2024年刚一开年，本就表现不佳的医疗行业网络安全纪录再一次被刷新——联合健康旗下Change Healthcare所遭遇的数据勒索事件已被认为是

　　这起网络安全事件的影响范围之广、影响程度之深，影响时间之长史上罕有，以至于美国国务院办公厅也在3月27日公开悬赏1000万美元，鼓励知情者为抓捕导致本次事件的黑客提供信息。

　　这一严重的网络安全灾难事件为何创造了历史，究竟可以给我们带来什么样的思考和借鉴？动脉网对行业专家进行了深入了解，希望可以为行业参考。

　　Change Healthcare成立于2006年，并于2019年上市。到2021年，Change Healthcare已成为全美最大的商业处方处理商，每年需要处理150亿笔交易，大约占全美线上处方的三分之一。其支付结算网络覆盖全美约90万名医生、11.8万名牙医、3300家药店、5500家医院和600家实验室。

　　2021年，联合健康子公司Optum以135亿美元将Change Healthcare纳入帐下。这也是联合健康成立以来金额最大的收购案，一度导致美国司法部的反垄断诉讼。虽然最后获得了放行，但公众一直质疑此次收购的合理性。

　　从2024年2月21日开始，Change Healthcare的支付网络遭到黑客攻击，导致遍布全美的药店及医疗机构无法开具处方，更无法进行保险结算。出于安全考虑，美国医院协会（AHA）建议所有使用Change Healthcare结算网络的医疗机构考虑主动断开结算网络。至此，全美约1/3的医疗支付结算网络彻底瘫痪。

　　一周后的2月28日，曾经在去年对米高梅和凯撒医疗发起攻击的AlphV/BlackCat黑客组织声明对本次事件负责，并声称已窃取高达8TB的数据，包括患者个人信息及企业数据。黑客组织要求联合健康支付医疗行业创纪录的2200万美元赎金，否则将会把窃取全部公开。

　　联合健康很快承认了黑客组织的说法。随后，据外媒报道一个与AlphV关联的比特币地址在3月1日的单笔交易中收到了价值2200万美元的比特币。尽管联合健康拒绝承认，但诸多分析认为，基于区块链的特点，这一交易极有可能是联合健康支付的赎金。

　　结算网络的中断导致了大量的不便。各方都无法在线上取得处方，也无法通过保险进行结算支付。患者只能自费支付买药，更不要提享受应有的优惠。不少医疗机构无法得到保险支付，大型医疗机构尚且有有现金流支撑，社区医生则只能动用存款乃至借款勉强应付开支。

　　迫于无奈，各方都采取了不少临时措施。比如，美国卫生与公众服务部（HHS）要求医保部门在结算网络中断期间取消或放宽事先授权要求，并向受攻击影响最大的医疗机构提供预付款。此外，部分地区管理机构也要求接受纸质或传真的报销，并延长报销申请时限。

　　联合健康也从3月1日起启动了临时资金援助计划，在支付结算完全恢复前为受到影响的医生和医疗机构提供资金补助，覆盖医生和医疗机构同期历史支付水平与网络中断后付款的差额。截至4月3日，联合健康宣称已提供了近47亿美元的补助。

　　然而，这并不能覆盖所有损失。因为无论何种替代方案都需要大幅改变工作流程，从而增加大量额外成本。据外媒报道，一名受影响的医生表示，这次事件导致其所需额外支付的工资支出高达5万美元；另一位医生则估计，这已导致10万美元的额外成本。

　　根据估算，单是医生和医疗机构每天的损失就超过1亿美元，给流动性本就十分紧张的医疗机构带来了严重的财务挑战。

　　美国医院协会的统计显示，94%的受访医院正在经历网络攻击的财务影响，82%的医院表示服务中断影响了他们的现金流，有三成医院表示受影响收入达一半以上。此外，近3/4的受访医院表示服务中断已经对患者治疗产生直接影响。

　　这种不满自然而然导致了大量针对联合健康的指责和诉讼。与此同时，要求拆分联合健康的言论也日益高涨。联合健康的股价也因此受到严重影响，2月21日其收盘价还在521.97美元，此后一路下滑，最低曾跌至439.2美元。虽然第一季度财报公布后一度回升至501的水平，但此后又开始下跌。

