全球首例，医院被黑客攻击致患者死亡

　　专家警告，医疗行业已成为网络攻击的重点目标之一，需建立更完善的应急响应机制。

　　撰文丨燕小六

　　责编丨汪   航

　　一场针对医疗系统的网络攻击，不仅严重影响大量医院的诊疗流程，还导致一名患者因病情延误而死。近期，英国国家医疗服务体系（NHS）通报了这起事故。

　　NHS称，这是全球首例经医疗卫生机构确认的网络安全事故致患者死亡事件，另有170名患者受到不同程度伤害，上万人次的门诊预约和1710台择期手术被迫取消或推迟。

　　有专家表示，相关事件凸显医疗行业面临严峻的网络安全威胁，有关部门应继续加强防护机制，以保障医疗秩序与患者权益。

　　图源锐景，与本文无关

　　网络攻击致使医院“瘫痪”

　　这场悲剧发生在2024年6月。

　　NHS调查称，黑客组织“麒麟（Qilin，音译）”对第三方病理服务机构Synnovis发起网络攻击。Synnovis是英国NHS的合作方，主要提供血液检测等医疗服务。

　　今年3月，“麒麟”还声称对日本一家癌症诊所、美国一所妇产医院发动网络攻击。其发言人公开宣称“零悔意”。

　　根据披露信息，黑客组织采用双重勒索策略，先加密并盗取Synnovis内部文件，再威胁泄露敏感信息。一系列操作导致Synnovis的信息系统崩溃，关键医疗数据无法及时传输。

　　据英国皇家联合服务研究所（RUSI）专家介绍，如今医疗系统高度依赖实时数据传输，网络攻击的不良影响被放大了。

　　在前述事件中，包括大学教学医院在内的多家医疗机构相继遭袭，伦敦东南部地区医疗系统一度瘫痪，大量全科医生诊所无法为患者预约血液检测。

　　甚至还有医疗机构因为这一事件，差点限制非危重患者的血检需求。据悉，涉事机构平均需要3周以上时间才能完全恢复正常诊疗流程。

　　更严重的是，一名患者的后续治疗因血液检测结果迟迟没有反馈而被迫中断，后不幸死亡。医疗专家分析称，这是造成该名患者死亡的直接诱因。

　　此外，涉事医疗机构还记录了2起严重伤害、11起中度伤害和120起轻度伤害案例。因涉及患者隐私，有关机构未披露更多细节。

　　据媒体报道，黑客组织试图借由网络攻击来敲诈Synnovis公司，索要5000万美元“数据赎金”。

　　遭拒后，被盗数据被发布在暗网。其中包括患者姓名、出生日期、医保号码、个人联系方式等。还有些数据涉及性传播疾病、癌症等诊断。

　　网络安全公司Recorded Future旗下的情报资讯平台近日披露，预计90余万人次的医疗数据被泄露。事件发生至今1年，大量涉事患者仍不知道自己的关键医疗数据正在网上肆意传播。

　　医疗信息系统被攻击正愈发普遍

　　“网络攻击对患者安全的威胁早已存在，现在终于有了令人痛心的证据。”前NHS医生、网络安全和公共健康专家赛义夫·阿贝德（Saif Abed）告诉媒体。

　　2024年11月8日，联合国安理会召开会议，专门讨论针对医疗系统的勒索软件及其他网络攻击问题。

　　世界卫生组织总干事谭德塞等表示，相关事件不仅涉及安全与保密，还是一个生死攸关的问题，对国际安全也构成潜在威胁。

　　“勒索软件和其他网络攻击不仅会造成混乱和经济损失，还会破坏人们对所依赖的医疗系统的信任，甚至导致病人的伤害和死亡。”谭德塞说。

　　美国第三大医疗服务提供者阿森松卫生保健公司向安理会成员讲述了自己的遭遇。阿森松是美国非营利性的天主教医疗系统，每年为600多万人提供医疗服务，尤其关注美国穷人、弱势群体的全面护理。

　　2024年5月8日，该公司成为勒索软件攻击的受害者，数以千计的系统文件被加密，无法运行。见状，阿松森的医疗团队立即启动紧急停机程序，改用纸质记录。

　　至当年6月14日，即网络攻击发生37天后，阿松森才恢复了信息系统的连接和访问。据统计，在系统瘫痪期间，医疗团队消耗的所有纸张若堆起来，有1600多米高。

　　据美国卫生与公众服务部数据，仅2024年年初至11月，美国共报告386起医疗保健网络攻击事件。值得注意的是，针对医疗行业的网络攻击在规模和频率上都有所增加。

　　Ponemon研究所是一个从事隐私、数据保护、信息安全政策独立性调研的专门组织。其调查发现，近90%的医疗保健组织遭遇过数据泄漏，还有一定比例的医疗机构病历档案遭到攻击。

　　该研究所称，卫生组织警惕性低，在信息技术安全方面的人力、财力、技术等方面投入不足，以及医疗保健信息相较于其他产业数据的潜在价值高等原因，造成医疗机构被攻击频次日益增加。

　　安理会信息显示，2021年完成的一项全球调查表明，超过1/3的医疗机构受访者在上一年至少遭受过1次网络勒索软件攻击。即使支付“赎金”，31%的受访者也无法重新访问被加密的数据。

　　但从公开渠道看，医疗机构甚少公开披露网络攻击带来的患者伤害事件。2019年，美国阿拉巴马州某医院因黑客攻击出现系统瘫痪。一位产妇称，因为医生无法读取胎儿监护结果而错过抢救时机，致使婴儿死亡。最终医患选择和解。

　　RUSI分析认为，这可能是因为很难确认网络攻击和医疗安全事件直接有关。

　　英国广播公司报道，明尼苏达大学公共卫生学院的研究人员早前声称，2016年-2021年，可能有42~67名美国医疗保险患者因网络勒索软件而死亡。这些发现迄今未刊发在经同行评议的期刊上。有学者质疑数据结论的统计显著性。

　　NHS在公开报道中提醒，去年以来，其他NHS信托机构、医疗设施也成为网络攻击目标，其中不乏顶级儿童专科医院、癌症专病医院等。

　　资料来源：

　　1.UK health officials say patient's death partially down to cyberattack. Reuters

　　2.Synnovis cyber incident. NHS

　　3.Ransomware attack contributed to patient's death. BBC

　　4.安理会讨论针对医疗系统的勒索软件攻击问题. 联合国新闻