醫(yī)療保健的巨大網(wǎng)絡(luò)安全問題

病人躺在Paul Pugsley面前的急診室桌子上中風(fēng)。時(shí)間不多了。Pugsley是馬里科帕醫(yī)療中心的一名急診醫(yī)生，他知道他需要送病人進(jìn)行CT掃描。

但當(dāng)Pugsley看著房間一側(cè)的電腦屏幕時(shí)，他看到一條要求支付比特幣的彈出消息。幾分鐘后，他被告知相同的信息已關(guān)閉掃描儀 - 他必須幫助患者，而不知道中風(fēng)是由引流或凝塊引起的，這些信息通常對(duì)治療過程至關(guān)重要。

經(jīng)過幾分鐘的瘋狂治療后，患者 - 實(shí)際上是一名醫(yī)學(xué)測(cè)試假人 - 被推出了房間(預(yù)后：生存，但嚴(yán)重的腦損傷)。閃電贖金是模擬的一部分，旨在讓像Pugsley這樣的醫(yī)生暴露于他們醫(yī)院的網(wǎng)絡(luò)攻擊的真正威脅。

報(bào)告顯示勒索軟件和其他網(wǎng)絡(luò)攻擊正在上升 - 醫(yī)療保健是最大的目標(biāo)之一。就在本周，以色列的研究人員宣布，他們制造了一種計(jì)算機(jī)病毒，能夠?qū)⒛[瘤添加到CT和MRI掃描中 - 惡意軟件旨在愚弄醫(yī)生誤診高調(diào)患者，Kim Zetter為華盛頓郵報(bào)報(bào)道。盡管威脅上升，但絕大多數(shù)醫(yī)院和醫(yī)生都沒有準(zhǔn)備好應(yīng)對(duì)網(wǎng)絡(luò)安全威脅，即使它們構(gòu)成了嚴(yán)重的公共衛(wèi)生問題。

醫(yī)療保健行業(yè)越來越依賴于連接到互聯(lián)網(wǎng)的技術(shù)：從患者記錄和實(shí)驗(yàn)室結(jié)果到放射設(shè)備和醫(yī)院電梯。這對(duì)患者護(hù)理很有好處，因?yàn)樗兄跀?shù)據(jù)集成，患者參與和臨床支持。另一方面，這些技術(shù)往往容易受到網(wǎng)絡(luò)攻擊，這可能會(huì)吸走患者數(shù)據(jù)，劫持藥物輸注設(shè)備以開采加密貨幣，或關(guān)閉整個(gè)醫(yī)院直到支付贖金。

“如果系統(tǒng)因互聯(lián)網(wǎng)，對(duì)手或事故而中斷，這會(huì)對(duì)患者護(hù)理產(chǎn)生深遠(yuǎn)影響，”Beau Woods說，他是大西洋理事會(huì)的網(wǎng)絡(luò)安全倡導(dǎo)者和網(wǎng)絡(luò)安全創(chuàng)新研究員。

Pugsley在模擬中遇到的案例模仿了2017年春天的WannaCry網(wǎng)絡(luò)攻擊，該網(wǎng)絡(luò)攻擊感染了全球數(shù)千臺(tái)計(jì)算機(jī)，并使英國(guó)的國(guó)民健康服務(wù)陷入混亂。2017年，由美國(guó)衛(wèi)生和人類服務(wù)部召集的醫(yī)療保健行業(yè)網(wǎng)絡(luò)安全工作組得出結(jié)論認(rèn)為，醫(yī)療保健網(wǎng)絡(luò)安全處于“危急狀態(tài)”。專家表示，醫(yī)療保健遠(yuǎn)遠(yuǎn)落后于其他行業(yè)，如金融部門，它保護(hù)其信息技術(shù)基礎(chǔ)設(shè)施的方式。與金融不同，醫(yī)療保健失敗可能會(huì)導(dǎo)致傷害甚至死亡。

