新的网络安全困境：勒索、患者数据操纵和AI风险

Cybersecurity Woes: New Ransom Demands, AI Risks

从最大的医疗保健公司到个人诊所，医学界的每一个组织都面临高昂的网络攻击风险。近年来，黑客威胁要泄露患者和员工的个人信息或使在线系统瘫痪，除非他们支付赎金。公司应该支付吗？这不是一个容易回答的问题，两位专家在10月18日美国医学会（AMA）的网络安全网络研讨会上告诉同事，每个选择——支付或不支付——最终都可能代价高昂。

这只是美国医疗系统在网络安全方面面临的新挑战之一，演讲者说。其他挑战包括黑客可能操纵患者数据——例如，将一项实际上是阳性的医学测试结果篡改为阴性——以及利用人工智能（AI）的力量。

AMA举办此次网络研讨会是为了教育医生关于网络安全风险和防御措施，特别是在今年春天Change Healthcare遭到黑客攻击之后，该事件已使UnitedHealth Group损失了约25亿美元，并严重扰乱了美国医疗保健系统。

警世故事比比皆是。Greg Garcia是医疗行业组织联盟——医疗部门协调委员会的执行董事，他提到了宾夕法尼亚州一家诊所拒绝支付500万美元赎金以防止数百张乳腺癌患者的上半身裸露图像被泄露的案例。Garcia告诉网络研讨会参与者，黑客发布了这些图像，该中心据报道同意以6500万美元和解一起集体诉讼。“他们用500万美元换取了6000万美元”，Garcia说，略微误报了和解金额。

风险选择

虽然联邦调查局建议不要支付赎金，但这是一个有风险的选择，Garcia说。黑客发布了图像，该中心据报道同意以6500万美元和解一起集体诉讼。“他们用500万美元换取了6000万美元”，Garcia说，略微误报了和解金额。

医疗系统对于是否支付赎金以防止私人数据在网络攻击中被公开一直保持谨慎态度。如果要求支付赎金，“每个组织都要自行决定”，Garcia说。

他提到了芬兰一家精神病诊所连锁店在2020年遭受的勒索软件攻击。黑客联系了患者，说：“嘿，给你的诊所打电话，让他们支付赎金。否则，我们将把你们的所有精神病记录公之于众。”

网络攻击仍在继续。本月早些时候，波士顿儿童健康医师宣布其最近发生了“安全事件”，涉及患者和员工的数据，可能包括社会保障号码和治疗信息。一个黑客组织声称对此负责，并要求拥有300多名临床医生的系统支付赎金，否则将泄露被盗信息。

支付赎金应成为犯罪吗？

UC圣地亚哥医疗网络安全中心主任、急诊医学医生Christian Dameff博士指出，有人试图将支付赎金定为犯罪。“如果人们不支付赎金，那么勒索软件操作者将转向其他能赚钱的方式。”Dameff敦促同事们理解，我们不再生活在一个只有在需要IT部门帮助重置密码时才考虑技术的世界。

Dameff说，临床医生面临新的挑战。“我们如何在关键技术支持可能消失数周甚至数月的时代，开发更好的策略、停机程序和安全临床护理？”

Garcia说，“网络安全是每个人的责任，包括一线临床医生。因为你接触数据，接触技术，接触患者，所有这些结合在一起，在数字世界中呈现了一些漏洞。”

下一个前沿：黑客可能操纵患者数据

Dameff说，未来的黑客可能使用AI以威胁患者健康的方式操纵个别患者数据。AI使这更容易实现。“如果我删除你在电子健康记录中的过敏信息，或者篡改你的胸部X光片，或者更改你的实验室值，使其看起来你处于糖尿病酮症酸中毒状态而实际上不是，那么医生可能会给你不必要的胰岛素。”

Garcia强调了另一个新威胁：由于AI，更难忽视的网络钓鱼。“黑客入侵、破坏系统和窃取数据最成功的方式之一是通过电子邮件网络钓鱼，这只会因为人工智能而变得更好。你将不会再看到由尼日利亚或中国黑客团体编写的带有拼写错误的电子邮件。它会看起来非常完美。”

医疗机构可以做些什么？Garcia强调了联邦卫生机构鼓励组织采用最佳网络安全实践的努力。“如果你发生了数据泄露，并且可以向美国卫生与公众服务部（HHS）证明你在过去一年内实施了公认的安全控制措施，你已经尽力了，你做了正确的事情，但仍然受到了攻击，HHS将被指示对你网开一面。这是一种积极的激励。”

正在制定的勒索软件指南

Dameff表示，UC圣地亚哥医疗网络安全中心计划明年发布一份免费的网络安全指南，其中将包括针对心脏病学、创伤外科和儿科等医学专业的具体勒索软件攻击信息。“然后，如果你被勒索，你可以拿出这份指南。你会知道会发生什么，可以更好地为这些影响做好准备。”

未来的总统是否会优先考虑医疗网络安全？这还有待观察，但危机确实有能力集中人们的注意力，专家们说。国家首都“记忆短暂，注意力持续时间短。政策制定者往往反应迟钝。”Dameff说。“只要再发生一次像Change Healthcare那样的攻击，扰乱30%或更多国家的医疗系统，政策制定者就会坐起来注意，并尝试提出解决方案。”

此外，他说，每天估计发生两次数据泄露/勒索软件攻击。“事实上，我们都是患者，从美国总统到每一位国会议员都是患者。”“有一个非常现实、非常明显的认识，即网络安全就是患者安全，网络不安全就是患者不安全。”Dameff说。

Randy Dotinga是一名独立撰稿人和医疗记者协会董事会成员。

(全文结束)