医疗照护的网络安全:麻醉专业人员起什么作用?

Julian Goldman(医学博士);Jeffrey Feldman(医学博士)

麻醉网络安全在麻醉照护期间保持患者安全是一个全方位挑战。麻醉专业人员的技能和警惕性很重要,但远远不够。照护环境的工效学、照护系统、团队之间的沟通和许多其他因素最终都会影响到患者安全。我们似乎需要在患者安全战斗中增加网络安全威胁,作为另一个维度。

其中一次最著名的医疗照护网络安全事故是全球性勒索病毒攻击,这次事故在 2017 年导致英国国家卫生系统的 600 家机构停摆。未报告与本次攻击有关的患者死亡情况,但明确记载了医疗照护的获得性减少。还不清楚对患者健康的影响。据估计,卫生系统为此付出的成本约为 6 百万英镑。1 不幸的是,网络攻击还在不断增加,这种攻击频率需要医院花费巨大的资源来预防任何对患者照护服务的影响。目前,预计医疗照护机构遭受的攻击平均次数是其他机构的 2-3 倍,2 每月网络攻击可能高达数千次。

对医疗照护机构的攻击仍是一个国际性问题。捷克共和国的一家大学医院因为网络攻击而被迫推迟手术,并将患者转移至另一家机构接受照护。3

这家医院是一家 COVID-19 主要检测中心,因此,其通过检测来应对新冠疫情全球大流行的能力也受到影响。在美国,人们在 2020 年 10 月发现了一种升级的网络攻击威胁,已发生多次对医疗照护机构攻击而导致医疗照护服务崩溃的事件。4 例如,2020 年 10 月 28 日,也是美国《纽约时报》 刊登有关网络威胁升级文章的当天,一次成功的网络攻击瘫痪了佛蒙特州例大学的电子病历系统,并影响到了医疗网络内的六家医院。5 患者照护的各个方面都受到了影响,且大量患者无法获取照护,尤其令人揪心是正在接受癌症治疗的患者所受到的影响。作为网络攻击的结果,所有描述放疗照护方案的记录均无法访问。前来接受化疗的患者只能被拒绝照护,因为医护人员无法获取其记录,因此无法确认如何对其进行安全治疗。几乎花了一个月才使记录留存系统恢复。

网络攻击可以采取不同的形式。勒索软件的攻击显而易见,因为它们会使工作站或 EMR 数据库瘫痪,如果被攻击系统的所有者支付一定的费用,攻击者就会提供恢复功能的服务。虽然支付一般不会促成服务恢复(不建议),但许多受害者还是为网络犯罪买了单。如果勒索软件感染并加密了某个系统,就必须假定数据可能已经被窃取 – 或“盗用” – 从而为滥用患者健康信息 (PHI) 打开了大门。其他类型的网络攻击可能没有如此明显。许多医疗设备均相互连接以便在医院网络上接收和发送数据,也因此易受到网络攻击的侵害。网络犯罪分子有可能远程改变警报和设备功能,在患者遭受到明显伤害之前,这种变化可能并不明显。

医疗照护的网络安全:

为什么网络犯罪分子特别喜欢攻击医疗照护系统?

作为个人和财务信息的富矿,医疗照护数据特别有价值,与简单的信用卡数据相比,在网络黑市上出售可以卖个好价钱。数据的高价值加上相对较弱的网络安全基础设施,使得医疗照护机构成为非常诱人的目标。不幸的是,COVID-19 全球大流行放大了成功的网络攻击对于患者照护的影响,从而创造了一个独特的机会来利用医疗照护信息系统的脆弱性。事实上,在 2020 年 10 月发出威胁级别提高的通知之后,针对医疗照护机构的网络攻击增加,可能并非出于经济动机。在美国政府机构成功阻止黑客影响美国选举进程之后,最近针对医疗照护机构的攻击有所增加。目前的攻击增加可能是一种报复,是为了表明这些黑客仍然非常有效。

不幸的是,我们不能否认这些网络攻击的动机可能是针对弱势群体的恶意报复。由于越来越多地依赖于信息系统 (IS) 来提供患者照护,但许多机构缺乏大公司的资源来投资网络安全,因此,医疗照护机构很容易受到攻击。由于可能对这些患者产生负面影响,并可能造成恐惧或恐慌,特别是在大流行期间,因此病人成了犯罪分子垂涎的目标。

网络攻击可以预防吗?

