最近对计费和支付巨头Change Healthcare的网络攻击表明,整个美国医疗保健系统的漏洞有多严重,并提醒行业领导者和政策制定者迫切需要更好的数字安全。
医院、健康保险公司、医生诊所和其他行业越来越多地成为重大黑客攻击的目标,2月21日,联合健康集团(UnitedHealth Group)旗下的Change遭到攻击,这一事件达到了高潮。
勒索软件对全国最大的信息交换中心的攻击产生了广泛的影响,该中心处理着全国三分之一的患者记录。修复和变通措施已经缓解了一些压力,但供应商仍然无法收取数十亿美元的付款。在Change首次被迫关闭许多系统一个多月后,许多较小的医院和医疗机构仍然难以获得付款。
即使到现在,有关这次攻击的确切性质和范围的信息也很少披露。联合健康表示,它已向陷入困境的医疗服务提供商预付了30多亿美元,并预计在未来几周内,随着系统重新上线,将有更多的Change服务可供使用。
美国联邦调查局(FBI)和卫生与公众服务部(Department of Health and Human Services)正在调查Change遭到的黑客攻击,包括患者的记录和个人信息是否遭到泄露。因为Change的网络就像一个数字交换机,把病人从第一次看医生到诊断出癌症或抑郁症,再到随后的治疗,再到健康保险公司的福利和付款等信息联系起来,所以人们的病史可能会暴露多年。
对Change的攻击只是影响最深远的一个例子,这种攻击在医疗保健行业几乎已经司空见惯。
数据安全公司Emsisoft的数据显示,勒索软件攻击去年影响了46个医院系统,高于2022年的25个。在勒索软件攻击中,犯罪分子会关闭计算机系统,除非所有者付钱给黑客。近年来,黑客还攻击了提供医疗转录和计费等服务的公司。
问题有多大?
网络安全顾问和政府官员一直认为,医疗保健是美国经济中最容易受到攻击的部门,与能源和水资源一样,也是美国关键基础设施的一部分。
“我们都应该感到害怕,”保险公司dedicated Health的技术主管、联邦科技政策办公室(Office of Science and technology Policy)前首席数据科学家D.J.帕蒂尔(D.J. Patil)说。他和其他人强调了美国卫生系统的保护不足,尽管发生了2017年勒索软件攻击等重大事件,导致英国国家卫生服务体系(National health Service)的医疗记录被锁定,给患者带来了巨大的干扰。
“在网络安全和信息安全方面,整个行业的资源严重不足,”健康信息共享和分析中心(Health information Sharing and Analysis Center)的首席安全官埃罗尔·韦斯(Errol Weiss)说。他将该中心描述为该行业的虚拟邻里监督机构。
Change的攻击引起了政府对这个问题的更多关注。白宫和联邦机构已经与行业官员举行了几次会议。国会议员也开始进行调查,参议员们在今年春天传唤了联合健康公司首席执行官安德鲁·威蒂作证。
金融部门一直在努力识别和加强脆弱领域,使其不太容易受到系统性攻击。但总部位于盐湖城的大型区域性医疗系统Intermountain health的首席信息安全官埃里克·德克尔(Erik Decker)说,“医疗保健部门还没有通过测绘工作来准确了解”面临黑客攻击风险的主要瓶颈在哪里。
德克尔说:“我们吸取了教训,我们需要这样做。”德克尔同时也是一个私营部门医疗保健网络安全工作组的主席,该工作组向联邦政府提供建议。
华尔街和美国的银行系统有很强的经济动机来加强防御,因为黑客可能会窃取他们的钱,而且该行业面临着更严格的政府监管。
医疗保健黑客可能会造成致命的后果。
研究表明,袭击发生后,医院死亡率上升。例如,医生无法查看过去的医疗护理,无法与同事交流记录,也无法检查病人的过敏情况。
预定的手术被取消,救护车有时甚至在紧急情况下也被转到其他医院,因为网络攻击扰乱了电子通信、医疗记录和其他系统。研究表明,黑客行为会产生连锁效应,降低附近被迫接收额外病人的医院的护理质量。
“网络安全已经成为一个患者安全问题,”医疗合规公司Clearwater的首席执行官史蒂夫·卡格尔(Steve Cagle)说。
在某些情况下,黑客公开了敏感的患者健康数据。Lehigh Valley Health Network拒绝支付涉嫌攻击Change Healthcare的同一实体所要求的赎金。根据一名受害者提起的诉讼,黑客随后在网上发布了接受乳腺癌治疗的患者的裸照。数百名病人的照片被盗。
为什么医疗保健行业会成为靶子?
