文|動脈網

2024年剛一開年，本就表現不佳的醫療行業網絡安全紀錄再一次被刷新——聯合健康旗下Change Healthcare所遭遇的數據勒索事件已被認為是迄今為止美國醫療行業最嚴重的網絡安全災難。

這起網絡安全事件的影響范圍之廣、影響程度之深，影響時間之長史上罕有，以至于美國國務院辦公廳也在3月27日公開懸賞1000萬美元，鼓勵知情者為抓捕導致本次事件的黑客提供信息。

這一嚴重的網絡安全災難事件為何創造了歷史，究竟可以給我們帶來什么樣的思考和借鑒？動脈網對行業專家進行了深入了解，希望可以為行業參考。

醫療史上最大的網絡安全災難

Change Healthcare成立于2006年，并于2019年上市。到2021年，Change Healthcare已成為全美最大的商業處方處理商，每年需要處理150億筆交易，大約占全美線上處方的三分之一。其支付結算網絡覆蓋全美約90萬名醫生、11.8萬名牙醫、3300家藥店、5500家醫院和600家實驗室。

2021年，聯合健康子公司Optum以135億美元將Change Healthcare納入帳下。這也是聯合健康成立以來金額最大的收購案，一度導致美國司法部的反壟斷訴訟。雖然最后獲得了放行，但公眾一直質疑此次收購的合理性。

從2024年2月21日開始，Change Healthcare的支付網絡遭到黑客攻擊，導致遍布全美的藥店及醫療機構無法開具處方，更無法進行保險結算。出于安全考慮，美國醫院協會（AHA）建議所有使用Change Healthcare結算網絡的醫療機構考慮主動斷開結算網絡。至此，全美約1/3的醫療支付結算網絡徹底癱瘓。

一周后的2月28日，曾經在去年對米高梅和凱撒醫療發起攻擊的AlphV/BlackCat黑客組織聲明對本次事件負責，并聲稱已竊取高達8TB的數據，包括患者個人信息及企業數據。黑客組織要求聯合健康支付醫療行業創紀錄的2200萬美元贖金，否則將會把竊取全部公開。

聯合健康很快承認了黑客組織的說法。隨后，據外媒報道一個與AlphV關聯的比特幣地址在3月1日的單筆交易中收到了價值2200萬美元的比特幣。盡管聯合健康拒絕承認，但諸多分析認為，基于區塊鏈的特點，這一交易極有可能是聯合健康支付的贖金。

結算網絡的中斷導致了大量的不便。各方都無法在線上取得處方，也無法通過保險進行結算支付。患者只能自費支付買藥，更不要提享受應有的優惠。不少醫療機構無法得到保險支付，大型醫療機構尚且有有現金流支撐，社區醫生則只能動用存款乃至借款勉強應付開支。

迫于無奈，各方都采取了不少臨時措施。比如，美國衛生與公眾服務部（HHS）要求醫保部門在結算網絡中斷期間取消或放寬事先授權要求，并向受攻擊影響最大的醫療機構提供預付款。此外，部分地區管理機構也要求接受紙質或傳真的報銷，并延長報銷申請時限。

聯合健康也從3月1日起啟動了臨時資金援助計劃，在支付結算完全恢復前為受到影響的醫生和醫療機構提供資金補助，覆蓋醫生和醫療機構同期歷史支付水平與網絡中斷后付款的差額。截至4月3日，聯合健康宣稱已提供了近47億美元的補助。

然而，這并不能覆蓋所有損失。因為無論何種替代方案都需要大幅改變工作流程，從而增加大量額外成本。據外媒報道，一名受影響的醫生表示，這次事件導致其所需額外支付的工資支出高達5萬美元；另一位醫生則估計，這已導致10萬美元的額外成本。

根據估算，單是醫生和醫療機構每天的損失就超過1億美元，給流動性本就十分緊張的醫療機構帶來了嚴重的財務挑戰。

美國醫院協會的統計顯示，94%的受訪醫院正在經歷網絡攻擊的財務影響，82%的醫院表示服務中斷影響了他們的現金流，有三成醫院表示受影響收入達一半以上。此外，近3/4的受訪醫院表示服務中斷已經對患者治療產生直接影響。

這種不滿自然而然導致了大量針對聯合健康的指責和訴訟。與此同時，要求拆分聯合健康的言論也日益高漲。聯合健康的股價也因此受到嚴重影響，2月21日其收盤價還在521.97美元，此后一路下滑，最低曾跌至439.2美元。雖然第一季度財報公布后一度回升至501的水平，但此后又開始下跌。

在距離事發超過3周時間后，Change Healthcare的網絡終于陸續開始恢復。從3月15日開始，平臺的核心功能陸續恢復，開始處理積壓的140億美元的報銷。但直到4月底，平臺仍未完全恢復，部分功能仍處于不可用狀態。顯然，這種修復工作并沒有想象中那么容易。

