醫(yī)院在安全上投資的為數(shù)不多的動力。那它是否足以滿足網(wǎng)絡(luò)安全的需要呢？

對于醫(yī)院來說，通過等保是強制性要求。早在2011年12月，前衛(wèi)生部就發(fā)布《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》，要求衛(wèi)生行業(yè)按照《信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南》開展定級工作，并明確重要衛(wèi)生信息系統(tǒng)安全保護等級原則上不低于三級。這也就是俗稱的等保1.0。

2019年5月，國家市場監(jiān)督總局和國家標準化管理委員會發(fā)布《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求（GB/T22239-2019）》，并于 2019年12月開始實施，標志著我國進入等保2.0時代。相比等保1.0，等保2.0的要求更加細化，所包含的系統(tǒng)也更加廣泛。

2020年底發(fā)布的《三級醫(yī)院評審標準（2020年版）》則開始進一步對安全實施“一票否決制”。在第一部分前置要求中提到“發(fā)生大規(guī)模醫(yī)療數(shù)據(jù)泄露或其他重大網(wǎng)絡(luò)安全事件，造成嚴重后果”將直接延期一年評審。延期期間醫(yī)院原等次取消，按照“未定等”管理。

這些規(guī)定有效地推動了醫(yī)院對網(wǎng)絡(luò)安全的重視，尤其是三級醫(yī)院。在CHIMA《2021-2022年度中國醫(yī)院信息化狀況調(diào)查》中，調(diào)查樣本中三級醫(yī)院有86.4%的比例通過等保三級評測。

不過，三級以下醫(yī)院卻只有22.22%通過等保三級評測。平均來看，通過等保三級評測的醫(yī)院僅有63.56%。全面推動三級等保，顯然還需要更多的時間。

此外，就目前的情況而言，多數(shù)醫(yī)院對于等保僅僅以最低限度的通過為標準，違背了等級保護的初衷。這其中，僅有一個系統(tǒng)通過三級等保的醫(yī)院占比最多，達到18.66%；兩個系統(tǒng)通過三級等保的醫(yī)院占比為15.15%，緊隨其后。

當然也有好消息——有14.11%的醫(yī)院已有5個系統(tǒng)通過三級等保，對比一年前接近翻番。

即便如此，三級等保也只是滿足了最為基本的網(wǎng)絡(luò)安全要求。彭克建對此表示：“醫(yī)院滿足三級等保做到了網(wǎng)絡(luò)安全基本要求。最近幾年數(shù)字化的進程非常快，新業(yè)務、新場景也很多，坦率地說，三級等保是合規(guī)基線，需要充分考慮業(yè)務場景帶來的網(wǎng)絡(luò)和數(shù)據(jù)安全風險，構(gòu)建一個多層次的安全防護?！?/p>

安恒信息數(shù)據(jù)安全產(chǎn)品總監(jiān)林鷺也表達了同樣的觀點：“三級等?？梢蕴峁┗镜陌踩芰?。從法律及合規(guī)的角度來講，三級等保對醫(yī)院也是必須的。但我覺得單單三級等保并不能保證醫(yī)院能夠應對諸如數(shù)據(jù)勒索等新型的網(wǎng)絡(luò)攻擊?！?/p>

“等保測評其實是針對于某個組織的某個系統(tǒng)進行等保定級。它不是對于一個醫(yī)院整體安全的等級測評。對于黑客而言，他并不需要從你等保級別最高，也就是通過三級等保的系統(tǒng)來突破。他往往是從你對外暴露最多的保護級別最低的系統(tǒng)來突破，隨后慢慢滲透到核心系統(tǒng)。這也就是我們安全里面講的一個木桶原理。”

林鷺表示，目前的三級等保已經(jīng)是在考慮實際落地和投入成本后的最優(yōu)解，要從整個組織的層面進行規(guī)定，又或者在短期內(nèi)要求醫(yī)院所有系統(tǒng)通過并不現(xiàn)實?！爱吘姑磕甑男畔⒒度胧怯邢薜?。這些系統(tǒng)不僅建設(shè)和維護需要花錢，等保測評同樣也需要花錢。我們所知三級等保根據(jù)地區(qū)的不同價格不一樣，大概每年需要5-8萬元。醫(yī)院幾十個系統(tǒng)下來一年光等保測評費用都需要百萬級別。目前來看，全面覆蓋是不太現(xiàn)實的?！?/p>

