2022年醫療領域網絡安全和漏洞事件頻發，對醫院運營和患者信息保護產生了越來越嚴重的影響。為了提升醫療行業對網絡安全工作的認識，美國衛生與公眾服務部(HHS)在其網站上設立了“恥辱之墻”，公布正在調查的安全案件詳情，近兩年來共有數百起安全違規事件被曝光。當今，醫療行業網絡安全事件發生數量仍在增加，其導致的損失也變得越來越大。

　　醫療行業組織與聯邦立法機構共同研究加強網絡安全工作的具體措施：一是，建議政府在醫療行業關鍵基礎設施遭到攻擊時提供幫助;二是，醫療行業應高度關注第三方網絡安全問題;三是，醫療行業應尋求聯邦調查局的支持，獲取技術幫助，盡早獲悉網絡安全漏洞信息。

　　以下是HIMSS出版物《Healthcare IT News》發表的2022年十大網絡安全事件。

　　1數據泄露導致電子病歷廠商被起訴

　　去年1月，總部位于田納西州的電子病歷廠商QRS被用戶起訴。其原因是，自2021年8月份始，QRS公司沒有采取有效的監測手段，未實施安全風險隱患加固措施，導致患者門戶被攻擊，數據被泄露。原告認為，“QRS公司未能合理地保護、監控和維護存儲在其患者門戶網站上的個人信息和法定保護的個人健康信息(PHI)”。

　　2CommonSpirit醫療集團遭受勒索病毒攻擊

　　去年10月，CommonSpirit醫療集團遭受網絡攻擊。本次攻擊導致分布在多個州的醫療機構業務工作大面積中斷。CommonSpirit醫療集團在全國擁有350多家醫院，是全美第二大非營利性連鎖醫院集團。在遭受網絡攻擊后，患者無法訪問病歷數據和登錄患者門戶，140多家醫院不能正常運營。經過進一步調查發現，該事件還導致了患者病歷數據泄露。

　　3提出醫療設備物聯網安全法案建議

　　去年4月，威斯康星州參議員Tammy Baldwin和路易斯安那州的Bill Cassidy博士針對醫療設備和網絡安全措施提出新的法案建議，稱之為“Protecting and Transforming Cyber Health Care Act”。該法案的目的是，要求醫療設備制造商，在通過FDA審批上市前，需要實施相關網絡安全協議和程序，以確保用戶能夠妥善地應對國內外勒索軟件病毒的攻擊。盡管該法案沒能得到通過，但是美國FDA發布了醫療器械網絡安全指南(草案)，以及應對突發事件的預案和應急響應手冊。

　　4聯邦調查局對醫院醫療設備進行網絡安全風險評估

　　聯邦調查局針對醫院醫療設備的網絡安全進行了評估。研究發現，胰島素泵、心內除顫器、移動心臟遙測、起搏器和鞘內疼痛泵等醫療設備存在網絡安全漏洞。調查發現，平均每臺醫療設備有6.2個漏洞，約有40%的醫療設備沒有安裝安全補丁程序或進行軟件升級。

　　5聯邦調查局警告“齊柏林飛艇勒索軟件”是針對醫療行業的病毒

　　去年8月，聯邦調查局和國土安全部網絡安全和基礎設施安全局發布聯合警報，稱“齊柏林飛艇勒索軟件”(Zeppelin)被用于針對醫療行業機構進行網絡攻擊。根據網絡安全和基礎設施安全局稱，自2019年以來，網絡犯罪分子已針對各種關鍵基礎設施，組織部署“齊柏林飛艇勒索軟件”，并要求對方以比特幣支付高額贖金。該警報概述了相關策略，技術手段和工作程序，以及事件導致的后果，并提出幫助醫院和衛生系統降低風險的建議。

　　6網絡安全導致Tenet Healthcare醫療集團運營中斷

　　去年4月，總部位于達拉斯的Tenet Healthcare醫療集團遭受攻擊，其550多個急診醫療業務被迫中斷，其中包括在馬薩諸塞州救護車無法調度，佛羅里達州的醫院無法使用電子病歷系統。由于網絡漏洞的存在，該醫療集團停止了業務運營，并在一周后發布了相關事件情況公告。

　　7凱撒醫療集團員工安全違規導致患者電子病歷信息泄漏

　　去年11月，凱撒醫療集團宣布，該單位一名員工非法訪問了位于美國東中部幾個州單位的患者醫療記錄，導致患者基本信息和醫療信息泄露。在HIMSS 2022網絡安全論壇上，在討論單位內部安全威脅時，許多醫療信息技術專業人員表達了他們對電子病歷訪問控制管理上的擔憂。

　　8研究顯示，醫院物聯網設備安全防范能力薄弱

　　Cynerio和Ponemon研究所在年中發布了醫療物聯網設備的安全脆弱性報告。報告詳細介紹了醫療行業存在令人擔憂的安全問題。由于醫院未能采取基本的網絡安全加固措施，導致反復遭受攻擊，造成了數百萬的經濟損失。

　　9美國FDA發布醫療器械網絡安全指南草案

　　去年4月，FDA發布了新版的醫療設備網絡安全指南草案，取代了2018年發布的舊指南。發布新指南的目的是，確保醫療設備上市前應具備應對網絡安全威脅和抗攻擊能力。新版的指南草案在7月份之前接受了社會各界的建議和意見。該指南草案的主要內容是，關于“醫療器械網絡安全：質量體系考慮因素和上市前提交內容”的建議。

　　10研究顯示，醫院網絡被攻擊與患者死亡率存在相關關系

　　Ponemon研究院針對640多名IT和安全領導者進行了民意調查。調查發現，89%的受訪機構在過去一年平均遭受到43次攻擊，幾乎每周遭受一次。去年9月份的一份報告指出，20%的受訪者表示，遭受四種最常見網絡攻擊醫院的患者死亡率有所增加。

　　來源：healthcareitnews

　　作者：Andrea Fox