另一方面，原本以為已經完結的數據泄露事件又迎來了戲劇性的升級。一般來說，有組織的數據勒索事件會有多個組織參與，各自具有明確的分工，并按照事前約定共享贖金。但一個名為RansomHub的黑客組織在4月初聲明，AlphV已經卷款跑路，并未向他們支付應有的份額，要求聯合健康支付贖金。

隨后，該組織于4月中旬在暗網上公開展示了一些文件證明其所言不虛，其中包含電子賬單、保險記錄和醫療信息在內的患者個人信息，以及Change Healthcare與合作伙伴的合同協議。

目前，聯合健康還未回應，事態將如何發展令人關注。

醫療行業網絡安全現狀堪憂，投入不足是核心

一個顯而易見的問題是，Change Healthcare及其背后的聯合健康毫無疑問是全球醫療行業的巔峰所在，理論上其網絡安全防護水平即使在全行業也應屬于頂尖水平。那么，為什么這樣的巨頭也難以防范網絡攻擊？

深信服安全產品高級專家文槿奕向動脈網介紹到，本次聯合健康旗下Change Healthcare遇到的“三重勒索”是近年來十分流行的黑客攻擊手段，非常難以防范。

“所謂三重勒索混合了三種攻擊手段。其一是侵入系統對核心數據進行加密鎖定，使目標無法使用數據，導致業務停滯。其二是入侵后對目標服務器和網絡進行過飽和DDoS攻擊，使被侵入的服務器和網絡完全陷入癱瘓。部分案例中，黑客甚至還會對目標高層人員及客戶進行持續騷擾。其三，黑客在加密數據之前早已將其進行竊取，并威脅將其進行公開。”

“這種針對性很強的入侵往往準備充分，部分案例準備過程甚至可以年計。即使是聯合健康這樣的巨頭也是防不勝防，不支付贖金直接面臨業務停擺，即使能夠恢復業務，也會因核心數據的泄密公開導致巨大的法律風險，導致巨大的經濟損失及長期品牌信譽度的喪失。因此，企業進退兩難。”文槿奕表示。

令人擔憂的是，醫療行業受到黑客攻擊的程度正在迅速加深。網絡安全公司Emsisoft的報告顯示，2023年，美國醫療行業遭受網絡攻擊46次，比2022年的25次接近翻番。這些攻擊影響了多達141家醫療機構，受到影響的人群約占美國人口的三分之一。

黑客們的胃口也越來越大，要求的贖金數量迅速增加。2018年，美國醫療行業平均每次數據勒索被要求的贖金還只有5000美元，2023年這一數字已經一舉達到150萬美元，幾年間提升了300倍！

事實上，這不過只是冰山一角，還有多得多的未被公開的網絡攻擊事件。

國內醫療行業網絡安全的現狀同樣不容樂觀。近年來，坊間不時傳聞國內醫療機構因遭到數據勒索，不得已支付贖金。

對于國內醫療行業面臨的巨大的網絡安全挑戰，中電通商數字技術(上海)有限公司副總經理徐輝在與動脈網交流時認為主要有幾個原因。

最為重要的原因是資金預算的不足。“可能一二線城市大三甲醫院的投入相對會充足一些，但基層乃至偏遠山區的二級醫療機構能把正常的醫療業務支撐起來就頗為吃力了。在網絡安全的投入上明顯得不到足夠的資金支撐。”他表示。

徐輝認為，在人才分布上各地也不均衡。他提到，網絡安全及數據安全是新興行業，相應的專業人員奇缺，基本聚集在經濟水平較高的一二線城市：“這些技術力量較難下沉到三四線城市，這些醫院想找安全企業咨詢和交流都不是一件容易的事。”

尤其投入不足嚴重制約了醫療機構的安全能力。美創科技數據安全技術專家彭克建在與動脈網的交流中就提到多數醫院投在網絡安全上的預算極為有限：“除了少數知名醫院具有比較好的信息化能力，多數醫院信息科人手嚴重不足。有的醫院總共就只有兩三個人，專業能力也參差不齊，維持信息化系統運維就已經頗為吃力，更不要說顧及網絡和數據安全。”

“醫院需要合規的要求很多，每年信息化的投入80-90%都需要花在保障業務運營上。花在安全上的預算很少，基本就是必需的等保測試費用。除此之外，想要做更多的安全保護建設和升級基本上就不太可能了。”他表示。

