安理会讨论针对医疗系统的勒索软件攻击问题
经济和生命损失
谭德塞表示,勒索软件和其他网络攻击不仅会造成混乱和经济损失,同时也破坏了人们对所依赖的医疗系统的信任,甚至造成病人的伤害和死亡。
他说,网络犯罪集团的运作逻辑是,对患者安全、保密性和服务中断造成的威胁越大,他们索要的赎金就越多。如果医疗机构不支付赎金,后果就不仅仅是财务和运营上的损失,还有可能危及患者。因此,为了尽快恢复系统和检索数据,医疗机构通常愿意支付巨额赎金。
调查显示,针对医疗行业的攻击在规模和频率上都有所增加。在 2021 年的一项全球调查中,超过三分之一的受访者表示在上一年至少遭受过一次勒索软件攻击,其中三分之一表示支付了赎金。然而,即使支付了赎金,31% 的受访者也无法重新访问被加密了的数据。
谭德塞表示,网络安全是整个政府的责任,但卫生部门当局、资助者和产品所有者仍需对卫生信息系统的安全负责。会员国可以采取许多措施来提高其网络成熟度,或者说提高其应对网络攻击的准备程度,这意味着对技术进行投资,并确保包括基本网络安全控制在内的数字卫生项目的预算费用。此外,各组织应避免使用不支持的软件,因为它们更容易受到攻击。
谭德塞最后强调,在防止针对医疗系统的勒索软件和其他网络攻击问题上,开展国际合作至关重要。
受害者的诉说
美国第三大医疗服务提供者阿森松卫生保健公司的总裁爱德华多·孔拉多向安理会成员讲述了该医疗系统的遭遇。
阿森松是美国一个非营利性的天主教医疗系统,拥有约 33 万名员工,拥有 120 家医院、2000 多个非住院医疗点和 75 个非住院手术中心,这些医疗点分布在 17 个州和首都华盛顿,每年为 600 多万人提供医疗服务,包括为美国约五十分之一的新生儿接生 ,其使命是为所有人服务,特别关注为美国的穷人和弱势群体提供富有同情心的全面护理。
2024 年 5 月 8 日,阿松森成为勒索软件攻击的受害者。这次攻击对该公司数以千计的计算机系统进行了加密,使其无法运行。
发现勒索软件攻击后,阿松森的医疗团队立即启动了计算机系统停机程序,改用纸质记录。到 6 月 14 日,即勒索软件攻击发起 37 天后,阿松森才恢复了与所有电子健康记录系统的连接和访问。据估计,系统瘫痪期间产生的纸张数量相当可观--如果把所有纸张堆起来,将有一英里多高。
勒索软件攻击对阿松森造成了巨大的财务影响,截至 2024 财年末,该公司为应对此次攻击花费了约 1.3 亿美元,损失了约 9 亿美元的营业收入。
然而,遭受网络攻击重大财务影响的并非只有阿松森一家。自 2019 年以来,由于受到勒索软件和其他网络攻击的影响,美国医疗机构的累计停机成本、恢复工作和收入损失已达到近 700 亿美元。
根据美国卫生与公众服务部的数据,2024 年迄今为止,美国共报告了 386 起医疗保健网络攻击事件。