在医疗保健领域，信息安全常被看作行政管理工作的障碍或是被当成简单的隐私问题。但近期WannaCry和Petya勒索病毒的攻击，对英国医疗服务体系（NHS）和宾夕法尼亚州Heritage Valley卫生系统等世界各国的卫生组织造成了极大的影响。上述网络攻击事件引发了对于公共卫生信息安全的关注。医疗保健服务越来越依赖于信息系统。信息系统一旦被破坏将直接导致临床护理的中断，从而波及患者。公共卫生的信息安全面临挑战。 

　　各行业均面临着信息安全的威胁，其中医疗保健领域首当其冲。医疗保健信息系统的数据泄漏（即未经允许使用或披露、受保护的健康数据）问题已成家常便饭。Ponemon研究所是一个从事隐私、数据保护、信息安全政策独立性调研的专门组织，其在调查中发现，近90%的医疗保健组织在过去两年里遭遇过数据泄漏。2016年，64%的医疗保健组织的医学档案遭到攻击，同比增长9%。Ponemon研究所指出，卫生组织警惕性低、信息技术安全方面、人力、财力、技术投入不足、医疗保健信息相较于其他产业数据的潜在价值等原因造成了医疗保健系统攻击的日益增加。 

　　攻击者经常使用多种技术手段来攻击医疗保健组织。其中，拒绝服务攻击（DoS）因其能够通过极大的通信量冲击网络，扰乱并使系统瘫痪的破坏力而成为攻击者攻击医疗保健组织的武器。拒绝服务攻击能导致临床系统失效，使手术推迟、化验报告结果延误、床位管理受阻等，对医院重大手术管理造成严重影响。最近，勒索软件形式的攻击频发。在此类攻击中，包含患者信息的信息系统被攻击者加密，只有攻击者握有“打开”加密数据的“钥匙”。院方陷入两难的境地：要么向匿名攻击者给付比特币等加密数字货币，要么启用过往备份数据，但备份中可能未包含最新临床信息。即便每日进行全部系统备份，在被迫恢复备份数据后也可能丢失关键数据。2017年5月，WannaCry对NHS的攻击即发生了上述情况。在其他近期攻击事件中，加利福尼亚州好莱坞的Presbyterian医疗中心向黑客支付了1.7万美元。MedStar在遭遇攻击后，旗下医院短时间内出现大规模计算机关机情况。虽然从潜在数据损失的严重程度来看，赎金还算值当，但支付赎金并不意味着数据就一定能解密。去年，超过50%的医院报告自己遭遇了至少一次勒索软件攻击。  

　　DoS和勒索软件攻击虽然扰乱医疗系统，但并不一定会披露患者信息。那些泄露受保护的健康信息和个人身份信息的攻击才更令人头疼。这类信息对于攻击者的价值主要体现在以下两个方面。首先是直接的金钱价值：攻击者可在“数据黑网”在线论坛匿名出售患者信息。2016年6月，一名黑客在“Real Deal”黑网市场发帖出售来自三个不同系统的60万条医疗记录，其中一家系统的记录甚至包含屏幕截图在内的完整电子病历。医疗记录可用于虚假索赔、医疗设备采购（和转售）、盗用信用卡身份等多种欺诈行为。 

　　其次，受保护的健康信息具有持久性。信用卡号、保险信息、社保卡号都可能更改，但一些病历信息却无法擦除，即便在泄漏后多年亦可用作识别信息。这类数据还可用于发送高度定向的“钓鱼”广告邮件，以获取相关证书，使得攻击者能够侵入系统、盗取信息。 

　　临床系统和临床数据也面临被操控的威胁。过往发生的事件证明了此类威胁的影响：2015年，美国食品药品监督管理局（FDA）和国土安全部工业控制系统网络应急响应小组（ICS-CERT）发出警告，某输液系统可能被攻击者远程控制，进而更改治疗方案。2017年1月，FDA对St.Jude医疗公司的射频植入式心脏设备和信号传输器发出类似警告。幸运的是，该问题可通过自动应用于受影响信号传输器的软件补丁解决。 

　　一旦患者数据被操控，还可能产生更具破坏性的后果。能够进入实验室系统的攻击者可篡改体内钾含量等数据，对此无警觉的医疗人员基于篡改后数据采取的治疗手段可能对患者有害。放疗方案、诊断报告、基因数据、病程记录、电子处方都可能成为攻击目标。因此，保护信息系统和健康数据对于确保健康护理的安全实施至关重要。 

　　尽管应对医疗保健数据威胁的保护措施纷繁复杂且没有一劳永逸的良方，我们仍然可以采取措施，降低风险。首先，可采取数据加密、杀毒软件、软件升级、双重验证等当前实践效果最佳的安全措施。经常备份，采用稳健的失效备援机制切换备份数据可降低勒索软件攻击的影响。限制受保护的健康和个人身份信息的使用，坚守“按需知密”政策，只有必须使用这些数据的人员方可使用。按照健康安全保险携带和责任法案（HIPAA）的要求，定期进行风险分析，并依需采取缓解措施。医疗设备厂家应遵循FDA设备网络安全导则。尽管安全程序看似会带来不便，但是却是保护医生和患者的必要举措。 

　　其次，理性、务实地利用信息技术。设计系统需考虑工作流程。一个不合用的高度安全的系统的安全性要低于广泛使用的中等安全系统。以密码安全为例，虽然密码强度对防止攻击者破解密码十分重要，但目前尚不清楚定期更换密码的要求是否会增加密码或用户证书的抗攻击性。同时，应在频繁更换密码的技术优势与员工设定密码的行为习惯间谋求平衡。若是频繁要求员工更换密码可能导致员工将密码写在纸上，（从而导致不必要的安全隐患）。  

　　最后，也是最重要的一点：教育的必要性。无意疏忽依然是最大的风险源，攻击常通过员工打开邮件附件、点击邮件中的链接、在钓鱼式攻击中使用证书等无意间的行为展开。医院工作人员往往在不知情的情况下成为攻击目标，大多数数据泄漏情况也是到事后才发现。应在医疗保健系统定期开展员工培训和教育活动。在安全体系架构中，人是最为薄弱的一环：“门卫”的安全意识有多高，我们的系统就有多安全。 

　　遗憾的是，没有系统能保证自己是绝对安全的。只要信息存在价值，保护信息安全的系统就会遭受攻击——从根本上来说，信息系统是易受攻击的。然而，若我们能够了解信息安全对公共卫生的影响，就能增进理解，采取必要保护措施，最大限度地减少攻击对患者护理的影响。 

　　  

　　原文出处：Gordon WJ, Fairhall A, Landman A. Threats to Information Security - Public Health Implications[J]. N Engl J Med. 2017 Jul 12. doi: 10.1056/NEJMp1707212.