2024年刚一开年,本就表现不佳的医疗行业网络安全纪录再一次被刷新——联合健康旗下Change Healthcare所遭遇的数据勒索事件已被认为是迄今为止美国医疗行业最严重的网络安全灾难。
这起网络安全事件的影响范围之广、影响程度之深,影响时间之长史上罕有,以至于美国国务院办公厅也在3月27日公开悬赏1000万美元,鼓励知情者为抓捕导致本次事件的黑客提供信息。
这一严重的网络安全灾难事件为何创造了历史,究竟可以给我们带来什么样的思考和借鉴?动脉网对行业专家进行了深入了解,希望可以为行业参考。
Change Healthcare成立于2006年,并于2019年上市。到2021年,Change Healthcare已成为全美最大的商业处方处理商,每年需要处理150亿笔交易,大约占全美线上处方的三分之一。其支付结算网络覆盖全美约90万名医生、11.8万名牙医、3300家药店、5500家医院和600家实验室。
2021年,联合健康子公司Optum以135亿美元将Change Healthcare纳入帐下。这也是联合健康成立以来金额最大的收购案,一度导致美国司法部的反垄断诉讼。虽然最后获得了放行,但公众一直质疑此次收购的合理性。
从2024年2月21日开始,Change Healthcare的支付网络遭到黑客攻击,导致遍布全美的药店及医疗机构无法开具处方,更无法进行保险结算。出于安全考虑,美国医院协会(AHA)建议所有使用Change Healthcare结算网络的医疗机构考虑主动断开结算网络。至此,全美约1/3的医疗支付结算网络彻底瘫痪。
一周后的2月28日,曾经在去年对米高梅和凯撒医疗发起攻击的AlphV/BlackCat黑客组织声明对本次事件负责,并声称已窃取高达8TB的数据,包括患者个人信息及企业数据。黑客组织要求联合健康支付医疗行业创纪录的2200万美元赎金,否则将会把窃取全部公开。
联合健康很快承认了黑客组织的说法。随后,据外媒报道一个与AlphV关联的比特币地址在3月1日的单笔交易中收到了价值2200万美元的比特币。尽管联合健康拒绝承认,但诸多分析认为,基于区块链的特点,这一交易极有可能是联合健康支付的赎金。
结算网络的中断导致了大量的不便。各方都无法在线上取得处方,也无法通过保险进行结算支付。患者只能自费支付买药,更不要提享受应有的优惠。不少医疗机构无法得到保险支付,大型医疗机构尚且有有现金流支撑,社区医生则只能动用存款乃至借款勉强应付开支。
迫于无奈,各方都采取了不少临时措施。比如,美国卫生与公众服务部(HHS)要求医保部门在结算网络中断期间取消或放宽事先授权要求,并向受攻击影响最大的医疗机构提供预付款。此外,部分地区管理机构也要求接受纸质或传真的报销,并延长报销申请时限。
联合健康也从3月1日起启动了临时资金援助计划,在支付结算完全恢复前为受到影响的医生和医疗机构提供资金补助,覆盖医生和医疗机构同期历史支付水平与网络中断后付款的差额。截至4月3日,联合健康宣称已提供了近47亿美元的补助。
然而,这并不能覆盖所有损失。因为无论何种替代方案都需要大幅改变工作流程,从而增加大量额外成本。据外媒报道,一名受影响的医生表示,这次事件导致其所需额外支付的工资支出高达5万美元;另一位医生则估计,这已导致10万美元的额外成本。
根据估算,单是医生和医疗机构每天的损失就超过1亿美元,给流动性本就十分紧张的医疗机构带来了严重的财务挑战。
美国医院协会的统计显示,94%的受访医院正在经历网络攻击的财务影响,82%的医院表示服务中断影响了他们的现金流,有三成医院表示受影响收入达一半以上。此外,近3/4的受访医院表示服务中断已经对患者治疗产生直接影响。
这种不满自然而然导致了大量针对联合健康的指责和诉讼。与此同时,要求拆分联合健康的言论也日益高涨。联合健康的股价也因此受到严重影响,2月21日其收盘价还在521.97美元,此后一路下滑,最低曾跌至439.2美元。虽然第一季度财报公布后一度回升至501的水平,但此后又开始下跌。
在距离事发超过3周时间后,Change Healthcare的网络终于陆续开始恢复。从3月15日开始,平台的核心功能陆续恢复,开始处理积压的140亿美元的报销。但直到4月底,平台仍未完全恢复,部分功能仍处于不可用状态。显然,这种修复工作并没有想象中那么容易。
另一方面,原本以为已经完结的数据泄露事件又迎来了戏剧性的升级。一般来说,有组织的数据勒索事件会有多个组织参与,各自具有明确的分工,并按照事前约定共享赎金。但一个名为RansomHub的黑客组织在4月初声明,AlphV已经卷款跑路,并未向他们支付应有的份额,要求联合健康支付赎金。
随后,该组织于4月中旬在暗网上公开展示了一些文件证明其所言不虚,其中包含电子账单、保险记录和医疗信息在内的患者个人信息,以及Change Healthcare与合作伙伴的合同协议。
目前,联合健康还未回应,事态将如何发展令人关注。
一个显而易见的问题是,Change Healthcare及其背后的联合健康毫无疑问是全球医疗行业的巅峰所在,理论上其网络安全防护水平即使在全行业也应属于顶尖水平。那么,为什么这样的巨头也难以防范网络攻击?
