專家警告，醫療行業已成為網絡攻擊的重點目標之一，需建立更完善的應急響應機制。

撰文丨燕小六

責編丨汪 航

一場針對醫療系統的網絡攻擊，不僅嚴重影響大量醫院 的 診療流程，還導致一名患者 因病情 延誤而 死 。 近期，英國國家醫療服務體系（NHS）通報了這起事故。

NHS稱，這是全球首例經醫療衛生機構確認的網絡安全事故致患者死亡事件，另有170名患者受到不同程度傷害，上萬人次的門診預約和1710臺擇期手術被迫取消或推遲。

有專家表示， 相關事件凸顯醫療行業面臨 嚴峻的網絡安全威脅，有關部門應繼續加強防護機制，以保障 醫療秩序與 患者權益。

圖源銳景，與本文無關

網絡攻擊致使醫院“癱瘓”

這場悲劇發生在2024年6月。

NHS調查稱，黑客組織“麒麟（Qilin，音譯）”對第三方病理服務機構Synnovis發起網絡攻擊。Synnovis是英國NHS的合作方，主要提供血液檢測等醫療服務。

今年3月，“麒麟” 還 聲稱對日本一家癌癥診所、美國一所婦產醫院發動網絡攻擊。其發言人公開宣稱“零悔意”。

根據披露信息， 黑客組織采用雙重勒索策略，先加密 并 盜取Synnovis內部文件，再威脅泄露敏感信息。一系列操作導致Synnovis的信息系統崩潰，關鍵醫療數據無法及時傳輸。

據英國皇家聯合服務研究所（RUSI）專家 介紹 ，如今醫療系統高度依賴實時數據傳輸，網絡攻擊的不良影響被放大 了 。

在前述事件中，包括大學教學醫院在內的多家醫療機構相繼遭襲，倫敦東南部地區醫療系統一度癱瘓，大量全科醫生診所無法為患者預約血液檢測。

甚至 還有 醫療機構 因為這一事件， 差點限制非危重患者的血檢需求。 據悉， 涉事機構平均需要3周以上時間才能完全恢復正常診療流程。

更嚴重的是，一名患者的后續治療因血液檢測結果遲遲沒有反饋而被迫中斷 ， 后不幸死亡 。醫療專家分析稱，這是造成該名患者死亡的直接誘因。

此外，涉事醫療機構還記錄了2起嚴重傷害、11起中度傷害和120起輕度傷害 案例 。因涉及患者隱私，有關機構未披露更多細節。

據媒體報道，黑客組織試圖借由網絡攻擊 來 敲詐Synnovis公司，索要5 000 萬美元“數據贖金”。

遭拒后，被盜數據被發布在暗網。其中包括患者姓名、出生日期、醫保號碼、個人聯系方式等 。 還有些數據涉及性傳播疾病、癌癥等診斷。

網絡安全公司Recorded Future旗下的情報資訊平臺近日披露，預計90余萬人次的 醫療 數據被泄露。事件發生至今1年，大量涉事患者仍不知道自己的關鍵醫療數據正在網上肆意傳播。

醫療信息系統被攻擊正愈發普遍

“網絡攻擊對患者安全的威脅早已存在，現在終于有了令人痛心的證據。”前NHS醫生、網絡安全和公共健康專家賽義夫·阿貝德（Saif Abed）告訴媒體。

2024年11月8日，聯合國安理會召開會議，專門討論針對醫療系統的勒索軟件及其他網絡攻擊問題。

世界衛生組織總干事譚德塞等表示，相關事件不僅涉及安全 與 保密，還是一個生死攸關的問題，對國際安全也構成潛在威脅。

“勒索軟件和其他網絡攻擊不僅會造成混亂和經濟損失，還會破壞人們對所依賴的醫療系統的信任，甚至導致病人的傷害和死亡。”譚德塞說。

美國第三大醫療服務提供者阿森松衛生保健公司向安理會成員講述了自己的遭遇。阿森松是美國非營利性的天主教醫療系統，每年為600多萬人提供醫療服務，尤其關注美國窮人、弱勢群體的全面護理。

2024年5月8日，該公司成為勒索軟件攻擊的受害者，數以千計的系統文件被加密 ， 無法運行。 見狀， 阿松森的醫療團隊立即啟動緊急停機程序，改用紙質記錄。

至當年 6月14日，即網絡攻擊發生37天后，阿松森才恢復了信息系統的連接和訪問。據統計，在系統癱瘓期間 ， 醫療團隊 消耗的所有紙張若堆起來，有1 600 多米高。

據美國衛生與公眾服務部數據，僅2024年年初至1 1 月，美國共報告386起醫療保健網絡攻擊事件。值得注意的是，針對醫療行業的網絡攻擊在規模和頻率上都有所增加。

Ponemon研究所是一個從事隱私、數據保護、信息安全政策獨立性調研的專門組織。其調查發現，近90%的醫療保健組織遭遇過數據泄漏 ， 還有一定比例的 醫療機構病歷檔案遭到攻擊 。

該研究所稱，衛生組織警惕性低，在信息技術安全方面 的 人力、財力、技術等方面投入不足， 以及 醫療保健信息相較于其他產業數據的潛在價值 高 等 原因 ，造成醫療機構被攻擊頻次日益增加。

安理會信息顯示，2 021 年完成的一項全球調查表明，超過1 /3 的醫療機構受訪者在上一年至少遭受過1次網絡勒索軟件攻擊。即使支付 “ 贖金 ” ，31%的受訪者也無法重新訪問被加密的數據。

但從公開渠道看，醫療機構甚少公開披露網絡攻擊帶來的患者傷害事件。2019年，美國阿拉巴馬州某醫院因黑客攻擊出現系統癱瘓。一位產婦稱，因為醫生無法讀取胎兒監護結果 而 錯過搶救時機，致使嬰兒死亡。最終醫患選擇和解。

RUSI分析認為，這 可能 是因為很難確認網絡攻擊和醫療安全事件 直接 有關。

英國廣播公司報道，明尼蘇達大學公共衛生學院的研究人員早前聲稱，2016年 - 2021年，可能有42~67名美國醫療保險患者因網絡勒索軟件而死亡。這些發現迄今未刊發在經同行評議的期刊上。有學者質疑數據結論的統計顯著性。

NHS在公開報道中提醒，去年以來，其他NHS信托機構、醫療設施也成為網絡攻擊目標，其中不乏頂級兒童專科醫院、癌癥專病醫院等。

資料來源：

1.UK health officials say patient's death partially down to cyberattack. Reuters

2.Synnovis cyber incident. NHS

3.Ransomware attack contributed to patient's death. BBC

4 . 安理會討論針對醫療系統的勒索軟件攻擊問題. 聯合國新聞

來源：醫學界

校對：臧恒佳

編輯：莉 莉

值班編輯：凌駿

*“醫學界”力求所發表內容專業、可靠，但不對內容的準確性做出承諾；請相關各方在采用或以此作為決策依據時另行核查。