醫(yī)療保健的巨大網(wǎng)絡安全問題

病人躺在Paul Pugsley面前的急診室桌子上中風。時間不多了。Pugsley是馬里科帕醫(yī)療中心的一名急診醫(yī)生，他知道他需要送病人進行CT掃描。

但當Pugsley看著房間一側的電腦屏幕時，他看到一條要求支付比特幣的彈出消息。幾分鐘后，他被告知相同的信息已關閉掃描儀 - 他必須幫助患者，而不知道中風是由引流或凝塊引起的，這些信息通常對治療過程至關重要。

經(jīng)過幾分鐘的瘋狂治療后，患者 - 實際上是一名醫(yī)學測試假人 - 被推出了房間(預后：生存，但嚴重的腦損傷)。閃電贖金是模擬的一部分，旨在讓像Pugsley這樣的醫(yī)生暴露于他們醫(yī)院的網(wǎng)絡攻擊的真正威脅。

報告顯示勒索軟件和其他網(wǎng)絡攻擊正在上升 - 醫(yī)療保健是最大的目標之一。就在本周，以色列的研究人員宣布，他們制造了一種計算機病毒，能夠將腫瘤添加到CT和MRI掃描中 - 惡意軟件旨在愚弄醫(yī)生誤診高調患者，Kim Zetter為華盛頓郵報報道。盡管威脅上升，但絕大多數(shù)醫(yī)院和醫(yī)生都沒有準備好應對網(wǎng)絡安全威脅，即使它們構成了嚴重的公共衛(wèi)生問題。

醫(yī)療保健行業(yè)越來越依賴于連接到互聯(lián)網(wǎng)的技術：從患者記錄和實驗室結果到放射設備和醫(yī)院電梯。這對患者護理很有好處，因為它有助于數(shù)據(jù)集成，患者參與和臨床支持。另一方面，這些技術往往容易受到網(wǎng)絡攻擊，這可能會吸走患者數(shù)據(jù)，劫持藥物輸注設備以開采加密貨幣，或關閉整個醫(yī)院直到支付贖金。

“如果系統(tǒng)因互聯(lián)網(wǎng)，對手或事故而中斷，這會對患者護理產(chǎn)生深遠影響，”Beau Woods說，他是大西洋理事會的網(wǎng)絡安全倡導者和網(wǎng)絡安全創(chuàng)新研究員。

Pugsley在模擬中遇到的案例模仿了2017年春天的WannaCry網(wǎng)絡攻擊，該網(wǎng)絡攻擊感染了全球數(shù)千臺計算機，并使英國的國民健康服務陷入混亂。2017年，由美國衛(wèi)生和人類服務部召集的醫(yī)療保健行業(yè)網(wǎng)絡安全工作組得出結論認為，醫(yī)療保健網(wǎng)絡安全處于“危急狀態(tài)”。專家表示，醫(yī)療保健遠遠落后于其他行業(yè)，如金融部門，它保護其信息技術基礎設施的方式。與金融不同，醫(yī)療保健失敗可能會導致傷害甚至死亡。

沒有證據(jù)表明任何患者死于WannaCry的直接結果。但是這次襲擊劫持了成千上萬臺醫(yī)院的計算機和診斷設備，迫使醫(yī)生手動在醫(yī)院內運送實驗室結果，取消了近20,000名患者預約。該攻擊針對的是Microsoft Windows操作系統(tǒng)中的漏洞，加密數(shù)據(jù)并保存計算機系統(tǒng)以獲取比特幣贖金。盡管WannaCry 最終陷入困境，但伍茲表示，醫(yī)療保健機構繼續(xù)容易遭受如此大規(guī)模的襲擊。

“我們知道現(xiàn)場有點燃，我們只是不知道哪場比賽會點燃它。”

伍茲說：“我想在沒有危言聳聽的情況下發(fā)出警報。” “那里發(fā)生了不好的事情的先決條件。我們知道現(xiàn)場有點燃，我們只是不知道哪場比賽會點燃它。“