作为最成功的早期黑客之一,Kevin Mitnick 从上世纪八十年代开始就非常活跃,直到 1995 年,他因为通讯相关犯罪而被判入狱。自此以后,他成为了一名计算机安全顾问,但他当网络黑客的这段经历一直为人津津乐道。6 但有一个重要的教训,即是“社交工程”策略对他的成功至关重要,并且仍然是当今黑客入侵的主要策略。根据 Mitnick 的说法,“社交工程就是利用欺骗、操纵和影响来说服能够访问计算机系统的人去做一些事情,比如点击电子邮件中的附件等。”6

同样的方法仍然是一种主要的黑客策略,考虑到电子邮件在现代机构中的普遍使用,这种方法非常有效。

IS 部门的主要工作职责就是要确保网络攻击不会得逞。有一种策略,是使用硬件和软件系统的架构来创建安全层级(称即所谓的“深度防御”),使攻击者的系统导航复杂化,并限制恶意软件的传播。另一个重要策略,是执行可降低社交工程成功率的用户策略。一些比较明显的 IS 策略是麻醉专业人员在使用网络或工作电脑时屏蔽某些网站或不打开个人邮件。商业网站监控服务监测网站可以识别那些可能含有恶意软件的网站,并向易受攻击的组织提供信息,以阻止从内部网络访问这些网站。

麻醉专业人员在保护医疗照护网络安全方面有何作用?

美国麻醉医师协会 (ASA) 最近组建了网络安全任务专班 (CSTF),其目标是了解网络攻击对麻醉实践的影响范围,并与其他组织协作,以制定关于保护患者安全的建议。ASA 监控 (ASA Monitor) 中有关该任务专班的一篇文章,其简单介绍了网络攻击给我们患者带来的潜在风险范围和规模等背景信息。7鉴于我们并没有接受过如信息系统专业人员的训练,因此,麻醉专业人员在保护患者免受网络攻击影响方面有作用吗?

这是对美国政府“针对医疗照护和公共卫生部门的勒索软件活动”建议案的回应,该建议案由网络安全与基础设施安全局 (Cybersecurity and Infrastructure Security Agency, CISA)、联邦调查局 (Federal Bureau of Investigation, FBI) 和包括 FDA 在内的卫生与公众服务部 (Department of Health and Human Services, HHS) 联合发布,8 APSF 技术委员会发布了可被每位麻醉专业人员采用的指南,以减少患者遭受网络攻击的风险(表 1)。9 该指南包括诸如电子邮件预警和密码安全等个人和部门策略。委员会建议对停机事件进行模拟,这种模拟应包括在一个或多个信息系统不能工作时维持患者照护所需的所有程序。例如,假定一名复杂创伤患者被送进急诊科,并发现需要紧急转移到手术室来控制出血。当患者从急诊科转往手术室再到重症监护室时,在没有计算机系统的情况下,你能管理好他们所需的连续而复杂的照护吗?你将如何传达紧急情况,以便手术室做好准备?如何协调血库和检验科工作?药房是否能随时提供药物?你将如何知道谁为某项服务而随时待命?计算机系统还能工作吗?纸质表格是否能充分支持持续的文件记录和照护过程?这些模拟演练结果可以提供信息来制定流程,以防备网络攻击事件,并为医务人员提供培训重点。

表 1:网络安全建议。

为应对网络攻击对于医疗照护机构的持续威胁,APSF 技术委员会建议,所有麻醉专业人员采取以下措施。
加强断网应对程序
  • 审查现有的断网应对程序。
  • 其他的围手术期领导参与规划。
  • 告知所有医护人员如何使用断网应对程序来继续患者照护。
  • 如可能,模拟断网事件。
提高警惕
  • 管理你的电子邮件!不要因为任何电子邮件请求而输入你的系统密码或 ID。向 IS 服务部门报告疑似有问题的电子邮件。
  • 网络安全攻击可以影响任何网络依赖性的医疗设备。警惕设备(比如静脉输液泵和呼吸机)功能或警告的设置或行为出现未预料的变化。
审查报告
向医院 IS 和/或生物医疗工程部门报告医疗设备和系统性能问题 ASAP。

