網路安全分析師警告說,美國的醫院和醫療裝置極易受到上週五席捲150多個國家的大規模網路攻擊的影響,一些醫療保健提供商可能已經或即將受到攻擊。
這次攻擊依賴於一種名為勒索軟體的惡意軟體,該軟體會阻止使用者訪問其計算機系統,直到他們支付贖金。這種名為“WannaCry”的惡性新毒株凍結或減慢了全球的商業和醫療保健計算機系統,包括英國國家醫療服務體系內的多個系統。
該惡意軟體利用了Windows作業系統中的一個漏洞,許多系統管理員尚未對此進行修補,包括許多美國醫院的系統,專家警告說。此外,“WannaCry”不會區分計算機、智慧手機或醫療裝置。而且,與許多其他網路攻擊不同,使用者無需點選連結即可在不知情的情況下安裝它;如果醫療保健系統連線到網際網路並使用過時的系統,該惡意軟體就可以找到它並感染它。
支援科學新聞報道
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道: 訂閱。透過購買訂閱,您正在幫助確保未來能夠繼續報道關於當今世界正在塑造的發現和想法的有影響力的故事。
“這有點像我們關上了門,但沒有上鎖,所以惡意軟體只是撥弄門把手,直到找到一個開著的並走進去。你不需要在那裡就會被搶劫,”醫療保健安全公司Virta Labs的執行長兼首席科學家、密歇根大學阿基米德醫療裝置中心主任凱文·傅說。“我們知道美國醫院存在這種漏洞”,因為它的許多醫療機構都使用過時的系統,他說。
在醫院環境中,“WannaCry”感染會導致嚴重的問題,包括阻止訪問患者記錄和實驗室結果,或無法與醫院計算機或其他裝置共享過敏或藥物相互作用資訊。使用者可能只有在開啟裝置後才會發現安全漏洞,屆時會彈出一個鎖定螢幕,說明該人的資料被扣為人質,除非支付贖金。據報道,贖金費用(在300美元至600美元之間)顯然被設計得足夠低,以激勵支付。
截至本週初,美國沒有醫院或其他醫療機構公開報告受到“WannaCry”攻擊。目前尚不清楚為什麼,甚至是否,美國的醫院和醫療系統已經避開了最新的惡意軟體攻擊。風險管理網路安全公司SecurityScorecard的首席研究官亞歷克斯·海德表示,美國的醫療保健系統不像英國那樣集中,這可能在一定程度上提供了保護,該公司負責跟蹤美國醫療保健領域的網路攻擊。儘管如此,海德警告說,美國醫療保健提供商的計算機網路可能已經受到人們不廣泛瞭解的威脅的攻擊。“很可能[WannaCry]只是沒有擊中我們的大型網站網路——相當於NHS——但我保證美國的系統在某種程度上受到了影響,”他說,並指出歷史上許多公司只是支付了少量贖金,而不是公開他們出現故障。
醫療保健提供商擔心這一點已不是秘密。波士頓一家大型醫院系統本週末採取了一些嚴厲的措施,停用了電子郵件中的所有附件——即使“WannaCry”可以在沒有任何受害者互動的情況下傳播,傅說。“我會說我們躲過了一劫[與英國相比],但我認為子彈仍然在飛來,我們知道我們同樣脆弱,”他說,並指出該惡意軟體可能會被進一步調整,從而在未來造成問題。
針對醫院系統的網路攻擊已經很普遍。去年,海德的公司釋出了一份分析報告,結論是約75%的主要醫療保健提供商都經歷過可能導致他們丟失資料或資金的惡意軟體感染。“美國醫療保健系統仍然存在許多與我們在英國看到的那種問題相同的問題,”海德說。“主要是,醫療領域普遍存在大量遺留軟體和過時軟體。”
美國政府於2016年7月釋出的指導意見指出,根據現行的健康隱私法,醫療保健提供商必須報告惡意軟體攻擊。但傅說,到目前為止,這一行動並未導致事件報告數量的顯著增加,他引用了他自己對一段時間內的報告數量進行的未發表的分析。他指出,這種明顯的變化缺乏可能表明許多機構可能仍然沒有報告攻擊。
像許多計算機和智慧手機使用者一樣,醫院和醫療保健系統可能會選擇不安裝安全補丁和修復程式,因為此類升級可能需要系統暫時離線或減速。一些機構甚至可能沒有意識到他們處於危險之中,要麼是因為他們沒有IT部門,要麼是因為不同的機構正在處理其系統的不同分支,傅說。
但是,未能採取迅速、全面的行動會使公司和醫院面臨風險。“一旦某個東西連線到網際網路並受到感染,這僅僅取決於攻擊者想用它做什麼:鎖定它、破壞它或將其出售給出價最高的人,”海德說。“現在最重要的是,如果有人一直忽略Windows更新,就要安裝它們。”他指出,在我們相互聯絡的世界中,總會存在風險——但“最佳實踐可以減少你成為目標的可能性——而且你不想成為最容易摘到的果實。”