医院领导者应该知道的 10 件事

医院和卫生系统继续成为勒索软件黑客的攻击目标，扰乱患者护理并造成数百万美元的恢复成本。

以下是医疗保健主管应该了解的有关勒索软件攻击的 10 件事：

1.什么是勒索软件？

勒索软件是一种恶意软件，黑客将其放置在受害者的服务器上，将受害者锁定在系统之外并加密数据，直到支付赎金为止。 受害者经常关闭他们的 IT 网络以遏制黑客攻击并阻止其传播。 黑客经常窃取数据以勒索赎金。

网络犯罪分子通过电子邮件钓鱼、虚假更新或防病毒安装、窃取或猜测登录凭据等方式进入远程访问程序。

2. 为什么医院和卫生系统成为攻击目标？

由于黑市上医疗数据的货币价值以及中断患者护理造成的高风险破坏，医院行业成为勒索软件团伙的主要目标。 根据网络安全公司 Emsisoft 的数据，2023 年医疗系统勒索软件攻击几乎翻了一番。

医院和卫生系统的 IT 系统受损确实事关生死，因此医院和卫生系统可能比其他不太重要的行业面临更大的支付赎金压力。明尼阿波利斯明尼苏达大学的研究人员 成立 勒索软件攻击会导致遭受黑客攻击时入院的患者的死亡率增加 20% 至 35%。

3. 医院或卫生系统首次遭受勒索软件攻击是什么时候？

首例已知的医院勒索软件攻击发生于 2016 年洛杉矶好莱坞长老会医疗中心。 黑客对医院的 IT 系统进行了加密，导致该组织支付了 17,000 美元的赎金才能解锁系统。 从那时起，事态不断升级。 联合健康集团 (UnitedHealth Group) 的索赔处理子公司 Change Healthcare 在 2024 年 2 月的勒索软件攻击后向黑客支付了超过 2200 万美元。

4. 最大的医疗系统勒索软件攻击是什么？

“最大”可能是一个主观术语，因为网络攻击造成的立即中断的严重程度差异很大。 此外，数据泄露和诉讼等次要影响可能会在攻击发生后数月内继续影响患者。

话虽如此，近年来，美国最大的两家非营利性医疗系统都成为勒索软件攻击的受害者：总部位于芝加哥的 CommonSpirit Health 于 2022 年 10 月遭到攻击，总部位于圣路易斯的 Ascension 于 2024 年 5 月遭到攻击。

CommonSpirit 报告称，此次网络攻击造成了 1.6 亿美元的损失。除了金钱损失之外，此类事件还给医院和医疗系统工作人员带来压力。

随着攻击变得越来越复杂，黑客的目标也变得越来越大。虽然小型医院仍不时成为勒索软件团伙的受害者，但现在许多黑客攻击的重点是大型医疗系统。2023 年，总部位于田纳西州纳什维尔的 30 家医院系统 Ardent Health Services 和总部位于加利福尼亚州卡尔弗城的 16 家医院网络 Prospect Medical Holdings 感染了勒索软件。

5. 谁在袭击医院？

据一份报告称，医院和卫生系统通常是“训练有素、装备精良、资金充足且经常受到外国政府支持和庇护的全职专业网络团伙”的目标。 文章 作者：John Riggi，美国医院协会网络安全和风险国家顾问。

这些团体经常随着当局玩黑客“打地鼠”游戏而变形，但根据美国卫生和公共服务部 (HHS) 卫生部门网络安全协调中心 (HC3) 的数据，截至 2024 年 4 月，最积极针对医疗保健的团伙是 LockBit、BlackCat/ALPHV 和 BianLian。近几个月来，LockBit 已经入侵了几家医院，而 BlackCat/ALPHV 声称对 Change Healthcare 的网络攻击负责，这是有史以来最大的医疗保健勒索软件事件，可能危及三分之一美国人的数据。

这些犯罪组织发展迅速。美国卫生与公众服务部、联邦调查局和网络安全与基础设施安全局在 5 月初警告称，2022 年首次发现的 Black Basta 勒索软件团伙越来越多地针对医疗保健。同月，该组织与导致 Ascension IT 网络关闭的网络攻击有关。

6. 勒索软件策略如何演变？

除了范围和频率不断扩大之外，针对医院的勒索病毒攻击也愈发残忍。

2023 年，一个网络犯罪团伙宣布禁止进入儿童医院；今年，网络攻击者入侵了芝加哥的 Lurie 儿童医院，导致预约被取消，儿科患者及其家属陷入混乱。在宾夕法尼亚州阿伦敦的 Lehigh Valley Health Network 拒绝交出赎金后，LockBit 勒索软件团伙将乳腺癌患者的裸照泄露到暗网上。

2023 年底，黑客威胁称，如果该组织不付款，他们将派遣特警队前往西雅图 Fred Hutchinson 癌症中心患者的家中。 网络犯罪分子还直接通过电子邮件勒索患者，要求患者支付金钱，以换取患者不得在网上发布个人和健康信息。

7.医院和卫生系统是否应该支付赎金？

美国医院协会和联邦执法机构建议不要支付赎金，因为这会鼓励未来的攻击，并且不保证数据会被归还。

里吉先生表示：“我们的指导意见是，希望组织能够做好充分的准备，并拥有不可变的备份来恢复，并采取适当的防御措施和恢复程序，这样他们就永远不必面对这个非常非常困难的决定。”美国心脏协会告诉 贝克尔。