深信服安全产品高级专家文槿奕向动脉网介绍到,本次联合健康旗下Change Healthcare遇到的“三重勒索”是近年来十分流行的黑客攻击手段,非常难以防范。
“所谓三重勒索混合了三种攻击手段。其一是侵入系统对核心数据进行加密锁定,使目标无法使用数据,导致业务停滞。其二是入侵后对目标服务器和网络进行过饱和DDoS攻击,使被侵入的服务器和网络完全陷入瘫痪。部分案例中,黑客甚至还会对目标高层人员及客户进行持续骚扰。其三,黑客在加密数据之前早已将其进行窃取,并威胁将其进行公开。”
“这种针对性很强的入侵往往准备充分,部分案例准备过程甚至可以年计。即使是联合健康这样的巨头也是防不胜防,不支付赎金直接面临业务停摆,即使能够恢复业务,也会因核心数据的泄密公开导致巨大的法律风险,导致巨大的经济损失及长期品牌信誉度的丧失。因此,企业进退两难。”文槿奕表示。
令人担忧的是,医疗行业受到黑客攻击的程度正在迅速加深。网络安全公司Emsisoft的报告显示,2023年,美国医疗行业遭受网络攻击46次,比2022年的25次接近翻番。这些攻击影响了多达141家医疗机构,受到影响的人群约占美国人口的三分之一。
黑客们的胃口也越来越大,要求的赎金数量迅速增加。2018年,美国医疗行业平均每次数据勒索被要求的赎金还只有5000美元,2023年这一数字已经一举达到150万美元,几年间提升了300倍!
事实上,这不过只是冰山一角,还有多得多的未被公开的网络攻击事件。
国内医疗行业网络安全的现状同样不容乐观。近年来,坊间不时传闻国内医疗机构因遭到数据勒索,不得已支付赎金。
对于国内医疗行业面临的巨大的网络安全挑战,中电数字常务副总经理徐辉认为,主要有几个原因:
首先,最为重要的原因是资金预算不足。“经济较发达的一二线城市大三甲医院的投入相对会充足一些。但经济欠发达地区,尤其是基层乃至偏远山区的医疗机构能把正常的医疗业务支撑起来就颇为吃力,在网络安全保障的投入上明显得不到足够的资金支撑。”他表示。
同时,在人才分布上各地也不均衡。徐辉表示,网络安全及数据安全是新兴行业,相应的安全专业人才市场上本就储备不足,大多都聚集在经济水平较高的一二线城市,技术力量也较难下沉到三四线城市。“经济欠发达地区的医院想找到专业的安全企业咨询交流都不是一件容易的事。”他补充道。
尤其投入不足严重制约了医疗机构的安全能力。美创科技数据安全技术专家彭克建在与动脉网的交流中就提到多数医院投在网络安全上的预算极为有限:“除了少数知名医院具有比较好的信息化能力,多数医院信息科人手严重不足。有的医院总共就只有两三个人,专业能力也参差不齐,维持信息化系统运维就已经颇为吃力,更不要说顾及网络和数据安全。”
“医院需要合规的要求很多,每年信息化的投入80-90%都需要花在保障业务运营上。花在安全上的预算很少,基本就是必需的等保测试费用。除此之外,想要做更多的安全保护建设和升级基本上就不太可能了。”他表示。
“举个例子,堡垒机是必须的安全机制。正常情况下,第三方运维人员登录医院服务器资源必须通过堡垒机分配获得账号,实现安全可控的访问。不过,我们发现不少医院的堡垒机除了在等保测试和检查时开启,平时很少启用。由于医院信息系统较多,几十个业务系统可能涉及不同的企业。运维人员会觉得堡垒机的账号分配及权限管理增加了很多工作量,加之设置的确需要一定的专业知识,所以,部分医院很少启用堡垒机。”他补充道。
彭克建进一步表示,多数医院缺乏网络和数据安全防患于未然的思维:“不少医院是采取轮岗方式决定分管信息化的领导,会觉得这么多年不投入安全似乎也没有出过什么问题。只有真正遇到安全事故后,医院才会有所动作。比如遭遇数据勒索,寻求解决方案并部署相应的产品。”
在具体的技术细节上,文槿奕则提出了独到的见解,认为忽视端侧防御是目前医疗行业存在的通病:“很多医院还是传统思维,希望能够加固它们的边界,对态势感知、防火墙等网关测的安全层层加固。它们希望尽可能把网络威胁挡在‘墙’外。对于网络安全最后一公里的端侧安全,虽然这两年稍微有所改善,但起码毛估不少于2/3的医疗客户实际上是比较忽略的。”
“我见过很多客户要么什么都不装,要么只是装一个最基础的传统杀毒软件。传统杀毒软件基于库及规则的简单对比来识别威胁,对于日新月异的变种威胁力不从心。新威胁不仅容易绕过传统杀软检测,还极有可能直接卸载掉杀软,让端侧失去防护,基本就等同于什么都不装了。”
堡垒往往是从内部被攻破,几千年前的特洛伊木马如此,如今的网络安全依然如此。