沒有證據(jù)表明任何患者死于WannaCry的直接結(jié)果。但是這次襲擊劫持了成千上萬臺(tái)醫(yī)院的計(jì)算機(jī)和診斷設(shè)備，迫使醫(yī)生手動(dòng)在醫(yī)院內(nèi)運(yùn)送實(shí)驗(yàn)室結(jié)果，取消了近20,000名患者預(yù)約。該攻擊針對(duì)的是Microsoft Windows操作系統(tǒng)中的漏洞，加密數(shù)據(jù)并保存計(jì)算機(jī)系統(tǒng)以獲取比特幣贖金。盡管WannaCry 最終陷入困境，但伍茲表示，醫(yī)療保健機(jī)構(gòu)繼續(xù)容易遭受如此大規(guī)模的襲擊。

“我們知道現(xiàn)場(chǎng)有點(diǎn)燃，我們只是不知道哪場(chǎng)比賽會(huì)點(diǎn)燃它。”

伍茲說：“我想在沒有危言聳聽的情況下發(fā)出警報(bào)。” “那里發(fā)生了不好的事情的先決條件。我們知道現(xiàn)場(chǎng)有點(diǎn)燃，我們只是不知道哪場(chǎng)比賽會(huì)點(diǎn)燃它。“

NotPetya是有史以來最大的網(wǎng)絡(luò)攻擊之一。2017年6月的襲擊事件造成全球公司和受影響的計(jì)算機(jī)損失100億美元，從塔斯馬尼亞到哥本哈根，包括位于馬薩諸塞州的醫(yī)療轉(zhuǎn)錄服務(wù)公司Nuance。該公司的系統(tǒng)已關(guān)閉數(shù)周，導(dǎo)致數(shù)千家醫(yī)療保健服務(wù)機(jī)構(gòu)(包括北加州醫(yī)療保健系統(tǒng)Sutter Health)無法使用其計(jì)劃。

Sutter Health為300多萬患者提供服務(wù)。首席隱私和信息安全官Jacki Monson表示，他們能夠快速響應(yīng)攻擊并離開系統(tǒng)。但是在一天之內(nèi)，它仍然積壓了超過100萬個(gè)需要轉(zhuǎn)錄的文件。

“這可能很容易造成患者安全問題 - 如果您有移植患者，或者正在接受手術(shù)的患者，您需要所有這些醫(yī)療記錄，”她說。

Sutter Health每天處理無數(shù)次網(wǎng)絡(luò)攻擊。根據(jù)Monson的說法，它在2018年遭受了約870億次網(wǎng)絡(luò)威脅，并使用人工智能技術(shù)對(duì)其進(jìn)行分類和評(píng)估。“我們優(yōu)先考慮它們 - 人類無法看到那么多的數(shù)十億。”根據(jù)威脅的性質(zhì)，團(tuán)隊(duì)可能會(huì)應(yīng)用軟件補(bǔ)丁，或阻止他們預(yù)計(jì)會(huì)發(fā)生網(wǎng)絡(luò)釣魚攻擊的電子郵件地址。

Monson表示，由于系統(tǒng)的規(guī)模，Sutter Health可能面臨的威脅數(shù)量可能很高，但對(duì)于任何醫(yī)院或醫(yī)療保健服務(wù)機(jī)構(gòu)來說，數(shù)字仍然高達(dá)數(shù)十億。它只需要一個(gè)威脅突破。“大多數(shù)在他們的系統(tǒng)中有活躍網(wǎng)絡(luò)攻擊的組織在18個(gè)月或更長(zhǎng)時(shí)間內(nèi)沒有發(fā)現(xiàn)它，”Monson說。“它不是衡量何時(shí)或是否 - 它可能已經(jīng)發(fā)生，你只是不知道它。”

“在他們的系統(tǒng)中有大量網(wǎng)絡(luò)攻擊的大多數(shù)組織都沒有發(fā)現(xiàn)它18個(gè)月或更長(zhǎng)時(shí)間。”