NotPetya是有史以來最大的網(wǎng)絡攻擊之一。2017年6月的襲擊事件造成全球公司和受影響的計算機損失100億美元，從塔斯馬尼亞到哥本哈根，包括位于馬薩諸塞州的醫(yī)療轉錄服務公司Nuance。該公司的系統(tǒng)已關閉數(shù)周，導致數(shù)千家醫(yī)療保健服務機構(包括北加州醫(yī)療保健系統(tǒng)Sutter Health)無法使用其計劃。

Sutter Health為300多萬患者提供服務。首席隱私和信息安全官Jacki Monson表示，他們能夠快速響應攻擊并離開系統(tǒng)。但是在一天之內，它仍然積壓了超過100萬個需要轉錄的文件。

“這可能很容易造成患者安全問題 - 如果您有移植患者，或者正在接受手術的患者，您需要所有這些醫(yī)療記錄，”她說。

Sutter Health每天處理無數(shù)次網(wǎng)絡攻擊。根據(jù)Monson的說法，它在2018年遭受了約870億次網(wǎng)絡威脅，并使用人工智能技術對其進行分類和評估。“我們優(yōu)先考慮它們 - 人類無法看到那么多的數(shù)十億。”根據(jù)威脅的性質，團隊可能會應用軟件補丁，或阻止他們預計會發(fā)生網(wǎng)絡釣魚攻擊的電子郵件地址。

Monson表示，由于系統(tǒng)的規(guī)模，Sutter Health可能面臨的威脅數(shù)量可能很高，但對于任何醫(yī)院或醫(yī)療保健服務機構來說，數(shù)字仍然高達數(shù)十億。它只需要一個威脅突破。“大多數(shù)在他們的系統(tǒng)中有活躍網(wǎng)絡攻擊的組織在18個月或更長時間內沒有發(fā)現(xiàn)它，”Monson說。“它不是衡量何時或是否 - 它可能已經(jīng)發(fā)生，你只是不知道它。”

“在他們的系統(tǒng)中有大量網(wǎng)絡攻擊的大多數(shù)組織都沒有發(fā)現(xiàn)它18個月或更長時間。”

不過，Sutter Health強大的網(wǎng)絡安全計劃是一個例外，而不是規(guī)則。大多數(shù)醫(yī)院沒有資源來監(jiān)控他們系統(tǒng)的威脅，許多人甚至不知道他們需要關注的事情。

醫(yī)療設備制造商和食品和藥品管理局非常清楚醫(yī)療保健網(wǎng)絡安全方面的挑戰(zhàn)：FDA制定了關于醫(yī)療設備制造商如何在產(chǎn)品投放市場之前和之后管理安全風險的指導方針，并主持了設備研討會 1月底的網(wǎng)絡安全。在研討會上，一群設備制造商(包括Abbott和Medtronic等知名企業(yè))承諾與黑客和安全研究人員就漏洞密切合作。

但醫(yī)院和醫(yī)生并沒有跟上這一進步。“我們在供應鏈中間有很好的工具，在FDA層面，與制造商合作，”伍茲說。“我們沒有在提供護理的實際時刻看到它。”

醫(yī)院內部的技術差別很大：一些醫(yī)療設備是新的，但其他醫(yī)療設備是由不再從事業(yè)務的公司制造的，或者運行在安全漏洞較大的舊軟件上。起搏器和其他植入式互聯(lián)網(wǎng)連接設備是可以攻擊的。人為錯誤也會在系統(tǒng)中造成漏洞：根據(jù)JAMA Internal Medicine發(fā)表的研究報告，在數(shù)據(jù)隱私方面，大多數(shù)漏洞都是由員工錯誤或未經(jīng)授權的披露引發(fā)的。