勒索软件谈判代表告诉 政治报 医疗保健提供商通常最终会支付赎金来找回被盗的患者数据并迅速恢复系统。

网络安全公司 GroupSense 联合创始人的勒索软件谈判代表 Kurtis Minder 表示：“目前，许多此类组织有两种选择：停止运营，在医疗保健领域，有人可能会死亡，或者支付赎金。”出口。

由于法律义务、可能鼓励进一步攻击以及担心声誉受损，勒索软件攻击中的赎金金额通常不予披露。此外，准确衡量此类攻击的全部财务影响可能很复杂。

据报道，一些美元数字可以大致说明索要或被盗金额。据报道，2024 年初，一个网络犯罪团伙向芝加哥一家安全网医院索要 90 万美元赎金，而另一个勒索软件团伙据称在暗网上以 340 万美元的价格出售从芝加哥一家儿童医院窃取的数据。

报告的赎金数字并未反映勒索软件攻击造成的全部财务损失，例如因暂停服务而产生的诉讼或费用。

8. 医院和卫生系统是唯一的医疗保健受害者吗？

事实并非如此。黑客们已经认识到，通过瞄准与医疗系统合作的众多第三方技术供应商，他们可以更轻松地获取患者数据，并获得更多的数据。

因此，Change Healthcare 成为攻击目标，因为它处理着三分之一美国人的病历，比任何单一医疗系统都要多得多。Change Healthcare 母公司 UnitedHealth Group 的首席执行官安德鲁·威蒂 (Andrew Witty) 确认的 该公司向黑客支付了 2200 万美元的赎金。

网络安全研究员 Black Kite 表示，在医疗保健领域，超过三分之一的数据泄露来自第三方供应商，比其他任何行业都要多。匹兹堡 UPMC 信息安全和隐私副总裁约翰·休斯顿表示，第三方网络攻击是“迄今为止我们看到的最大风险” 贝克尔 在2023年。

9. 领导人对勒索软件攻击有何评价？

转向勒索软件

“五年前，用于窃取用户凭证的银行木马（如 Emotet）似乎风靡一时；WannaCry 刚刚摧毁了西欧大部分医疗基础设施，这凸显了医疗保健对国家支持的攻击和勒索软件攻击的准备不足；勒索软件攻击者要求支付高达 500 美元的赎金来恢复企业系统，”总部位于宾夕法尼亚州伯温的 Main Line Health 首席信息安全官 Aaron Weismann 告诉 贝克尔 2022 年。“现在，勒索软件似乎是主要威胁，攻击集中在医疗保健提供商及其下游服务供应商，赎金高达数百万和数千万美元。”

关于黑客如何入侵

位于奥马哈的内布拉斯加州卫理公会卫生系统 (Nebraska Methodist Health System) 首席信息安全官 Michael Kearns 表示：“医疗保健已成为勒索软件的更大目标，这一点怎么强调都不为过。” 贝克尔 2022 年。“电子邮件是我们最薄弱的环节，但坏人已经发现，他们最好通过 SolarWinds 或 Exchange 等第三方供应商通过装货平台进入。我们看到越来越多的威胁行为者利用供应商获得立足点在你的网络中。”

关于预防

特拉华州纽瓦克 ChristianaCare 公司的 CISO Anahi Santiago 告诉记者：“不幸的是，许多成为勒索软件受害者的组织本可以通过采取基本的安全措施来避免攻击。” 贝克尔 2023 年。“攻击通常会利用在攻击之前可以缓解的漏洞，但这并不是说在每种情况下都会发生这种情况。补丁和漏洞管理实践应在整个组织中采用，并作为任何攻击的核心组件。网络安全计划。”

政府能做什么来提供帮助

“首先，显然我们不仅需要医疗网络安全的法规和政策，还需要一个联邦授权的生态系统来协助和制定此类事件后的清理和恢复活动的标准，”总部位于马里兰州安纳波利斯的 Luminis Health 首席数字和信息官 Saad Chaudhry 告诉 贝克尔的 在2024年。

10. 有关医院和勒索软件的最新监管和政策发展是什么？

拜登政府计划对医院引入网络安全要求。一项提案称，不遵守规定的医院可能会损失高达 100% 的 CMS 年度付款增加额，并面临高达其基本付款 1% 的额外罚款。

白宫还打算为小型乡村医院提供免费的网络安全培训，而美国卫生与公众服务部 (HHS) 5 月份表示，计划投资 5000 万美元用于医院的自主网络防御。

AHA 反对强制性网络安全标准，称 CMS 罚款造成的任何资金损失都会削弱医院抵御网络攻击的能力。

AHA 表示：“医疗保健行业面临的网络风险主要来源于第三方技术和服务提供商的漏洞，而不是医院的主要系统。” 彭博社。 “AHA 支持采用全行业的网络弹性方法。我们将继续与政策制定者合作，采取一种不会导致无资金授权的方法，并重点关注医疗保健行业的整个关键基础设施。”

美国也提出了法案 房子 参议院将要求卫生与公众服务部监察长对该机构的网络安全系统进行定期评估。 与此同时，参议院拟议的立法将在发生网络攻击时向满足最低网络安全要求的医院预付款。