网络安全分析师警告说,美国的医院和医疗设备极易受到上周五席卷150多个国家的大规模网络攻击的影响,一些医疗保健提供商可能已经或即将受到攻击。
这次攻击依赖于一种名为勒索软件的恶意软件,该软件会阻止用户访问其计算机系统,直到他们支付赎金。这种名为“WannaCry”的恶性新毒株冻结或减慢了全球的商业和医疗保健计算机系统,包括英国国家医疗服务体系内的多个系统。
该恶意软件利用了Windows操作系统中的一个漏洞,许多系统管理员尚未对此进行修补,包括许多美国医院的系统,专家警告说。此外,“WannaCry”不会区分计算机、智能手机或医疗设备。而且,与许多其他网络攻击不同,用户无需点击链接即可在不知情的情况下安装它;如果医疗保健系统连接到互联网并使用过时的系统,该恶意软件就可以找到它并感染它。
支持科学新闻报道
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道: 订阅。通过购买订阅,您正在帮助确保未来能够继续报道关于当今世界正在塑造的发现和想法的有影响力的故事。
“这有点像我们关上了门,但没有上锁,所以恶意软件只是拨弄门把手,直到找到一个开着的并走进去。你不需要在那里就会被抢劫,”医疗保健安全公司Virta Labs的首席执行官兼首席科学家、密歇根大学阿基米德医疗设备中心主任凯文·傅说。“我们知道美国医院存在这种漏洞”,因为它的许多医疗机构都使用过时的系统,他说。
在医院环境中,“WannaCry”感染会导致严重的问题,包括阻止访问患者记录和实验室结果,或无法与医院计算机或其他设备共享过敏或药物相互作用信息。用户可能只有在打开设备后才会发现安全漏洞,届时会弹出一个锁定屏幕,说明该人的数据被扣为人质,除非支付赎金。据报道,赎金费用(在300美元至600美元之间)显然被设计得足够低,以激励支付。
截至本周初,美国没有医院或其他医疗机构公开报告受到“WannaCry”攻击。目前尚不清楚为什么,甚至是否,美国的医院和医疗系统已经避开了最新的恶意软件攻击。风险管理网络安全公司SecurityScorecard的首席研究官亚历克斯·海德表示,美国的医疗保健系统不像英国那样集中,这可能在一定程度上提供了保护,该公司负责跟踪美国医疗保健领域的网络攻击。尽管如此,海德警告说,美国医疗保健提供商的计算机网络可能已经受到人们不广泛了解的威胁的攻击。“很可能[WannaCry]只是没有击中我们的大型网站网络——相当于NHS——但我保证美国的系统在某种程度上受到了影响,”他说,并指出历史上许多公司只是支付了少量赎金,而不是公开他们出现故障。
医疗保健提供商担心这一点已不是秘密。波士顿一家大型医院系统本周末采取了一些严厉的措施,禁用了电子邮件中的所有附件——即使“WannaCry”可以在没有任何受害者交互的情况下传播,傅说。“我会说我们躲过了一劫[与英国相比],但我认为子弹仍然在飞来,我们知道我们同样脆弱,”他说,并指出该恶意软件可能会被进一步调整,从而在未来造成问题。
针对医院系统的网络攻击已经很普遍。去年,海德的公司发布了一份分析报告,结论是约75%的主要医疗保健提供商都经历过可能导致他们丢失数据或资金的恶意软件感染。“美国医疗保健系统仍然存在许多与我们在英国看到的那种问题相同的问题,”海德说。“主要是,医疗领域普遍存在大量遗留软件和过时软件。”
美国政府于2016年7月发布的指导意见指出,根据现行的健康隐私法,医疗保健提供商必须报告恶意软件攻击。但傅说,到目前为止,这一行动并未导致事件报告数量的显著增加,他引用了他自己对一段时间内的报告数量进行的未发表的分析。他指出,这种明显的变化缺乏可能表明许多机构可能仍然没有报告攻击。
像许多计算机和智能手机用户一样,医院和医疗保健系统可能会选择不安装安全补丁和修复程序,因为此类升级可能需要系统暂时离线或减速。一些机构甚至可能没有意识到他们处于危险之中,要么是因为他们没有IT部门,要么是因为不同的机构正在处理其系统的不同分支,傅说。
但是,未能采取迅速、全面的行动会使公司和医院面临风险。“一旦某个东西连接到互联网并受到感染,这仅仅取决于攻击者想用它做什么:锁定它、破坏它或将其出售给出价最高的人,”海德说。“现在最重要的是,如果有人一直忽略Windows更新,就要安装它们。”他指出,在我们相互联系的世界中,总会存在风险——但“最佳实践可以减少你成为目标的可能性——而且你不想成为最容易摘到的果实。”