從技術(shù)上而言，加強網(wǎng)絡(luò)安全的措施可謂老生常談，比如定期數(shù)據(jù)備份、安全意識培訓、及時升級補丁和更新管理、網(wǎng)絡(luò)分段、存取控制、重視電子郵件和網(wǎng)絡(luò)安全、端點保護、制定事件響應計劃、定期安全審計、定期進行備份測試和驗證等。

通過實施這些緩解策略，醫(yī)院可以增強其抵御勒索軟件攻擊的能力，并將對其運營和數(shù)據(jù)的潛在影響降至最低。但這些措施能夠得到多大程度的執(zhí)行，才是問題的關(guān)鍵。

對于如何幫助醫(yī)療行業(yè)應對網(wǎng)絡(luò)安全的挑戰(zhàn)，徐輝給出了幾點思考。他認為，首先需要健全醫(yī)療行業(yè)領(lǐng)域的安全管理制度和流程，除了加強整個技術(shù)防范的措施，更要建立相關(guān)的安全管理的體系和能力。

“說到底，三分技術(shù)七分管理，健全整個安全管理制度和流程機制非常關(guān)鍵。雖然三級等保只提供基礎(chǔ)的安全能力，但它在管理上有14個方面300多項要求，對于醫(yī)院管理制度的建立是有很大指導意義的。”他表示。

其次，徐輝認為涉及安全的各方，包括政府部門、行業(yè)協(xié)會、服務企業(yè)和醫(yī)療機構(gòu)都需要加強合作：“我們說加強合作，不是指單純站在各自的立場以單一維度去看這件事。比如，我們從事網(wǎng)絡(luò)安全和數(shù)據(jù)安全的服務企業(yè)對醫(yī)療行業(yè)的理解是不足的，需要結(jié)合場景實踐、法律合規(guī)和醫(yī)院管理。黑客的核心是數(shù)據(jù)，數(shù)據(jù)是在不斷流動的，動態(tài)性很強，很難靠單一維度理清楚，需要各方共同梳理，找到合理有效的解決方案?！?/p>

“醫(yī)療行業(yè)所擁有的高凈值數(shù)據(jù)，才是數(shù)據(jù)勒索的核心目標。所以，我國在《網(wǎng)絡(luò)安全法》以后又迅速出臺了《數(shù)據(jù)安全法》，對原有網(wǎng)絡(luò)安全無法覆蓋的部分進行了擴展延伸。除了現(xiàn)有的網(wǎng)絡(luò)安全三級等保，數(shù)據(jù)安全等級保護的相關(guān)標準可能會在6月出臺，相信后續(xù)還會有更多的政策規(guī)范和行業(yè)標準密集發(fā)布。”他補充說道。

徐輝進一步提到，目前，數(shù)據(jù)安全的頂層設(shè)計在行業(yè)適配層面做的不夠，其基礎(chǔ)是數(shù)據(jù)的分級分類，這部分和傳統(tǒng)網(wǎng)絡(luò)安全有很大不同，需要非常強的技術(shù)和行業(yè)的適配結(jié)合。從每個醫(yī)院的角度，其對數(shù)據(jù)的使用、管理、流程都不一致。因此，需要在細節(jié)標準去更加細化。

寫在最后

醫(yī)療行業(yè)的網(wǎng)絡(luò)安全及更進一步的數(shù)據(jù)安全，無疑是一個巨大而長期的挑戰(zhàn)，需要各方面的共同努力。動脈網(wǎng)一直持續(xù)關(guān)注醫(yī)療行業(yè)的網(wǎng)絡(luò)安全和數(shù)據(jù)安全，也希望本文能夠拋磚引玉，歡迎行業(yè)人士提供話題和線索。