“舉個例子，堡壘機是必須的安全機制。正常情況下，第三方運維人員登錄醫院服務器資源必須通過堡壘機分配獲得賬號，實現安全可控的訪問。不過，我們發現不少醫院的堡壘機除了在等保測試和檢查時開啟，平時很少啟用。由于醫院信息系統較多，幾十個業務系統可能涉及不同的企業。運維人員會覺得堡壘機的賬號分配及權限管理增加了很多工作量，加之設置的確需要一定的專業知識，所以，部分醫院很少啟用堡壘機。”他補充道。

彭克建進一步表示，多數醫院缺乏網絡和數據安全防患于未然的思維：“不少醫院是采取輪崗方式決定分管信息化的領導，會覺得這么多年不投入安全似乎也沒有出過什么問題。只有真正遇到安全事故后，醫院才會有所動作。比如遭遇數據勒索，尋求解決方案并部署相應的產品。”

在具體的技術細節上，文槿奕則提出了獨到的見解，認為忽視端側防御是目前醫療行業存在的通病：“很多醫院還是傳統思維，希望能夠加固它們的邊界，對態勢感知、防火墻等網關測的安全層層加固。它們希望盡可能把網絡威脅擋在‘墻’外。對于網絡安全最后一公里的端側安全，雖然這兩年稍微有所改善，但起碼毛估不少于2/3的醫療客戶實際上是比較忽略的。”

“我見過很多客戶要么什么都不裝，要么只是裝一個最基礎的傳統殺毒軟件。傳統殺毒軟件基于庫及規則的簡單對比來識別威脅，對于日新月異的變種威脅力不從心。新威脅不僅容易繞過傳統殺軟檢測，還極有可能直接卸載掉殺軟，讓端側失去防護，基本就等同于什么都不裝了。”

堡壘往往是從內部被攻破，幾千年前的特洛伊木馬如此，如今的網絡安全依然如此。

“傳統的‘重網輕端’的防御思路已經不可取了。這次聯合健康被入侵成功很大可能就是從端側投毒成功。企業規模越大，端側設備的數量也更龐大，更分散。要應對這些新威脅，也需要把端點安全，尤其是服務器端進行統一加固。”

文槿奕認為，導致“重網輕端”思路的原因主要有三類。第一類是因為醫院信息人員對網絡安全的認識還停留在過往，對這類思路比較認同。

第二類是因為醫院規模較大，包括PC和服務器在內的端點數非常多，運維管理非常困難。“他覺得這種方式還會加大日常安全運維的難度。原來的方式下，醫生說電腦很卡，信息科派人過去看一下，或者裝個殺毒軟件就可以了。加強端側安全會提升對運維的要求，搞不好會把一些業務相關的進程直接做隔離，進而影響業務——畢竟醫院那么多信息化系統，質量和來源參差不齊。這對于信息科來說反而就有點吃力不討好了。”

第三類則是出于成本的考慮。一方面，端點安全投入成本不低；另一方面，部署對于運維來說也是一大難題。“大三甲醫院的PC和服務器等端側數量龐大。先不考慮安全方案的費用，僅僅怎么去做一個批量的快捷部署安裝，怎么保證安裝部署之后不會影響業務都是需要考慮的。醫院的電腦可能很多年都沒有更新了，光硬件更新也是一筆不小的費用。”

不難發現，后兩類原因本質上還是因為投入不足所導致。

“大多數醫院還是只滿足國家政策強制要求的等保合規，其實也只是要求他去裝個最基礎的殺毒軟件而已。滿足這樣的要求就好，只要沒有出安全事件。” 文槿奕補充道。

三級等保只能滿足基礎，多管齊下方可保網絡安全

顯然，等保合規可能是目前醫院在安全上投資的為數不多的動力。那它是否足以滿足網絡安全的需要呢？

對于醫院來說，通過等保是強制性要求。早在2011年12月，前衛生部就發布《衛生行業信息安全等級保護工作的指導意見》，要求衛生行業按照《信息安全技術信息系統安全等級保護定級指南》開展定級工作，并明確重要衛生信息系統安全保護等級原則上不低于三級。這也就是俗稱的等保1.0。

2019年5月，國家市場監督總局和國家標準化管理委員會發布《信息安全技術網絡安全等級保護基本要求（GB/T22239-2019）》，并于 2019年12月開始實施，標志著我國進入等保2.0時代。相比等保1.0，等保2.0的要求更加細化，所包含的系統也更加廣泛。

2020年底發布的《三級醫院評審標準（2020年版）》則開始進一步對安全實施“一票否決制”。在第一部分前置要求中提到“發生大規模醫療數據泄露或其他重大網絡安全事件，造成嚴重后果”將直接延期一年評審。延期期間醫院原等次取消，按照“未定等”管理。

這些規定有效地推動了醫院對網絡安全的重視，尤其是三級醫院。在CHIMA《2021-2022年度中國醫院信息化狀況調查》中，調查樣本中三級醫院有86.4%的比例通過等保三級評測。

