前情回顾·全球医疗行业网络威胁态势
安全内参5月20日消息,官方数据显示,英国国家医疗服务体系(NHS)在2024年发生的两起网络攻击事件中受到影响,导致患者面临临床伤害风险。
这些数据是英国政府依据《网络与信息系统(NIS)条例》进行记录,并可通过《信息自由法》申请获取的。尽管数据未具体说明事件细节,但凸显了以牟利为目的的网络攻击对公共安全构成的威胁日益严峻。
5月上旬,英国国家网络安全中心负责人Richard Horne曾向网络安全从业人员表示,他们的工作“不仅仅是保护系统,更是保护我们的人民、我们的经济和我们的社会免受伤害”。
网络攻击影响医院运营,患者医疗服务受干扰
两起事件中,前一起事件可能是针对病理服务供应商Synnovis的勒索软件攻击,该事件严重干扰了伦敦多家NHS医院和护理机构的正常服务,导致手术和预约被延迟或取消。
后一起攻击则针对威勒尔大学教学医院NHS信托机构,造成癌症治疗出现延误。据媒体报道,该事件同样对医疗服务造成干扰。
尽管政府数据中未记录导致额外死亡或严重伤亡的情况(这是NIS事件划分中的最高两个等级)但其中两起事件已达到第三级别,即有潜在可能对50名以上患者造成临床伤害。所谓临床伤害,是指因医疗服务中断或缺失而对患者造成的健康损害。
在英格兰和威尔士,患者安全问题(包括可能由网络攻击引发的问题)由英国卫生服务安全调查机构(HSSIB)负责调查。该机构隶属于英国卫生与社会护理部,是其独立组成部分。
HSSIB首席执行官Rosie Benneyworth医生表示,尽管该机构尚未“就网络攻击的影响展开具体调查,但作为独立的专业调查机构,我们理解新兴风险的影响,也认识到网络攻击可能增加患者安全事件发生的概率。”
Benneyworth指出,一些关键风险如“电子病历的可用性、机构间关键数据的共享,以及实验室或影像结果的可视性”,可能使病情严重的患者因诊断或治疗延误而受到不良影响。
2022年,一次针对IT服务提供商Advanced的勒索软件攻击,使医护人员在无法访问电子病历的情况下,只能依赖纸笔为患者提供治疗。由于未能妥善保护个人数据,英国隐私监管机构于今年早些时候对Advanced处以310万英镑罚款。
英国拟更新法律,加强医疗等关键服务数字安全
然而,目前仍缺乏法律规范类似公司在遭遇网络攻击时如何继续提供关键服务。
英国政府已承诺,通过新的《网络安全与弹性法案》对NIS条例进行更新,将包括Advanced在内的软件公司纳入监管范围。该法案预计将在今年晚些时候提交议会审议。上周,NHS高级官员已向其供应商发函,敦促他们协助应对勒索软件攻击这一“普遍存在的威胁”。
Benneyworth补充道:“网络攻击也为医疗服务提供方带来巨大的运营压力,可能导致对服务和员工提出更多要求,从而加剧人员疲劳,使资源更加紧张。这些因素都可能对患者安全造成影响。”
她进一步表示:“我们认为,系统及服务提供方应具备健全的业务连续性规划,以在遭受攻击时有效降低风险。我们正在持续研究安全管理体系,以支持医疗行业在安全方面采取更为积极的措施。”
“这些管理框架和原则同样有助于在攻击发生时维护患者安全。HSSIB与联合网络单位保持定期和持续的合作,并积极寻求更深入的合作机会,以全面评估网络攻击对患者安全带来的影响。”
一位卫生与社会护理部发言人表示:“国家安全是本届政府的核心要务之一。我们正致力于提升整个医疗与社会护理体系的网络韧性,以保护患者安全。我们雄心勃勃的《网络安全与弹性法案》将帮助包括NHS在内的各类机构应对日益演变的网络威胁,强化关键供应链,保障关键数字服务的安全。”
参考资料:https://therecord.media/uk-nhs-data-two-cyberattacks-clinical-harm-2024
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