　　在距离事发超过3周时间后，Change Healthcare的网络终于陆续开始恢复。从3月15日开始，平台的核心功能陆续恢复，开始处理积压的140亿美元的报销。但直到4月底，平台仍未完全恢复，部分功能仍处于不可用状态。显然，这种修复工作并没有想象中那么容易。

　　另一方面，原本以为已经完结的数据泄露事件又迎来了戏剧性的升级。一般来说，有组织的数据勒索事件会有多个组织参与，各自具有明确的分工，并按照事前约定共享赎金。但一个名为RansomHub的黑客组织在4月初声明，AlphV已经卷款跑路，并未向他们支付应有的份额，要求联合健康支付赎金。

　　随后，该组织于4月中旬在暗网上公开展示了一些文件证明其所言不虚，其中包含电子账单、保险记录和医疗信息在内的患者个人信息，以及Change Healthcare与合作伙伴的合同协议。

　　一个显而易见的问题是，Change Healthcare及其背后的联合健康毫无疑问是全球医疗行业的巅峰所在，理论上其网络安全防护水平即使在全行业也应属于顶尖水平。那么，为什么这样的巨头也难以防范网络攻击？

　　深信服安全产品高级专家文槿奕向动脉网介绍到，本次联合健康旗下Change Healthcare遇到的“三重勒索”是近年来十分流行的黑客攻击手段，非常难以防范。

　　“所谓三重勒索混合了三种攻击手段。其一是侵入系统对核心数据进行加密锁定，使目标无法使用数据，导致业务停滞。其二是入侵后对目标服务器和网络进行过饱和DDoS攻击，使被侵入的服务器和网络完全陷入瘫痪。部分案例中，黑客甚至还会对目标高层人员及客户进行持续骚扰。其三，黑客在加密数据之前早已将其进行窃取，并威胁将其进行公开。”

　　“这种针对性很强的入侵往往准备充分，部分案例准备过程甚至可以年计。即使是联合健康这样的巨头也是防不胜防，不支付赎金直接面临业务停摆，即使能够恢复业务，也会因核心数据的泄密公开导致巨大的法律风险，导致巨大的经济损失及长期品牌信誉度的丧失。因此，企业进退两难。”文槿奕表示。

　　令人担忧的是，医疗行业受到黑客攻击的程度正在迅速加深。网络安全公司Emsisoft的报告显示，2023年，美国医疗行业遭受网络攻击46次，比2022年的25次接近翻番。这些攻击影响了多达141家医疗机构，受到影响的人群约占美国人口的三分之一。

　　黑客们的胃口也越来越大，要求的赎金数量迅速增加。2018年，美国医疗行业平均每次数据勒索被要求的赎金还只有5000美元，2023年这一数字已经一举达到150万美元，几年间提升了300倍！

　　国内医疗行业网络安全的现状同样不容乐观。近年来，坊间不时传闻国内医疗机构因遭到数据勒索，不得已支付赎金。

　　首先，最为重要的原因是资金预算不足。“经济较发达的一二线城市大三甲医院的投入相对会充足一些。但经济欠发达地区，尤其是基层乃至偏远山区的医疗机构能把正常的医疗业务支撑起来就颇为吃力，在网络安全保障的投入上明显得不到足够的资金支撑。”他表示。

　　同时，在人才分布上各地也不均衡。徐辉表示，网络安全及数据安全是新兴行业，相应的安全专业人才市场上本就储备不足，大多都聚集在经济水平较高的一二线城市，技术力量也较难下沉到三四线城市。“经济欠发达地区的医院想找到专业的安全企业咨询交流都不是一件容易的事。”他补充道。

　　尤其投入不足严重制约了医疗机构的安全能力。美创科技数据安全技术专家彭克建在与动脉网的交流中就提到多数医院投在网络安全上的预算极为有限：“除了少数知名医院具有比较好的信息化能力，多数医院信息科人手严重不足。有的医院总共就只有两三个人，专业能力也参差不齐，维持信息化系统运维就已经颇为吃力，更不要说顾及网络和数据安全。”