“传统的‘重网轻端’的防御思路已经不可取了。这次联合健康被入侵成功很大可能就是从端侧投毒成功。企业规模越大,端侧设备的数量也更庞大,更分散。要应对这些新威胁,也需要把端点安全,尤其是服务器端进行统一加固。”
文槿奕认为,导致“重网轻端”思路的原因主要有三类。第一类是因为医院信息人员对网络安全的认识还停留在过往,对这类思路比较认同。
第二类是因为医院规模较大,包括PC和服务器在内的端点数非常多,运维管理非常困难。“他觉得这种方式还会加大日常安全运维的难度。原来的方式下,医生说电脑很卡,信息科派人过去看一下,或者装个杀毒软件就可以了。加强端侧安全会提升对运维的要求,搞不好会把一些业务相关的进程直接做隔离,进而影响业务——毕竟医院那么多信息化系统,质量和来源参差不齐。这对于信息科来说反而就有点吃力不讨好了。”
第三类则是出于成本的考虑。一方面,端点安全投入成本不低;另一方面,部署对于运维来说也是一大难题。“大三甲医院的PC和服务器等端侧数量庞大。先不考虑安全方案的费用,仅仅怎么去做一个批量的快捷部署安装,怎么保证安装部署之后不会影响业务都是需要考虑的。医院的电脑可能很多年都没有更新了,光硬件更新也是一笔不小的费用。”
不难发现,后两类原因本质上还是因为投入不足所导致。
“大多数医院还是只满足国家政策强制要求的等保合规,其实也只是要求他去装个最基础的杀毒软件而已。满足这样的要求就好,只要没有出安全事件。” 文槿奕补充道。
显然,等保合规可能是目前医院在安全上投资的为数不多的动力。那它是否足以满足网络安全的需要呢?
对于医院来说,通过等保是强制性要求。早在2011年12月,前卫生部就发布《卫生行业信息安全等级保护工作的指导意见》,要求卫生行业按照《信息安全技术信息系统安全等级保护定级指南》开展定级工作,并明确重要卫生信息系统安全保护等级原则上不低于三级。这也就是俗称的等保1.0。
2019年5月,国家市场监督总局和国家标准化管理委员会发布《信息安全技术网络安全等级保护基本要求(GB/T22239-2019)》,并于 2019年12月开始实施,标志着我国进入等保2.0时代。相比等保1.0,等保2.0的要求更加细化,所包含的系统也更加广泛。
2020年底发布的《三级医院评审标准(2020年版)》则开始进一步对安全实施“一票否决制”。在第一部分前置要求中提到“发生大规模医疗数据泄露或其他重大网络安全事件,造成严重后果”将直接延期一年评审。延期期间医院原等次取消,按照“未定等”管理。
这些规定有效地推动了医院对网络安全的重视,尤其是三级医院。在CHIMA《2021-2022年度中国医院信息化状况调查》中,调查样本中三级医院有86.4%的比例通过等保三级评测。
不过,三级以下医院却只有22.22%通过等保三级评测。平均来看,通过等保三级评测的医院仅有63.56%。全面推动三级等保,显然还需要更多的时间。
此外,就目前的情况而言,多数医院对于等保仅仅以最低限度的通过为标准,违背了等级保护的初衷。这其中,仅有一个系统通过三级等保的医院占比最多,达到18.66%;两个系统通过三级等保的医院占比为15.15%,紧随其后。
当然也有好消息——有14.11%的医院已有5个系统通过三级等保,对比一年前接近翻番。
即便如此,三级等保也只是满足了最为基本的网络安全要求。彭克建对此表示:“医院满足三级等保做到了网络安全基本要求。最近几年数字化的进程非常快,新业务、新场景也很多,坦率地说,三级等保是合规基线,需要充分考虑业务场景带来的网络和数据安全风险,构建一个多层次的安全防护。”
安恒信息数据安全产品总监林鹭也表达了同样的观点:“三级等保可以提供基本的安全能力。从法律及合规的角度来讲,三级等保对医院也是必须的。但我觉得单单三级等保并不能保证医院能够应对诸如数据勒索等新型的网络攻击。”
“等保测评其实是针对于某个组织的某个系统进行等保定级。它不是对于一个医院整体安全的等级测评。对于黑客而言,他并不需要从你等保级别最高,也就是通过三级等保的系统来突破。他往往是从你对外暴露最多的保护级别最低的系统来突破,随后慢慢渗透到核心系统。这也就是我们安全里面讲的一个木桶原理。”
林鹭表示,目前的三级等保已经是在考虑实际落地和投入成本后的最优解,要从整个组织的层面进行规定,又或者在短期内要求医院所有系统通过并不现实。“毕竟每年的信息化投入是有限的。这些系统不仅建设和维护需要花钱,等保测评同样也需要花钱。我们所知三级等保根据地区的不同价格不一样,大概每年需要5-8万元。医院几十个系统下来一年光等保测评费用都需要百万级别。目前来看,全面覆盖是不太现实的。”
