闹不好出人命:医院发生过的 5 大网络安全问题
在现实战争中,通常情况下作战人员不会攻击医院。但是在网络世界中,黑客则并没有这样的顾忌。「我们平均每 7 秒钟就会受到一次攻击,每天 24 小时不间断。」
在现实战争中,通常情况下作战人员不会攻击医院。但是在网络世界中,黑客则并没有这样的顾忌。「我们平均每 7 秒钟就会受到一次攻击,每天 24 小时不间断。」John Halamka 说。John Halamka 是波士顿医院贝斯以色列女执事医疗中心(Beth Israel Deaconess)的首席信息官(CIO)。「并且这些攻击来自于很多地方,据 MIT 的学生说,这些攻击是网络恐怖分子发起的有组织的犯罪。」
Halamka 与 Kevin(密歇根大学的工程学教授,研究领域包括医疗装置安全)一起在 SXSW 大会(西南偏南是每年在美国得克萨斯州奥斯汀举行的一系列电影、交互式多媒体和音乐的艺术节与大会)上讲述医疗领域遭遇的黑客攻击。他们讲述了近年来一些医院遭遇的黑客攻击事件。这里我们将主要介绍五种不同类型的黑客攻击事件。
1、来自国外方面的记录
由于医院的很多电脑和医疗装置都运行着比较古老的操作系统,因此充满了安全漏洞,使得医院方面并没有将这些装置连接到网络或者互联网上。贝斯以色列女执事医疗中心则采取了明智的预防措施,他们用使用存储了医疗信息的电脑来进行操作,这一切也都运行得非常好,直到需要联网进行固件更新。
医疗设备制造商会派技术人员来进行固件更新的工作,技术人员会将装置与网络连接来下载更新,然后他们就去吃午餐了。当技术人员回来时,他们发现设备中装满了各种恶意软件,使得设备已经卡的没法使用。
亚洲一个国家的黑客甚至从中下载了大约 2000 件关于 X 射线的专利。「可能有一个 X 射线照片的黑市?谁也说不准。」Halamka 说。他了解到一些这个国家的公民由于患有肺部疾病而无法获得签证,从而无法离开自己的国家。因此一张清晰的肺部 X 射线图就非常有价值,可以帮助他们更快地拿到签证。
2、匿名的分布式拒绝服务攻击(DDoS)
2014 年,波士顿儿童医院正在努力解决一个具有争议的个案,事涉一个正处于监护状态的少女。医生认为该女孩的病主要是心里上的,她的父母正在进行一些不必要的治疗。黑客行动小组有人匿名将该事件视为对女孩个人权利的侵犯,因此决定通过分布式拒绝服务攻击来教训一下这家医院。但是这种匿名攻击远比计划的影响要大。
Halamka 说,「他们并不知道儿童医院的 IP 范围,因此他们对整个子网实施了分布式拒绝服务攻击,包括哈佛大学在内的多家医院都未能幸免。」这一举动使得这些医院的所有装置都无法连接网络。「在午夜的时候,我们不得不将该网络外包给其他公司来帮助我们修复这个问题。」
3、伪造医师网站
这些伪造的网站可谓非常完美,它看起来和马萨诸塞州总医院的薪资门户网站非常相近,只是网址略有不同。当医生们收到邮件,指引他们去这个薪资网站来授权一项奖金发放时,很多人都兴高采烈地点击了该链接。他们在毫无戒备的情况下输入了自己的证件信息。
利用这些信息,伪造网站的黑客就会在真正的支付系统中改变医生的账户信息,或者用医生辛苦赚来的工资来购买亚马逊礼品卡。也正因如此,MGH 不再允许用户只使用一个密码来远程访问薪资网站。
4、愤怒的小鸟的诱惑
一位在贝斯以色列女执事医疗中心的护士为了打发一下休闲时光,在其安卓手机上下载了愤怒的小鸟这款游戏。
不幸的是,她从一个保加利亚网站下载了该游戏,且该版本中附带有其他恶意软件。随后,当她登陆其邮箱时,一款屏幕记录程序记载了她的登陆信息。
「 有人利用其账户从 Harvard.edu 发送了百万封垃圾邮件,使得 Verizon 将哈佛视为了垃圾邮件制造者。」
5、进行支付或者其他用途
Kevin Fu 将针对医院的勒索软件攻击视为一项越发严重的威胁。在这些攻击中,黑客会挟持计算机网络,通过加密或其他方式来阻止对数据的访问,然后会随机要挟一笔费用才恢复数据访问。这些黑客的主要攻击目标是公民或者一些组织团体。当他们将目标锁定为医院时,就会对医院产生重大影响。「这样会使得医院无法为病人提供及时的医疗救护。」
Fu 列出了在过去数月间很多遭受此类攻击的医院。其中最引人瞩目的是在澳大利亚,皇家墨尔本医院在支付了 17000 美元以后才拿回了数据;在美国洛杉矶,当黑客提出需要 370 万美元的要求时,使得好莱坞的医院网络中断了大约一个星期。
这些攻击听起来都像是噩梦一般,但是专家说这些事情都是很常见的事件。医院并没有将网络安全作为其预算的主要部分,「在医疗领域,我们大约会花费 2% 在 IT 方面,而安全方面大约会占据 10%。反观金融公司,它们通常会花费 35% 的预算在 IT 方面。」Halamka 说。