　　“医院需要合规的要求很多，每年信息化的投入80-90%都需要花在保障业务运营上。花在安全上的预算很少，基本就是必需的等保测试费用。除此之外，想要做更多的安全保护建设和升级基本上就不太可能了。”他表示。

　　“举个例子，堡垒机是必须的安全机制。正常情况下，第三方运维人员登录医院服务器资源必须通过堡垒机分配获得账号，实现安全可控的访问。不过，我们发现不少医院的堡垒机除了在等保测试和检查时开启，平时很少启用。由于医院信息系统较多，几十个业务系统可能涉及不同的企业。运维人员会觉得堡垒机的账号分配及权限管理增加了很多工作量，加之设置的确需要一定的专业知识，所以，部分医院很少启用堡垒机。”他补充道。

　　彭克建进一步表示，多数医院缺乏网络和数据安全防患于未然的思维：“不少医院是采取轮岗方式决定分管信息化的领导，会觉得这么多年不投入安全似乎也没有出过什么问题。只有真正遇到安全事故后，医院才会有所动作。比如遭遇数据勒索，寻求解决方案并部署相应的产品。”

　　在具体的技术细节上，文槿奕则提出了独到的见解，认为忽视端侧防御是目前医疗行业存在的通病：“很多医院还是传统思维，希望能够加固它们的边界，对态势感知、防火墙等网关测的安全层层加固。它们希望尽可能把网络威胁挡在‘墙’外。对于网络安全最后一公里的端侧安全，虽然这两年稍微有所改善，但起码毛估不少于2/3的医疗客户实际上是比较忽略的。”

　　“我见过很多客户要么什么都不装，要么只是装一个最基础的传统杀毒软件。传统杀毒软件基于库及规则的简单对比来识别威胁，对于日新月异的变种威胁力不从心。新威胁不仅容易绕过传统杀软检测，还极有可能直接卸载掉杀软，让端侧失去防护，基本就等同于什么都不装了。”

　　“传统的‘重网轻端’的防御思路已经不可取了。这次联合健康被入侵成功很大可能就是从端侧投毒成功。企业规模越大，端侧设备的数量也更庞大，更分散。要应对这些新威胁，也需要把端点安全，尤其是服务器端进行统一加固。”

　　文槿奕认为，导致“重网轻端”思路的原因主要有三类。第一类是因为医院信息人员对网络安全的认识还停留在过往，对这类思路比较认同。

　　第二类是因为医院规模较大，包括PC和服务器在内的端点数非常多，运维管理非常困难。“他觉得这种方式还会加大日常安全运维的难度。原来的方式下，医生说电脑很卡，信息科派人过去看一下，或者装个杀毒软件就可以了。加强端侧安全会提升对运维的要求，搞不好会把一些业务相关的进程直接做隔离，进而影响业务——毕竟医院那么多信息化系统，质量和来源参差不齐。这对于信息科来说反而就有点吃力不讨好了。”

　　第三类则是出于成本的考虑。一方面，端点安全投入成本不低；另一方面，部署对于运维来说也是一大难题。“大三甲医院的PC和服务器等端侧数量庞大。先不考虑安全方案的费用，仅仅怎么去做一个批量的快捷部署安装，怎么保证安装部署之后不会影响业务都是需要考虑的。医院的电脑可能很多年都没有更新了，光硬件更新也是一笔不小的费用。”

　　“大多数医院还是只满足国家政策强制要求的等保合规，其实也只是要求他去装个最基础的杀毒软件而已。满足这样的要求就好，只要没有出安全事件。” 文槿奕补充道。

　　显然，等保合规可能是目前医院在安全上投资的为数不多的动力。那它是否足以满足网络安全的需要呢？

　　对于医院来说，通过等保是强制性要求。早在2011年12月，前卫生部就发布《卫生行业信息安全等级保护工作的指导意见》，要求卫生行业按照《信息安全技术信息系统安全等级保护定级指南》开展定级工作，并明确重要卫生信息系统安全保护等级原则上不低于。这也就是俗称的等保1.0。

　　2019年5。