从瘫痪到恢复：一家老牌医院如何熬过勒索软件攻击后的5个月？

前情回顾·我怎么被黑的？

• 因外包人员失误：这家保险巨头内网沦陷、发生严重数据泄露事件

• Okta被黑溯源：系统设计曝重大漏洞，机器账号未做安全防护

• 勒索攻击溯源报告：一个帐号被盗，一个城市政务服务停摆

• LastPass用户数据遭窃：关键运维员工遭定向攻击，内部安全控制失效

安全内参10月22日消息，美国老牌医院胡安·F·路易斯医院（Juan F. Luis Hospital，简称JFL医院）首席执行官Darlene A. Baptiste透露，该医院在今年4月遭受网络攻击导致电子系统瘫痪，该事件使医院每周损失约75万至80万美元。胡安·F·路易斯医院位于美属维尔京群岛圣克罗伊岛。

她表示，这次入侵迫使医院在数月内只能依靠手工方式运营，账单处理严重延误，但未导致任何病患或员工数据被窃取。

突发攻击致系统瘫痪，每周损失高达80万美元

Baptiste女士在10月15日举行的医院“关怀对话：社区座谈会”上详细说明了此次攻击的经过。她指出，4月26日发生的网络攻击使JFL医院被迫离线近5个月，并促使医院对整个技术基础设施进行了彻底重建。

Baptiste女士表示，医院数月无法提交电子账单，员工被迫改用纸质手工账单，造成严重的现金流延误。她说：“我们估计每周损失大约在75万到80万美元之间。”随后她更正道：“其实这并非真正的‘损失’，而是暂时无法实时获取这些资金，因为我们无法及时提交电子账单。”

首席执行官承认，这一事件对员工士气和医院运营造成了巨大影响。她指出：“长达五个月的离线状态给我们带来了前所未有的冲击，不仅影响了士气和工作投入，也对财务状况造成了重大打击。”

攻击过程与根因分析

回顾事件经过时，Baptiste女士表示，攻击发生得非常突然，医院不得不立即封锁系统。她说：“我可以告诉你确切的时间，那天上午10点23分，一切都停了。我们立即封锁并彻底锁定系统。”

攻击者通过两台本地服务器入侵，利用了JFL信息技术团队后来描述为“被忽视的漏洞”。她解释道：“我们对一切防护都很严格，窗户、门，全都封闭并经过测试。但问题在于，我们有一个所谓的‘狗洞’，而我们没有保护好它，攻击者就是从那里进入的。”

据Baptiste女士介绍，威胁行为者渗透到了医院网络中的一个驱动器，但未危及任何个人数据。“他们发现威胁仅存在于一个驱动器中，虽然他们有能力访问其他内容，但只攻击了这个特定驱动器。”她说，“在那次事件中，没有任何病患或员工的个人数据被泄露。”

在事件发生后，JFL的信息技术团队与联邦合作伙伴及外部网络安全专家合作，对系统进行了逐台终端的彻底扫描和清理。“所有员工的终端都经过全面检查与清理。”Baptiste女士表示。目前联邦调查仍在进行中，最终报告尚未发布。

漫长的手工恢复与系统重建

在恢复阶段，医院运营完全转为手工“停机程序”模式，使用纸质记录系统代替数字网络。她表示：“自4月26日网络攻击以来，我们的所有系统都在手工模式下运行。”

9月，JFL医院开始逐步恢复数字化运营。她解释道：“从那时起，我们进行了系统切换。这意味着在9月17日之前，我们仍在云端运行，现在正以专业分组的方式逐步恢复系统。”

目前，约80%至85%的员工已重新获得医院电子病历（EHR）系统Meditech的访问权限，而财务服务与业务部门的恢复工作仍在进行中。

此次网络攻击促使JFL医院对信息技术系统进行了全面现代化升级，投入大量资金用于云安全、冗余备份和实时威胁监控。

Baptiste女士表示：“我们现在实现了多重冗余，有备份的备份的备份。”她补充道：“我们还与合作伙伴共同建设安全运营中心，不仅提升冗余能力，还能持续监控潜在威胁。”

她解释说，这些改进确保了系统的持续监督与报告。她说：“我们会定期收到报告，显示实时存在的威胁，从而根据全球趋势进行应对。”

尽管投入巨大，Baptiste女士认为这次系统改造势在必行。“这确实是一个昂贵的项目，但我们从中汲取了深刻的教训。”她说，“我们绝不能再重蹈覆辙。”

医院新的云系统相比此前的本地服务器具备更强的弹性与多层防护能力。她说：“老天保佑，我们绝不能再经历这样的事件。”

一场艰难却宝贵的教训

首席执行官称赞医院员工在危机期间维持运营的努力。“我们的团队负责病历记录与录入，15台计算机终端24小时不停运转，保障病人登记和医院运行。”她说，“有一段时间，我们甚至实行四班倒，全天候工作，确保医院稳定运作。”

她坦言，缺乏数字化工具的工作极具挑战性。“当你习惯于电子系统，却不得不改用纸质操作时，无论是护士还是医生，这都是一项艰巨的任务。”她还向员工的坚守与对患者护理的投入表达感谢。

Baptiste女士表示，这次网络攻击虽痛苦，却成为一次转型契机，使医院变得更强大、更具韧性。她说：“我们认为最明智的做法就是彻底重建系统，现在我们以更强大的姿态回归。虽然代价高昂，但非常值得。”

尽管联邦关于该事件的最终报告尚未发布，Baptiste女士强调，医院新的安全基础设施已能提供持续防护与多重冗余。她说：“我们再也无法承受类似事件。”

她补充道，这次攻击是一记警钟，凸显了网络安全的重要性以及JFL员工的弹性。她说：“这是一场艰难却宝贵的教训。我们因此变得更强。”

参考资料：https://viconsortium.com/vi-health/virgin-islands-jfl-lost-up-to--800-000-weekly-after-cyberattack--ceo-says-no-patient-or-staff-data-was-compromised

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。