将更新更完整的建议,可在以下网址获取:https://www.apsf.org/news-updates/the-apsf-issues-preliminary-guidance-on-cybersecurity-threats-to-u-s-health-care-systems/

幸运的是,政府和其他机构正在努力找出网络攻击风险,并减少或消除影响。尽管公共和私人部门都在警惕并支持解决这些网络攻击风险,但问题还在不断继续增长。与人类病毒一样,恶意软件一旦进入网络空间,就会对未受保护的计算机系统构成持续的风险。网络犯罪组织侵害医疗照护系统的活动似乎没有得到制止。8

考虑到医疗照护依赖计算机系统和网络设备的程度,网络攻击将继续成为一个日益增长的患者安全问题。在工作时管理个人邮件和网站的个人习惯可减少成功入侵的风险,不过,通常应对医疗设备和信息系统故障保持警惕并制定备份计划,以便在发生医疗设备和系统故障时继续提供安全的医疗照护。

 

Julian M. Goldman(医学博士)是麻塞诸塞州总医院的麻醉医师;Mass General Brigham 公司生物医学工程部门的医学主任;“即插即用”医疗设备互用性和网络安全项目 (MD PnP) 主管;麻醉和呼吸设备的 ISO/TC 121/WG 3 网络安全标准制定召集人。

Jeffrey Feldman(医学博士、工程硕士)是 APSF 技术委员会主席以及宾夕法尼亚州佩雷尔曼医学院费城儿童医院的临床麻醉学教授。


作者没有进一步的利益冲突。


参考文献

  1. Ghafur S, Kristensen S, Honeyford K, et al. A retrospective impact analysis of the WannaCry cyberattack on the NHS. npj Digit Med.2, 98 (2019). https://doi.org/10.1038/s41746-019-0161-6. Accessed December 21, 2020.
  2. 2020 Healthcare Cybersecurity Report, https://www.herjavecgroup.com/wp-content/uploads/2019/12/healthcare-cybersecurity-report-2020.pdf. Accessed December 21, 2020.
  3. Bizga A. Mysterious cyberattack cripples Czech hospital amid COVID-19 outbreak, https://hotforsecurity.bitdefender.com/blog/mysterious-cyberattack-cripples-czech-hospital-amid-covid-19-outbreak-22566.html Accessed November 18, 2020.
  4. Perlroth, N. Officials warn of cyberattacks on hospitals as virus cases spike. New York Times. Oct. 28, 2020. https://www.nytimes.com/2020/10/28/us/hospitals-cyberattacks-coronavirus.html Accessed November 26, 2020.
  5. Barry E, Perlroth N. Patients of a Vermont hospital are left ‘in the dark’ after a cyberattack. New York Times. November 25, 2020. https://www.nytimes.com/2020/11/26/us/hospital-cyber-attack.html? Accessed November 26, 2020.
  6. Mitnick K. Ghost in the wires—my adventures as the world’s most wanted hacker. Little, Brown and Co. New York, 2011.
  7. Goldman JM, Minzter B, Ortiz J, et al. Formation of an ASA Cybersecurity Task Force (CSTF) to protect patient safety. ASA Monitor .September 2020;84:34. https://doi.org/10.1097/01.ASM.0000716908.49348.5a Accessed December 10, 2020.
  8. CISA Alert (AA20-302A), October 28, 2020, https://us-cert.cisa.gov/ncas/alerts/aa20-302a Accessed December 10, 2020.
  9. The APSF issues preliminary guidance on cybersecurity threats to U.S. health care systems. APSF Newsletter online. November 2, 2020. https://www.apsf.org/news-updates/the-apsf-issues-preliminary-guidance-on-cybersecurity-threats-to-u-s-health-care-systems/ Accessed November 10, 2020.