不過，Sutter Health強(qiáng)大的網(wǎng)絡(luò)安全計(jì)劃是一個(gè)例外，而不是規(guī)則。大多數(shù)醫(yī)院沒有資源來監(jiān)控他們系統(tǒng)的威脅，許多人甚至不知道他們需要關(guān)注的事情。

醫(yī)療設(shè)備制造商和食品和藥品管理局非常清楚醫(yī)療保健網(wǎng)絡(luò)安全方面的挑戰(zhàn)：FDA制定了關(guān)于醫(yī)療設(shè)備制造商如何在產(chǎn)品投放市場(chǎng)之前和之后管理安全風(fēng)險(xiǎn)的指導(dǎo)方針，并主持了設(shè)備研討會(huì) 1月底的網(wǎng)絡(luò)安全。在研討會(huì)上，一群設(shè)備制造商(包括Abbott和Medtronic等知名企業(yè))承諾與黑客和安全研究人員就漏洞密切合作。

但醫(yī)院和醫(yī)生并沒有跟上這一進(jìn)步。“我們?cè)诠?yīng)鏈中間有很好的工具，在FDA層面，與制造商合作，”伍茲說。“我們沒有在提供護(hù)理的實(shí)際時(shí)刻看到它。”

醫(yī)院內(nèi)部的技術(shù)差別很大：一些醫(yī)療設(shè)備是新的，但其他醫(yī)療設(shè)備是由不再?gòu)氖聵I(yè)務(wù)的公司制造的，或者運(yùn)行在安全漏洞較大的舊軟件上。起搏器和其他植入式互聯(lián)網(wǎng)連接設(shè)備是可以攻擊的。人為錯(cuò)誤也會(huì)在系統(tǒng)中造成漏洞：根據(jù)JAMA Internal Medicine發(fā)表的研究報(bào)告，在數(shù)據(jù)隱私方面，大多數(shù)漏洞都是由員工錯(cuò)誤或未經(jīng)授權(quán)的披露引發(fā)的。

更有甚者，專家說，醫(yī)院通常不知道他們每天使用的設(shè)備上運(yùn)行的系統(tǒng)。加州大學(xué)圣地亞哥分校衛(wèi)生部網(wǎng)絡(luò)安全研究員和信息學(xué)研究員克里斯蒂安達(dá)梅夫說：“當(dāng)WannaCry襲來時(shí)，醫(yī)院們正在爭(zhēng)先恐后地弄清楚哪些醫(yī)療設(shè)備受到了影響。” “這些設(shè)備往往是醫(yī)院的黑匣子。”

這并不是說，醫(yī)院不支付任何注意他們的計(jì)算系統(tǒng)。只是他們的注意力集中在一種不同的安全性上。醫(yī)院中的數(shù)據(jù)安全實(shí)踐通常優(yōu)先考慮保護(hù)患者隱私，因?yàn)榻M織可能會(huì)因HIPPA而被罰款以暴露患者數(shù)據(jù)。加州大學(xué)戴維斯分校醫(yī)療中心的網(wǎng)絡(luò)安全研究員和醫(yī)生杰夫塔利說：“這讓他們能夠掩蓋那些可能沒有患者健康信息的設(shè)備會(huì)面臨同樣的風(fēng)險(xiǎn)。”

達(dá)梅夫說，使這個(gè)問題更加復(fù)雜，絕大多數(shù)醫(yī)院都沒有全職的網(wǎng)絡(luò)安全員工。“缺乏意識(shí)，缺乏資源，”他說。他指出，服務(wù)欠缺社區(qū)的小型農(nóng)村醫(yī)院可能沒有錢雇用員工或更新他們的系統(tǒng)。如果沒有安全人員，他們可能不知道或無法實(shí)現(xiàn)設(shè)備公司宣布的安全更新。