从技术上而言,加强网络安全的措施可谓老生常谈,比如定期数据备份、安全意识培训、及时升级补丁和更新管理、网络分段、存取控制、重视电子邮件和网络安全、端点保护、制定事件响应计划、定期安全审计、定期进行备份测试和验证等。
通过实施这些缓解策略,医院可以增强其抵御勒索软件攻击的能力,并将对其运营和数据的潜在影响降至最低。但这些措施能够得到多大程度的执行,才是问题的关键。
对于如何帮助医疗行业应对网络安全的挑战,徐辉给出了几点思考。
首先需要健全医疗行业领域的网络安全保障机制,加强各方合作与联动。徐辉认为涉及安全的各方,包括政府部门、行业协会、服务企业和医疗机构等都需要加强合作,共同防治。
“我们说加强合作,不是指单方面站在各自的立场以单一维度去看这件事。比如,从事网络安全和数据安全的服务企业对医疗行业的理解是不足的,需要结合场景实践、法律合规要求和医院管理实际情况,全维度多方面考虑才能服务好医疗机构。另外,黑客的核心是数据,数据又是在不断流动的,动态性很强,很难靠单一维度理清楚,需要各方共同梳理,才能找到合适有效的解决方案。”他表示。
其次,除了加强整个技术防范的措施,还要不断完善网络安全管理体系。“说到底,三分技术七分管理,健全整个安全管理制度和流程机制非常关键。虽然三级等保只提供基础的安全能力,但它在安全保障上有14个方面多达300多项要求,对于医院网络安全保障体系的建立健全是有很大指导意义的。”他表示。
徐辉进一步提到:“医疗行业所拥有的高净值数据,才是数据勒索的核心目标。所以,我国在《网络安全法》以后又迅速出台了《数据安全法》等一系法律法规,对原有网络安全无法覆盖的部分进行了扩展延伸。除了现有的网络安全三级等保,数据安全等级保护的相关标准可能会在6月出台,相信后续还会有更多的政策规范和行业标准密集发布。”
徐辉最后提到,目前,数据安全的顶层设计在行业适配层面做的不够,其基础是数据的分级分类,这部分和传统网络安全有很大不同,需要非常强的技术和行业的适配结合。从每个医院的角度,其对数据的使用、管理、流程都不一致。因此,需要在细节标准去更加细化。
医疗行业的网络安全及更进一步的数据安全,无疑是一个巨大而长期的挑战,需要各方面的共同努力。动脉网一直持续关注医疗行业的网络安全和数据安全,也希望本文能够抛砖引玉,欢迎行业人士提供话题和线索。
参考资料:
Andy Greenberg,Wired.com:Hackers Behind the Change Healthcare Ransomware Attack Just Received a $22 Million Payment
Arundhati Parmar,Medcitynews.com:Tampa General Hospital CEO on Change Healthcare Breach: They Are Going To Have To Give an Update Soon
Emma Bardin,Medcitynews.com:Department of Justice sues to block UnitedHealth from acquiring Change Healthcare
Ron Harman King,Medcitynews.com:Healthcare Docket: A Near Doubling of Hospital System Cyberattacks Triggers Bipartisan Bill
Jill McKeon,healthitsecurity.com:HHS offers resource guide to providers impacted by Change Healthcare cyberattack
Victoria Bailey,healthitsecurity.com:Change Healthcare cyberattack affecting hospital finances, care access
Fred Pennic,hitconsultant.net:UnitedHealth Faces New Ransomware Threat After Alleged $22M Payment Failure
Paige Minemyer,fiercehealthcare.com:AMA: 80% of docs have lost revenue amid disruptions from Change Healthcare cyberattack
CHIMA,《2021-2022年度中国医院信息化状况调查》
渝公网安备 50011202502165号