医疗记录的损失可能是被盗信用卡损失的数倍。而且,与可以迅速注销的信用卡不同,一个人的医疗信息是无法更改的。
行业组织美国医院协会(American Hospital Association)的网络安全和风险国家顾问约翰·里吉(John Riggi)说,“我们不能取消你的诊断,给你发一张新的。”
但他也表示,这些记录有价值,“因为很容易实施医疗欺诈”。与银行不同,医疗保险公司通常不会采用复杂的方法来检测欺诈行为,因此很容易提交虚假索赔。
担心社会安全号码和其他财务信息被盗的人可以与信用监控机构签约,但如果患者的个人健康信息被盗,他们几乎没有追索权。
医院网络和其他医疗保健组织也迅速支付赎金,试图限制患者的暴露,这一决定只会奖励和鼓励黑客。
联邦调查局建议被勒索软件攻击的目标不要付钱,但大多数医院都这样做,因为赌注太高了。据《连线》报道,在Change Healthcare的案例中,据说该公司已经支付了2200万美元的赎金。
为什么医院和医生不做得更多?
尽管存在风险,但规模较小的医院和医生往往没有足够的资金来加强安全措施,也没有专业知识来检查严重的威胁。
旧技术很少能与最新的网络安全标准兼容;互联产品和供应商的大杂烩打开了数字化的侧门,吸引了黑客。由于黑客攻击主要针对的是个体医院系统,在Change陷入困境之前,组织低估了其风险。
Sutter Health的高级副总裁、全国生命与健康统计委员会(National Committee on Vital and Health Statistics)主席杰基·蒙森(Jacki Monson)说,“人们必须决定他们要投资什么,而网络安全通常不是首选。”
政府对此有何回应?
监管框架也陈旧且支离破碎。医院被允许在一系列安全标准中进行选择,并且没有事先对合规性进行审计。
数字安全由卫生与公众服务部的不同部门负责,该机构的大部分监管权力仍依赖于1996年的一项法律,该法律制定于现代数字医疗系统发展或勒索软件黑客行为兴起之前。政府的监管重点一直放在隐私和合规上,而不是加强对攻击的防范。
对保险公司数据安全的监管更是参差不齐,因为医疗保险公司在很大程度上受到州一级的监管。Monson说,许多像Change这样为医院提供数字服务但本身不是医疗保健提供者的供应商也可以通过监管漏洞。
这种情况可能会改变。拜登政府呼吁卫生与公众服务部确保医院有足够的保护措施。政府还在考虑修订有关如何共享健康数据的规定,并可能对医院的数字安全措施实施更明确的规定。
俄勒冈州民主党参议员罗恩·怀登(Ron Wyden)。参议院财政委员会(Senate Finance Committee)主席奥巴马(barack obama)已表示有兴趣制定更严格的新规定。
“今天,医疗保健行业没有联邦强制性的技术网络安全标准,尽管人们已经讨论了很多年,甚至几十年了,”他在最近一次关于总统预算的听证会上说。“我想说清楚:这种情况现在需要改变。”
全面更新系统可能是昂贵的,特别是对于预算紧张的小型组织。20年前,当政府要求医院建立电子健康记录时,它将严格的规定与重大的财政激励措施结合起来。
拜登政府在最近的预算提案中要求提供8亿美元的初始资金,以帮助改善医院系统。但目前尚不清楚国会是否有能力或愿意为现代化提供资金。
一些医院将继续花钱购买最新的核磁共振成像技术或更多的护士,而不是严格的数字保护。
“如果没有额外的资源来提高标准,那些医疗保健提供者和医疗保健支付者将继续做出选择,是支付治疗费用还是支付网络安全费用,”专攻数据安全的前联邦卫生官员伊利亚娜·彼得斯(Iliana Peters)说,她现在是华盛顿特区Polsinelli律师事务所的律师
---
本文最初发表于《纽约时报》。