如果沒有防護(hù)壁壘，已經(jīng)在工作人員身上的人甚至?xí)⒁獾剿麄兪艿焦艨赡軙?huì)很棘手。已經(jīng)在他們的盤子上有很多的護(hù)士和醫(yī)生可能不會(huì)識(shí)別被黑的設(shè)備。例如，如果輸送藥物的輸液泵感染了加密貨幣的惡意軟件，這會(huì)減慢藥物輸送速度，那么該設(shè)備可能只是被擠出病房并換成相同型號(hào)，Dameff說，這個(gè)解決方案不會(huì)解決潛在問題并可能影響患者護(hù)理。

“最可怕的事情之一就是帶有漏洞的醫(yī)療設(shè)備，但該設(shè)備無法打補(bǔ)丁，”達(dá)梅夫說。“我們能做什么?我們告訴患者什么?“任何監(jiān)管機(jī)構(gòu)都不會(huì)強(qiáng)迫醫(yī)院更新他們的設(shè)備 - 他們這樣做可能不太可行。他說，如果一件設(shè)備售價(jià)400萬美元且無法修復(fù)，醫(yī)院可能無法用新的東西替代它。“他們可能會(huì)說，'我們沒有選擇。'”

11月，東俄亥俄州地區(qū)醫(yī)院和俄亥俄谷醫(yī)療中心的計(jì)算機(jī)系統(tǒng)突然停止工作。他們?cè)獾嚼账鬈浖u擊 - 迫使醫(yī)院將患者從急診室轉(zhuǎn)移并返回紙質(zhì)圖表系統(tǒng)。醫(yī)院急診服務(wù)醫(yī)療主任Neal Aulick表示，工作人員無法進(jìn)入床邊超聲檢查并且CT掃描的可及性有限。這是一個(gè)艱難的時(shí)期，但奧利克指出，“回顧我們失敗時(shí)，我們沒有看到不好的結(jié)果，我認(rèn)為我們處理得很好，”他說。

希望獲得醫(yī)院系統(tǒng)的網(wǎng)絡(luò)安全專家與專注于患者護(hù)理的醫(yī)生之間存在緊張關(guān)系。臨床醫(yī)生了解網(wǎng)絡(luò)安全的重要性至關(guān)重要，因?yàn)樗麄兣c使用和受醫(yī)療設(shè)備影響的患者直接接觸，但對(duì)于忙碌的臨床醫(yī)生來說，這可能是一個(gè)難以理解的問題。Dameff說，沒有醫(yī)院和醫(yī)生的參與，F(xiàn)DA和醫(yī)療設(shè)備公司為改善網(wǎng)絡(luò)安全所做的所有努力都不盡如人意。這就是他所說的最后一英里問題：“這是供應(yīng)商或醫(yī)院必須找到問題或部署[軟件]補(bǔ)丁的最后一步。這真的很難，“他說。“我們應(yīng)該像我們一樣做這些偉大的工作，但是醫(yī)生不會(huì)安裝更新。”

作為一名急診醫(yī)學(xué)醫(yī)生和醫(yī)療主任，Aulick說他認(rèn)識(shí)到互聯(lián)網(wǎng)連接系統(tǒng)的風(fēng)險(xiǎn)，但他說這必須與他們?cè)试S的速度和信息的好處相平衡。“當(dāng)你有這樣的違規(guī)行為時(shí)，反應(yīng)就會(huì)被夸大，”他說。網(wǎng)絡(luò)安全團(tuán)隊(duì)將通過額外的密碼或身份驗(yàn)證來增強(qiáng)安全性，這使系統(tǒng)更安全，但也可能減慢處理速度。

中佛羅里達(dá)大學(xué)健康管理和信息學(xué)系助理教授Sung Choi說，這是醫(yī)生的常見反應(yīng)。“醫(yī)院試圖提高安全性，但在實(shí)踐中，這些措施可能會(huì)被臨床醫(yī)生繞過，然后就不那么有效，”他說。“安全性增加了設(shè)計(jì)帶來的不便。下一步是弄清楚如何在沒有不便的情況下改進(jìn)它。“