更有甚者，專家說，醫(yī)院通常不知道他們每天使用的設備上運行的系統(tǒng)。加州大學圣地亞哥分校衛(wèi)生部網(wǎng)絡安全研究員和信息學研究員克里斯蒂安達梅夫說：“當WannaCry襲來時，醫(yī)院們正在爭先恐后地弄清楚哪些醫(yī)療設備受到了影響。” “這些設備往往是醫(yī)院的黑匣子。”

這并不是說，醫(yī)院不支付任何注意他們的計算系統(tǒng)。只是他們的注意力集中在一種不同的安全性上。醫(yī)院中的數(shù)據(jù)安全實踐通常優(yōu)先考慮保護患者隱私，因為組織可能會因HIPPA而被罰款以暴露患者數(shù)據(jù)。加州大學戴維斯分校醫(yī)療中心的網(wǎng)絡安全研究員和醫(yī)生杰夫塔利說：“這讓他們能夠掩蓋那些可能沒有患者健康信息的設備會面臨同樣的風險。”

達梅夫說，使這個問題更加復雜，絕大多數(shù)醫(yī)院都沒有全職的網(wǎng)絡安全員工。“缺乏意識，缺乏資源，”他說。他指出，服務欠缺社區(qū)的小型農村醫(yī)院可能沒有錢雇用員工或更新他們的系統(tǒng)。如果沒有安全人員，他們可能不知道或無法實現(xiàn)設備公司宣布的安全更新。

如果沒有防護壁壘，已經(jīng)在工作人員身上的人甚至會注意到他們受到攻擊可能會很棘手。已經(jīng)在他們的盤子上有很多的護士和醫(yī)生可能不會識別被黑的設備。例如，如果輸送藥物的輸液泵感染了加密貨幣的惡意軟件，這會減慢藥物輸送速度，那么該設備可能只是被擠出病房并換成相同型號，Dameff說，這個解決方案不會解決潛在問題并可能影響患者護理。

“最可怕的事情之一就是帶有漏洞的醫(yī)療設備，但該設備無法打補丁，”達梅夫說。“我們能做什么?我們告訴患者什么?“任何監(jiān)管機構都不會強迫醫(yī)院更新他們的設備 - 他們這樣做可能不太可行。他說，如果一件設備售價400萬美元且無法修復，醫(yī)院可能無法用新的東西替代它。“他們可能會說，'我們沒有選擇。'”

11月，東俄亥俄州地區(qū)醫(yī)院和俄亥俄谷醫(yī)療中心的計算機系統(tǒng)突然停止工作。他們遭到勒索軟件襲擊 - 迫使醫(yī)院將患者從急診室轉移并返回紙質圖表系統(tǒng)。醫(yī)院急診服務醫(yī)療主任Neal Aulick表示，工作人員無法進入床邊超聲檢查并且CT掃描的可及性有限。這是一個艱難的時期，但奧利克指出，“回顧我們失敗時，我們沒有看到不好的結果，我認為我們處理得很好，”他說。

希望獲得醫(yī)院系統(tǒng)的網(wǎng)絡安全專家與專注于患者護理的醫(yī)生之間存在緊張關系。臨床醫(yī)生了解網(wǎng)絡安全的重要性至關重要，因為他們與使用和受醫(yī)療設備影響的患者直接接觸，但對于忙碌的臨床醫(yī)生來說，這可能是一個難以理解的問題。Dameff說，沒有醫(yī)院和醫(yī)生的參與，F(xiàn)DA和醫(yī)療設備公司為改善網(wǎng)絡安全所做的所有努力都不盡如人意。這就是他所說的最后一英里問題：“這是供應商或醫(yī)院必須找到問題或部署[軟件]補丁的最后一步。這真的很難，“他說。“我們應該像我們一樣做這些偉大的工作，但是醫(yī)生不會安裝更新。”

