2月21日清晨,Change Healthcare,一家对大多数美国人来说陌生的公司,但在美国医疗系统中扮演着重要角色,发布了一份简短声明,称其部分应用程序“目前不可用”。
到了下午,该公司将情况描述为“网络安全”问题。
从那时起,情况迅速升级为一场危机。
支持科学新闻报道
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道: 订阅。通过购买订阅,您将帮助确保有关塑造我们当今世界的发现和想法的具有影响力的故事能够拥有未来。
据报道,这家最近被保险巨头 UnitedHealth Group 收购的公司遭受了网络攻击。影响广泛且预计会扩大。Change Healthcare 的业务是维护医疗保健的管道——支付、保险公司授权护理的请求等等。这些管道处理着巨大的负荷:Change 在其网站上表示,“我们的云网络每年支持 140 亿次临床、财务和运营交易。”
最初的媒体报道侧重于对药房的影响,但技术专家表示,这低估了问题的严重性。美国医院协会 表示,许多会员没有收到付款,医生也无法核实患者是否拥有医疗保障。
但这仅仅是紧急情况的一小部分:CommonWell,一个帮助医疗服务提供商共享医疗记录(对护理至关重要的信息)的机构,也依赖于 Change 技术。截至 2023 年 7 月,该系统包含了 2.08 亿个人的记录。CommonWell 营销经理 Courtney Baker 表示,出于“极度谨慎”,该网络“已被禁用”。
马里兰州 Luminis Health 医院系统的首席数字和信息官 Saad Chaudhry 对 KFF Health News 表示:“如果问题得不到解决,小小的涟漪将会随着时间的推移变得越来越大。”
以下是关于这次黑客攻击的须知要点
谁干的?
媒体报道指向了 ALPHV,一个臭名昭著的勒索软件组织,又名 Blackcat,已成为全球众多执法机构的目标。尽管 UnitedHealth Group 表示这是一次“疑似与国家相关的”攻击,但一些外部分析师对这种关联提出异议。该团伙此前曾被指责攻击赌场公司 MGM 和 Caesars 以及许多其他目标。
美国司法部在 Change 黑客攻击事件之前,于 12 月声称,该组织的受害者已经向其支付了数亿美元的赎金。
这是一个新问题吗?
绝对不是。2022 年 12 月发表在 JAMA Health Forum 上的一项研究发现,针对医院和其他医疗服务提供商的勒索软件攻击的年度数量从 2016 年到 2021 年翻了一番。
佛罗里达州杰克逊维尔 Baptist Health 的首席数字和信息官 Aaron Miri 说:“这只是老调重弹。”
由于攻击会禁用目标公司的计算机系统,医疗服务提供商不得不转为纸质办公,从而减慢了速度,并使其容易遗漏信息。
此外,2023 年 5 月发表在 JAMA Network Open 上的一项研究,调查了对医疗系统的攻击的影响,发现等待时间、平均住院时间和患者擅自离院事件均有所增加——在邻近的急诊科。 作者写道,结果意味着网络攻击“应被视为区域性灾难”。
Miri 说,袭击摧毁了农村医院。无论医疗服务提供商在哪里受到打击,都会随之而来患者安全问题。
这对患者意味着什么?
年复一年,越来越多的美国人的健康数据遭到泄露。这使人们面临身份盗窃和医疗错误的风险。
护理也可能受到影响。例如,2017 年一次名为“NotPetya”的攻击迫使西弗吉尼亚州一家农村医院重启其运营,并对制药公司 Merck 造成了如此严重的打击,以至于该公司无法完成 HPV 疫苗的生产目标。
由于 Change Healthcare 遭受攻击,一些患者可能会被转到受账单问题影响较小的新药房。行业高管表示,患者的账单也可能会延迟。在某个时候,许多患者可能会收到数据泄露的通知。Chaudhry 说,根据被盗数据的确切内容,这些患者可能面临身份盗窃的风险。公司通常会在这些情况下提供免费的信用监控服务。
“患者正在因此丧生,”Miri 说。事实上,明尼苏达大学的研究人员在 10 月份发布的一份预印本中发现,在遭受勒索软件攻击的医院中,患者的死亡率增加了近 21%。
它是如何发生的?
健康信息共享与分析中心 (Health Information Sharing and Analysis Center, H-ISAC) 是一个行业协调组织,负责传播有关攻击的情报,它已告知其成员,名为 ConnectWise ScreenConnect 的应用程序中的漏洞是罪魁祸首。确切的细节尚无法证实。
H-ISAC 警告其成员,这是一款技术支持团队用于远程排除计算机故障的工具,并且该攻击“显然很容易执行”。该组织表示,预计会有更多受害者,并建议其成员更新技术。当攻击首次发生时,AHA 建议其成员断开与 Change 及其母公司 UnitedHealth 的 Optum 部门的系统的连接。这将影响从索赔审批到参考工具等各种服务。
数百万美国人接受 UnitedHealth 雇用的医生和其他从业人员的诊疗,并由该公司的保险计划承保。
UnitedHealth 表示,只有 Change 的系统受到影响,医院可以安全地使用 UnitedHealth 和 Optum 提供的其他数字服务,包括索赔提交和处理系统。
但 Chaudhry 说,没有多少首席信息官“急于重新连接”。“这让人感到不安。”
Miri 说,Baptist 正在使用该企业集团的技术,并且他相信 UnitedHealth 的话,认为它是安全的。
联邦政府在哪里?
两位高管对医疗保健网络安全的未来都不乐观。“情况会变得更糟,”Chaudhry 说。
“联邦政府没有提供更多帮助,这真令人遗憾,”Miri 说。“你会认为,如果我们的核基础设施受到攻击,联邦政府会以更大的热情做出回应。”
虽然司法部和国务院已将 ALPHV 集团作为目标,但在这次袭击事件发生后,政府更多地保持了幕后姿态。Chaudhry 说,FBI 和卫生与公众服务部一直在参加 AHA 组织的电话会议,向成员介绍情况。
Miri 说,农村医院尤其需要更多资金用于安全保障,并且食品和药物管理局等机构应该制定强制性的网络安全标准。
官员们在一定程度上认识到需要进行改进。
参议院情报特别委员会主席、长期以来一直倡导加强网络安全的参议员马克·华纳(弗吉尼亚州民主党)在给 KFF Health News 的一份声明中说:“最近的这次袭击进一步证明,现状行不通,我们必须采取措施加强医疗行业的网络安全。”
KFF Health News,前身为 Kaiser Health News (KHN),是一家国家新闻编辑室,负责制作关于健康问题的深度新闻报道,并且是 KFF的核心运营项目之一——KFF 是健康政策研究、民意调查和新闻报道的独立来源。