這真的很不方便。即使對(duì)患者隱私的攻擊(可能看起來與患者護(hù)理分開)也會(huì)影響健康：Choi的研究表明，數(shù)據(jù)泄露會(huì)增加醫(yī)院30天的死亡率。這可能是因?yàn)榻M織在數(shù)據(jù)泄露后恢復(fù)的努力可能會(huì)影響正常運(yùn)營(yíng)，并使資源遠(yuǎn)離患者護(hù)理。“它為醫(yī)院帶來了很多變化，”他說。“他們可能需要升級(jí)軟件或重新培訓(xùn)員工，這可能會(huì)影響臨床工作流程。”

這正是Aulick醫(yī)生所擔(dān)心的問題。網(wǎng)絡(luò)安全專家面臨的最困難的任務(wù)之一就是傳達(dá)不斷增長(zhǎng)的相對(duì)新問題的重要性。事實(shí)是，在網(wǎng)絡(luò)安全攻擊醫(yī)院期間和之后，沒有很多研究調(diào)查患者的健康狀況。

但也有一些類比。2017年，發(fā)表在“ 新英格蘭醫(yī)學(xué)雜志”上的研究發(fā)現(xiàn)，心臟病發(fā)作并在馬拉松比賽期間被送往醫(yī)院的人在一個(gè)月內(nèi)死亡的可能性比另一天送往醫(yī)院的人更多：可能因?yàn)榈缆贩忾]和資源轉(zhuǎn)移造成了患者護(hù)理的延誤。這是一個(gè)不完美的比較，塔利說，但這是網(wǎng)絡(luò)安全專家在考慮勒索軟件攻擊時(shí)所關(guān)注的問題。“任何導(dǎo)致護(hù)理延遲或退化的因素都會(huì)影響結(jié)果，”他說。

Monson表示，將網(wǎng)絡(luò)攻擊視為安全問題可以幫助專家讓醫(yī)生和臨床醫(yī)生獲得良好的網(wǎng)絡(luò)安全實(shí)踐，否則他們可能會(huì)認(rèn)為這只是一個(gè)行政問題。“更多關(guān)于對(duì)患者安全影響的故事引起了醫(yī)生的共鳴，”她說。“如果我們不是將其視為患者安全，那么醫(yī)生就會(huì)更難理解它是如何牽連他們的。”

實(shí)質(zhì)上解決醫(yī)療保健領(lǐng)域的網(wǎng)絡(luò)安全并不容易，并且需要從醫(yī)生到護(hù)士，IT專業(yè)人員和制造商的每個(gè)人的合作。在實(shí)踐中，這可能看起來像是為醫(yī)學(xué)院增加了網(wǎng)絡(luò)安全培訓(xùn)，或者增加了模擬的使用，這些模擬將像Pugsley這樣的臨床醫(yī)生置于模擬網(wǎng)絡(luò)攻擊的情境中。“我們不想讓臨床醫(yī)生變成黑客，”達(dá)梅夫說，“但作為醫(yī)學(xué)院的一部分，進(jìn)行一兩個(gè)或兩個(gè)以上的網(wǎng)絡(luò)安全培訓(xùn)和患者安全是否合理?”

對(duì)醫(yī)生來說教育很重要，而且Monson指出，醫(yī)院投資的激勵(lì)措施也是關(guān)鍵。“在某些時(shí)候，我們需要通過監(jiān)管干預(yù)來推動(dòng)表盤，”蒙森說。“這似乎不是自愿的。為了患者安全，我們不應(yīng)該抓住機(jī)會(huì)。“

現(xiàn)在，如果像WannaCry這樣的東西襲擊了美國(guó)，伍茲說我們的醫(yī)院基礎(chǔ)設(shè)施將毫無準(zhǔn)備。“我們必須在飛行中做出回應(yīng)。”正在努力使醫(yī)療保健加快最佳實(shí)踐的速度令人興奮，并且需要來自患者和投資者的信息。但他說，生命仍處于危險(xiǎn)之中。“有很多事情要發(fā)生。我擔(dān)心的是它不夠快。“