作為一名急診醫(yī)學醫(yī)生和醫(yī)療主任，Aulick說他認識到互聯(lián)網(wǎng)連接系統(tǒng)的風險，但他說這必須與他們允許的速度和信息的好處相平衡。“當你有這樣的違規(guī)行為時，反應就會被夸大，”他說。網(wǎng)絡安全團隊將通過額外的密碼或身份驗證來增強安全性，這使系統(tǒng)更安全，但也可能減慢處理速度。

中佛羅里達大學健康管理和信息學系助理教授Sung Choi說，這是醫(yī)生的常見反應。“醫(yī)院試圖提高安全性，但在實踐中，這些措施可能會被臨床醫(yī)生繞過，然后就不那么有效，”他說。“安全性增加了設計帶來的不便。下一步是弄清楚如何在沒有不便的情況下改進它。“

這真的很不方便。即使對患者隱私的攻擊(可能看起來與患者護理分開)也會影響健康：Choi的研究表明，數(shù)據(jù)泄露會增加醫(yī)院30天的死亡率。這可能是因為組織在數(shù)據(jù)泄露后恢復的努力可能會影響正常運營，并使資源遠離患者護理。“它為醫(yī)院帶來了很多變化，”他說。“他們可能需要升級軟件或重新培訓員工，這可能會影響臨床工作流程。”

這正是Aulick醫(yī)生所擔心的問題。網(wǎng)絡安全專家面臨的最困難的任務之一就是傳達不斷增長的相對新問題的重要性。事實是，在網(wǎng)絡安全攻擊醫(yī)院期間和之后，沒有很多研究調查患者的健康狀況。

但也有一些類比。2017年，發(fā)表在“ 新英格蘭醫(yī)學雜志”上的研究發(fā)現(xiàn)，心臟病發(fā)作并在馬拉松比賽期間被送往醫(yī)院的人在一個月內死亡的可能性比另一天送往醫(yī)院的人更多：可能因為道路封閉和資源轉移造成了患者護理的延誤。這是一個不完美的比較，塔利說，但這是網(wǎng)絡安全專家在考慮勒索軟件攻擊時所關注的問題。“任何導致護理延遲或退化的因素都會影響結果，”他說。

Monson表示，將網(wǎng)絡攻擊視為安全問題可以幫助專家讓醫(yī)生和臨床醫(yī)生獲得良好的網(wǎng)絡安全實踐，否則他們可能會認為這只是一個行政問題。“更多關于對患者安全影響的故事引起了醫(yī)生的共鳴，”她說。“如果我們不是將其視為患者安全，那么醫(yī)生就會更難理解它是如何牽連他們的。”

實質上解決醫(yī)療保健領域的網(wǎng)絡安全并不容易，并且需要從醫(yī)生到護士，IT專業(yè)人員和制造商的每個人的合作。在實踐中，這可能看起來像是為醫(yī)學院增加了網(wǎng)絡安全培訓，或者增加了模擬的使用，這些模擬將像Pugsley這樣的臨床醫(yī)生置于模擬網(wǎng)絡攻擊的情境中。“我們不想讓臨床醫(yī)生變成黑客，”達梅夫說，“但作為醫(yī)學院的一部分，進行一兩個或兩個以上的網(wǎng)絡安全培訓和患者安全是否合理?”

對醫(yī)生來說教育很重要，而且Monson指出，醫(yī)院投資的激勵措施也是關鍵。“在某些時候，我們需要通過監(jiān)管干預來推動表盤，”蒙森說。“這似乎不是自愿的。為了患者安全，我們不應該抓住機會。“

現(xiàn)在，如果像WannaCry這樣的東西襲擊了美國，伍茲說我們的醫(yī)院基礎設施將毫無準備。“我們必須在飛行中做出回應。”正在努力使醫(yī)療保健加快最佳實踐的速度令人興奮，并且需要來自患者和投資者的信息。但他說，生命仍處于危險之中。“有很多事情要發(fā)生。我擔心的是它不夠快。“