不過，三級以下醫院卻只有22.22%通過等保三級評測。平均來看，通過等保三級評測的醫院僅有63.56%。全面推動三級等保，顯然還需要更多的時間。

此外，就目前的情況而言，多數醫院對于等保僅僅以最低限度的通過為標準，違背了等級保護的初衷。這其中，僅有一個系統通過三級等保的醫院占比最多，達到18.66%；兩個系統通過三級等保的醫院占比為15.15%，緊隨其后。

當然也有好消息——有14.11%的醫院已有5個系統通過三級等保，對比一年前接近翻番。

即便如此，三級等保也只是滿足了最為基本的網絡安全要求。彭克建對此表示：“醫院滿足三級等保做到了網絡安全基本要求。最近幾年數字化的進程非常快，新業務、新場景也很多，坦率地說，三級等保是合規基線，需要充分考慮業務場景帶來的網絡和數據安全風險，構建一個多層次的安全防護。”

安恒信息數據安全產品總監林鷺也表達了同樣的觀點：“三級等保可以提供基本的安全能力。從法律及合規的角度來講，三級等保對醫院也是必須的。但我覺得單單三級等保并不能保證醫院能夠應對諸如數據勒索等新型的網絡攻擊。”

“等保測評其實是針對于某個組織的某個系統進行等保定級。它不是對于一個醫院整體安全的等級測評。對于黑客而言，他并不需要從你等保級別最高，也就是通過三級等保的系統來突破。他往往是從你對外暴露最多的保護級別最低的系統來突破，隨后慢慢滲透到核心系統。這也就是我們安全里面講的一個木桶原理。”

林鷺表示，目前的三級等保已經是在考慮實際落地和投入成本后的最優解，要從整個組織的層面進行規定，又或者在短期內要求醫院所有系統通過并不現實。“畢竟每年的信息化投入是有限的。這些系統不僅建設和維護需要花錢，等保測評同樣也需要花錢。我們所知三級等保根據地區的不同價格不一樣，大概每年需要5-8萬元。醫院幾十個系統下來一年光等保測評費用都需要百萬級別。目前來看，全面覆蓋是不太現實的。”

從技術上而言，加強網絡安全的措施可謂老生常談，比如定期數據備份、安全意識培訓、及時升級補丁和更新管理、網絡分段、存取控制、重視電子郵件和網絡安全、端點保護、制定事件響應計劃、定期安全審計、定期進行備份測試和驗證等。

通過實施這些緩解策略，醫院可以增強其抵御勒索軟件攻擊的能力，并將對其運營和數據的潛在影響降至最低。但這些措施能夠得到多大程度的執行，才是問題的關鍵。

對于如何幫助醫療行業應對網絡安全的挑戰，徐輝給出了幾點思考。他認為，首先需要健全醫療行業領域的安全管理制度和流程，除了加強整個技術防范的措施，更要建立相關的安全管理的體系和能力。

“說到底，三分技術七分管理，健全整個安全管理制度和流程機制非常關鍵。雖然三級等保只提供基礎的安全能力，但它在管理上有14個方面300多項要求，對于醫院管理制度的建立是有很大指導意義的。”他表示。

其次，徐輝認為涉及安全的各方，包括政府部門、行業協會、服務企業和醫療機構都需要加強合作：“我們說加強合作，不是指單純站在各自的立場以單一維度去看這件事。比如，我們從事網絡安全和數據安全的服務企業對醫療行業的理解是不足的，需要結合場景實踐、法律合規和醫院管理。黑客的核心是數據，數據是在不斷流動的，動態性很強，很難靠單一維度理清楚，需要各方共同梳理，找到合理有效的解決方案。”

“醫療行業所擁有的高凈值數據，才是數據勒索的核心目標。所以，我國在《網絡安全法》以后又迅速出臺了《數據安全法》，對原有網絡安全無法覆蓋的部分進行了擴展延伸。除了現有的網絡安全三級等保，數據安全等級保護的相關標準可能會在6月出臺，相信后續還會有更多的政策規范和行業標準密集發布。”他補充說道。

徐輝進一步提到，目前，數據安全的頂層設計在行業適配層面做的不夠，其基礎是數據的分級分類，這部分和傳統網絡安全有很大不同，需要非常強的技術和行業的適配結合。從每個醫院的角度，其對數據的使用、管理、流程都不一致。因此，需要在細節標準去更加細化。

寫在最后

醫療行業的網絡安全及更進一步的數據安全，無疑是一個巨大而長期的挑戰，需要各方面的共同努力。動脈網一直持續關注醫療行業的網絡安全和數據安全，也希望本文能夠拋磚引玉，歡迎行業人士提供話題和線索。